社交工程技術用於從個人或組織收集敏感信息,以進行欺詐或進行其他犯罪活動。
任務目標
作為滲透測試人員,您應該使用各種社交工程工具來審視組織的安全性與員工資安意識。
您將使用社群軟體嘗試讓使用者洩漏個人訊息,在真實情境中,攻擊者可能會使用這些訊息來進一步的對目標發起攻擊。
使用工具
ShellPhish v1.7
作者:github.com/thelinuxchoice
載點:https://github.com/stwater20/shellphish
簡介:可以產生Instagram、Facebook、Twitter等常用社群網站的「假」網站,引誘目標登入帳戶以竊取個人訊息。
攻擊環境
OS:Kali 2021.04
滲透目標:Win10
進行演練
Step 1. 開啟 Terminal 下載 shellphish 工具。
git clone https://github.com/stwater20/shellphish
Step 2. 切換到shellphish目錄,並設定 shellphish.sh 能夠執行的權限。
cd shellphish
chmod +x ./shellphish.sh
Step 3. 執行 shellphish.sh 。
./shellphish.sh
Step 4. 根據目標對象選擇成功率最高的社群平台,工具就會建置 ngrok 並搭建網站伺服器。
Step 5. 透過任何方式將網址傳送給目標,目標點擊後,即收到受害者IP。
Step 6. 最後,待目標登入,成功取得帳號密碼。
討論
乍看之下,網址非常容易被識破,但您是否想過,Email的超連結是能夠用文字去隱藏真實連結的,社交工程的問題,值得沈思!
免責聲明
未經事先雙方同意,使用Shellphish攻擊目標是非法的。請遵守當地法律規範。開發者與本作者對此工具不承擔任何責任,也不對任何濫用或損壞負責。
