seo优化_前端开发_渗透技术社会工程可以广义地定义为通过技巧提取敏感信息(例如用户名和密码)的过程。黑客有时为此目的使用假冒网站和网络钓鱼攻击。让我们尝试通过一些示例来理解“社会工程学”攻击的概念。
例子1
您一定已经注意到旧的公司文档被当作垃圾扔进垃圾箱了。这些文档可能包含敏感信息,例如姓名,电话号码,帐号,社会安全号码,地址等。许多公司仍在传真机中使用复写纸,并且一旦纸卷结束,其碳会进入可能有痕迹的垃圾箱。敏感数据。尽管听起来不太可能,但是攻击者可以通过在垃圾堆中窃取,轻松地从公司垃圾箱中检索信息。
例子2
攻击者可以与公司人员成为朋友,并在一段时间内与他建立良好的关系。这种关系可以通过社交网络,聊天室在线建立,也可以在咖啡桌旁,操场上或通过任何其他方式建立。攻击者将办公室人员放心交谈,并最终在不提供线索的情况下挖掘出所需的敏感信息。
例子3
通过伪造身份证或简单地说服员工自己在公司的职位,社会工程师可以假装自己是雇员或有效用户或VIP。这样的攻击者可以获得对限制区域的物理访问,从而提供了进一步的攻击机会。
例子4
在大多数情况下,攻击者可能会在您周围,并在您键入敏感信息(例如用户ID和密码,帐户PIN等)时进行肩膀冲浪(肩窥)。
Metasploit中的社会工程学攻击
在本节中,我们将讨论如何使用Metasploit发起社会工程学攻击。
首先,转到Metasploit主页,然后单击“ Phishing Campaign”,如以下屏幕截图所示。
输入项目的名称,然后单击“Next”。
输入广告活动的名称。在我们的例子中是Lab。接下来,点击Campaign Components下的E-mail图标。
在下一个屏幕上,您需要根据广告系列提供所需的数据。
接下来,如果要更改电子邮件内容中的任何内容,请单击“ Content”图标(数字2)。更改内容后,点击保存。
接下来,单击“ Landing Page”图标以设置要将重定向的用户重定向到的URL。
如以下屏幕截图所示,在Path处输入URL 并单击Next。
在下一个屏幕上,单击“ 克隆网站 ”按钮,这将打开另一个窗口。在这里,您需要输入要克隆的网站。如您在以下屏幕截图中所见,我们在此字段中输入了sins7.cn。接下来,单击“ Clone”按钮并保存您的更改。
接下来,单击“ Redirect Page”按钮。
单击下一步,您将看到以下屏幕。
您可以单击“ Clone Website”按钮以再次克隆重定向的网站。
接下来,在“ Server Configuration”部分中,单击“ E-mail Server”按钮。
在下一个屏幕上,输入将用作中继发送此网络钓鱼电子邮件的邮件服务器设置。然后,点击保存。
在“ Notifications”部分中,有一个选项可在启动广告系列之前通知其他人。您可以选择使用此选项来通知其他人。然后,点击保存。
接下来,您将看到一个新窗口。在这里,您需要单击“ 开始”按钮以启动发送网络钓鱼邮件的过程。
Metasploit具有生成网络钓鱼活动统计报告的选项。它将如以下屏幕截图所示。
