మానవులు అత్యుత్తమ వనరు మరియు భద్రతా లోపాల యొక్క ఎండ్ పాయింట్. సోషల్ ఇంజనీరింగ్ అనేది ఒక రకమైన దాడి, మానవ ప్రవర్తనను లక్ష్యంగా చేసుకుని, వారి నమ్మకంతో తారుమారు చేయడం మరియు బ్యాంకింగ్ ఖాతా, సోషల్ మీడియా, ఇమెయిల్ మరియు లక్ష్య కంప్యూటర్కు యాక్సెస్ వంటి రహస్య సమాచారాన్ని పొందాలనే లక్ష్యంతో. ఏ సిస్టమ్ సురక్షితంగా లేదు, ఎందుకంటే ఈ సిస్టమ్ మానవులచే రూపొందించబడింది. సోషల్ ఇంజనీరింగ్ దాడులను ఉపయోగించే అత్యంత సాధారణ దాడి వెక్టర్ ఇమెయిల్ స్పామింగ్ ద్వారా ఫిషింగ్ వ్యాప్తి చెందుతుంది. బ్యాంకింగ్ లేదా క్రెడిట్ కార్డ్ సమాచారం వంటి ఆర్థిక ఖాతా ఉన్న బాధితుడిని వారు లక్ష్యంగా చేసుకుంటారు.
సోషల్ ఇంజనీరింగ్ దాడులు నేరుగా సిస్టమ్లోకి ప్రవేశించడం కాదు, బదులుగా అది మానవ సామాజిక పరస్పర చర్యను ఉపయోగిస్తుంది మరియు దాడి చేసేవారు నేరుగా బాధితుడితో వ్యవహరిస్తున్నారు.
మీకు గుర్తు ఉందా కెవిన్ మిట్నిక్ ? పాత శకం యొక్క సోషల్ ఇంజనీరింగ్ లెజెండ్. తన దాడి పద్ధతులలో, అతను సిస్టమ్ అధికారాన్ని కలిగి ఉన్నాడని బాధితులను మోసగించాడు. మీరు అతని సోషల్ ఇంజనీరింగ్ అటాక్ డెమో వీడియోను YouTube లో చూసి ఉండవచ్చు. దాన్నిచూడు!
ఈ పోస్ట్లో నేను రోజువారీ జీవితంలో సోషల్ ఇంజనీరింగ్ దాడిని ఎలా అమలు చేయాలో అనే సాధారణ దృష్టాంతాన్ని మీకు చూపించబోతున్నాను. ఇది చాలా సులభం, ట్యుటోరియల్ని జాగ్రత్తగా అనుసరించండి. నేను దృష్టాంతాన్ని స్పష్టంగా వివరిస్తాను.
ఇమెయిల్ యాక్సెస్ పొందడానికి సోషల్ ఇంజనీరింగ్ దాడి
లక్ష్యం : ఇమెయిల్ ఆధారాల ఖాతా సమాచారాన్ని పొందడం
దాడి చేసేవాడు : నేను
లక్ష్యం : నా స్నేహితుడు. (నిజంగా? అవును)
పరికరం : కాళి లైనక్స్ నడుస్తున్న కంప్యూటర్ లేదా ల్యాప్టాప్. మరియు నా మొబైల్ ఫోన్!
పర్యావరణం : కార్యాలయం (పని వద్ద)
సాధనం : సోషల్ ఇంజనీరింగ్ టూల్కిట్ (సెట్)
కాబట్టి, పై దృష్టాంతం ఆధారంగా బాధితుడి పరికరం కూడా మాకు అవసరం లేదని మీరు ఊహించవచ్చు, నేను నా ల్యాప్టాప్ మరియు నా ఫోన్ని ఉపయోగించాను. నాకు అతని తల మరియు నమ్మకం మరియు మూర్ఖత్వం మాత్రమే కావాలి! ఎందుకంటే, మీకు తెలుసా, మానవ మూర్ఖత్వాన్ని తీవ్రంగా గుర్తించలేము, తీవ్రంగా!
ఈ సందర్భంలో, మేము మొదట నా కాలి లైనక్స్లో ఫిషింగ్ Gmail ఖాతా లాగిన్ పేజీని సెటప్ చేయబోతున్నాము మరియు ట్రిగ్గర్ పరికరంగా నా ఫోన్ని ఉపయోగించండి. నేను నా ఫోన్ని ఎందుకు ఉపయోగించాను? నేను తరువాత, తరువాత వివరిస్తాను.
అదృష్టవశాత్తూ మేము ఏ సాధనాలను ఇన్స్టాల్ చేయబోము, మా కాళి లైనక్స్ మెషిన్లో ముందుగా ఇన్స్టాల్ చేయబడిన SET (సోషల్ ఇంజినీరింగ్ టూల్కిట్) ఉంది, మాకు కావలసింది అంతే. ఓహ్, SET అంటే ఏమిటో మీకు తెలియకపోతే, ఈ టూల్కిట్లోని నేపథ్యాన్ని నేను మీకు ఇస్తాను.
సోషల్ ఇంజినీరింగ్ టూల్కిట్ అనేది హ్యూమన్-సైడ్ వ్యాప్తి పరీక్షను నిర్వహించడానికి రూపొందించబడింది. సెట్ ( త్వరలో ) ట్రస్టెడ్సెక్ వ్యవస్థాపకుడు అభివృద్ధి చేశారు ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , ఇది పైథాన్లో వ్రాయబడింది మరియు ఇది ఓపెన్ సోర్స్.
సరే అది చాలు ప్రాక్టీస్ చేద్దాం. మేము సోషల్ ఇంజనీరింగ్ దాడిని నిర్వహించడానికి ముందు, మేము ముందుగా మా ఫైజింగ్ పేజీని సెటప్ చేయాలి. ఇక్కడ, నేను నా డెస్క్ మీద కూర్చొని ఉన్నాను, నా కంప్యూటర్ (కాలి లైనక్స్ నడుస్తోంది) నా మొబైల్ ఫోన్ (నేను ఆండ్రాయిడ్ వాడుతున్నాను) అదే వై-ఫై నెట్వర్క్ ఇంటర్నెట్కు కనెక్ట్ చేయబడింది.
దశ 1. సెటప్ ఫిషింగ్ పేజీ
సెటూల్కిట్ కమాండ్ లైన్ ఇంటర్ఫేస్ని ఉపయోగిస్తోంది, కాబట్టి ఇక్కడ 'క్లిక్-క్లిక్'ని ఆశించవద్దు. టెర్మినల్ని తెరిచి టైప్ చేయండి:
set# సెటూల్కిట్మీరు ఎగువన స్వాగత పేజీ మరియు దిగువన దాడి ఎంపికలను చూస్తారు, మీరు ఇలాంటివి చూడాలి.
అవును, వాస్తవానికి, మేము ప్రదర్శన ఇవ్వబోతున్నాం సోషల్ ఇంజనీరింగ్ దాడులు , కాబట్టి సంఖ్యను ఎంచుకోండి 1 మరియు ఎంటర్ నొక్కండి.
ఆపై మీరు తదుపరి ఎంపికలను ప్రదర్శిస్తారు మరియు సంఖ్యను ఎంచుకోండి 2. వెబ్సైట్ దాడి వెక్టర్స్. కొట్టుట ఎంటర్.
తరువాత, మేము సంఖ్యను ఎంచుకుంటాము 3. క్రెడెన్షియల్ హార్వెస్టర్ దాడి పద్ధతి . కొట్టుట నమోదు చేయండి.
మరిన్ని ఎంపికలు ఇరుకైనవి, SET ప్రముఖ వెబ్సైట్లు, గూగుల్, యాహూ, ట్విట్టర్ మరియు ఫేస్బుక్ యొక్క ప్రీ-ఫార్మాట్ ఫైజింగ్ పేజీని కలిగి ఉంది. ఇప్పుడు సంఖ్యను ఎంచుకోండి 1. వెబ్ టెంప్లేట్లు .
ఎందుకంటే, నా కాలి లైనక్స్ PC మరియు నా మొబైల్ ఫోన్ ఒకే Wi-Fi నెట్వర్క్లో ఉన్నాయి, కాబట్టి దాడి చేసిన వ్యక్తిని ఇన్పుట్ చేయండి ( నా PC ) స్థానిక IP చిరునామా. మరియు హిట్ ఎంటర్.
PS: మీ పరికరం IP చిరునామాను తనిఖీ చేయడానికి, 'ifconfig' అని టైప్ చేయండి
సరే ఇప్పటివరకు, మేము మా పద్ధతిని మరియు వినేవారి IP చిరునామాను సెట్ చేసాము. ఈ ఎంపికలలో నేను పైన పేర్కొన్న విధంగా ముందుగా నిర్వచించిన వెబ్ ఫైజింగ్ టెంప్లేట్లు జాబితా చేయబడ్డాయి. ఎందుకంటే మేము Google ఖాతా పేజీని లక్ష్యంగా పెట్టుకున్నాము, కాబట్టి మేము సంఖ్యను ఎంచుకుంటాము 2. గూగుల్ . కొట్టుట ఎంటర్ .
ఇప్పుడు, నకిలీ Google ఖాతా లాగిన్ పేజీతో పోర్ట్ 80 లో SET నా కాలి లైనక్స్ వెబ్సర్వర్ని ప్రారంభిస్తుంది. మా సెటప్ పూర్తయింది. ఇప్పుడు నేను నా మొబైల్ ఫోన్ ఉపయోగించి ఈ ఫిషింగ్ పేజీకి లాగిన్ అవ్వడానికి నా స్నేహితుల గదిలోకి నడవడానికి సిద్ధంగా ఉన్నాను.
దశ 2. హంటింగ్ వికిట్లు
నేను మొబైల్ ఫోన్ (ఆండ్రాయిడ్) వాడుతున్నందుకు కారణం? నా అంతర్నిర్మిత ఆండ్రాయిడ్ బ్రౌజర్లో పేజీ ఎలా ప్రదర్శించబడుతుందో చూద్దాం. కాబట్టి, నేను నా కాలి లైనక్స్ వెబ్ సర్వర్ని యాక్సెస్ చేస్తున్నాను 192.168.43.99 బ్రౌజర్లో. మరియు ఇక్కడ పేజీ ఉంది:
చూడండి? ఇది చాలా వాస్తవంగా కనిపిస్తుంది, దానిపై ఎలాంటి భద్రతా సమస్యలు ప్రదర్శించబడవు. URL కి బదులుగా శీర్షికను చూపించే URL బార్. తెలివితక్కువవారు దీనిని అసలు Google పేజీగా గుర్తిస్తారని మాకు తెలుసు.
కాబట్టి, నేను నా మొబైల్ ఫోన్ తీసుకుని, నా స్నేహితుడి వద్దకు వెళ్లి, గూగుల్కు లాగిన్ అవ్వడంలో విఫలమైనట్లుగా అతనితో మాట్లాడి, గూగుల్ క్రాష్ అయ్యిందా లేదా అని నేను ఆశ్చర్యపోతున్నాను. నేను నా ఫోన్ని ఇచ్చాను మరియు అతని ఖాతాను ఉపయోగించి లాగిన్ చేయడానికి ప్రయత్నించమని అతడిని అడిగాను. అతను నా మాటలను నమ్మడు మరియు ఇక్కడ చెడుగా ఏమీ జరగనట్లుగా వెంటనే తన ఖాతా సమాచారాన్ని టైప్ చేయడం ప్రారంభించాడు. హాహా.
అతను ఇప్పటికే అవసరమైన అన్ని ఫారమ్లను టైప్ చేసాడు మరియు క్లిక్ చేయడానికి నన్ను అనుమతించాడు సైన్ ఇన్ చేయండి బటన్. నేను బటన్ని క్లిక్ చేసాను ... ఇప్పుడు ఇది లోడ్ అవుతోంది ... ఆపై మనకు గూగుల్ సెర్చ్ ఇంజిన్ మెయిన్ పేజీ వచ్చింది.
PS: ఒకసారి బాధితుడు క్లిక్ చేయండి సైన్ ఇన్ చేయండి బటన్, ఇది మా వినే యంత్రానికి ప్రామాణీకరణ సమాచారాన్ని పంపుతుంది మరియు అది లాగిన్ చేయబడింది.
ఏమీ జరగడం లేదు, నేను అతనికి చెప్తాను సైన్ ఇన్ చేయండి బటన్ ఇప్పటికీ ఉంది, అయితే మీరు లాగిన్ చేయడంలో విఫలమయ్యారు. ఆపై నేను మళ్లీ ఫైజింగ్ పేజీని తెరుస్తున్నాను, ఈ మూర్ఖుడి మరొక స్నేహితుడు మా వద్దకు వస్తున్నాడు. అవును, మేము మరొక బాధితుడిని పొందాము.
నేను ప్రసంగాన్ని తగ్గించే వరకు, నేను నా డెస్క్కి తిరిగి వెళ్లి నా సెట్ యొక్క లాగ్ని తనిఖీ చేస్తాను. మరియు ఇక్కడ మాకు వచ్చింది,
గోచా ... నేను నిన్ను ప్రతిజ్ఞ చేస్తాను !!!
ముగింపులో
నేను కథ చెప్పడం మంచిది కాదు ( అదీ విషయం ), ఇప్పటివరకు దాడిని సంక్షిప్తీకరించడానికి దశలు:
- తెరవండి 'సెటూల్కిట్'
- ఎంచుకోండి 1) సోషల్ ఇంజనీరింగ్ దాడులు
- ఎంచుకోండి 2) వెబ్సైట్ అటాక్ వెక్టర్స్
- ఎంచుకోండి 3) క్రెడెన్షియల్ హార్వెస్టర్ దాడి పద్ధతి
- ఎంచుకోండి 1) వెబ్ టెంప్లేట్లు
- ఇన్పుట్ చేయండి IP చిరునామా
- ఎంచుకోండి Google
- సంతోషకరమైన వేట ^_ ^