Kali Linux Ingeniera SocialEfectivamente realizar eficiente y
organizada sociales pruebas de ingeniera y pruebas de penetracin
utilizando Kali LinuxRahul Singh Patel.Tabla de contenidoCaptulo 1:
Introduccin a la Ingeniera Social Ataques 5Entendiendo los ataques
de ingeniera social 6Fases en un ataque de ingeniera social
6Investigacin 7Enganche 7Juego 7Salida 7Tipos de ingeniera social
7Ingeniera social basada en Human 7Ingeniera social basada en
computadoras 9Herramientas de ingeniera social basados en
computadora - Social-IngenieraToolkit (SET) 10Clonacin Sitio web
12Polticas y procedimientos 16Entrenamiento 17Sistema de respuesta
de incidentes 17Clasificacin de la informacin 17Las directivas de
contrasea 17Resumen 18Captulo 2: Entendimiento Ataque Web Vectores
de 19Phishing y e-mail de hacking - Credencial ataque Harvester
20Actualizacin de la Social-Engineering Toolkit 20Web jacking
20Lanza-phishing vector de ataque 24Java Applet Ataque 31La defensa
contra estos ataques 36Resumen 36Captulo 3: Realizacin de los
ataques del lado del cliente a travs de SET 37Creacin de una carga
til y un oyente 37vulnerabilidad 37explotar 38Carga til 38Pasos
para crear una carga til y el oyente 38Entender el ataque de envo
masivo 42Entender el vector SMS ataque de suplantacin 45La
plantilla predefinida 49Resumen 50Captulo 4: Ingeniera Social
Entendimiento Ataques 51El robo de identidad 52Robo de identidad
52Elicitacin 53Habilidades requeridas en un atacante 53Herramientas
de pruebas de penetracin 54El navegador de Explotacin Marco 54La
Ingeniera Social Marco 59Sefemails 60Sefphish 62Sefnames
62SefPayload 63defensa 63Resumen 64ndice 65
PrefacioEste libro contiene las instrucciones para perpetrar
ataques con Kali Linux. Estas tareas tienden a ser ilegal en su
jurisdiccin, en muchas circunstancias, o por lo menos contar como
una materia de violacin de servicios o mala conducta profesional.
Las instrucciones son ha proporcionado de modo que usted puede
probar su sistema contra las amenazas, comprender la naturaleza de
esas amenazas, y proteger sus propios sistemas de ataques
similares. El entorno de seguridad de la informacin ha cambiado
enormemente en los ltimos aos. Ahora, a pesar de tener polticas de
seguridad, el cumplimiento y los elementos de seguridad de
infraestructura tales como firewalls, IDS / IPS, proxies, y tarros
de miel desplegados dentro de cada organizacin, escuchar noticias
acerca de cmo los hackers comprometen instalaciones seguras del
gobierno o de organizaciones privadas debido al factor humano
involucrado en cada actividad. Por lo general, los empleados no son
conscientes de los trucos y tcnicas utilizadas por los sociales
ingenieros en el que se pueden utilizar como mediadores para
obtener informacin valiosa tal como datos de la tarjeta de crdito o
secretos corporativos. La seguridad de toda la organizacin puede
estar en juego si un empleado visita un sitio web malicioso,
responde a un ingeniero social de llamada telefnica, o hace clic en
el enlace malicioso que l / ella recibi en su personal o empresa de
e-mail de identificacin. Este libro analiza los diferentes sistemas
sociales basados en escenarios Los ataques de ingeniera, manuales e
informatizados, que puedan hacer que la la seguridad de la
organizacin ineficaz. Este libro es para profesionales de la
seguridad que quieren garantizar la seguridad de su organizacin de
los ataques de ingeniera social. TrustedSec ha llegado con el Kit
de herramientas de herramienta maravillosa Social-Engineering (SET)
con la visin de ayudar a los auditores de seguridad realizar
pruebas de penetracin contra Los ataques de ingeniera social. Este
libro arroja luz sobre cmo los atacantes consiguen en la mayora
redes seguras con slo enviar un correo electrnico o hacer una
llamada. Ataques sofisticados como los ataques de lanza phishing y
ataques web elevacin se explica en un formato grfico paso a paso.
Muchos ms ataques estn cubiertos con una enfoque ms prctico para
una lectura fcil para los principiantes. Lo que cubre este libro
Captulo 1, Introduccin a ataques de ingeniera social, introduce el
concepto de lo social Los ataques de ingeniera, tanto manuales y
computarizados, y las diferentes fases los involucrados. Usted
aprender cmo realizar unas credenciales ataque cosechadora y qu
contramedidas deben tomarse para que los empleados tomen conciencia
de este tipo de ataques y no se deje engaar por el ingeniero
social. Captulo 2, Comprensin del sitio web Ataque Vectores,
discute como un ingeniero social puede conseguir dentro de un
sistema de computadora o servidor de red que atacan elementos de la
solicitud navegadores y e-mail a comprometer el sistema y la manera
de formular la capa en la web nuevas polticas para lograr que los
empleados a salvo de este tipo de ataques.Captulo 3, Realizacin de
los ataques del lado del cliente a travs de SET, le gua para llevar
a cabo ataques del lado del cliente a travs de SET y discute cmo
crear oyentes y cargas tiles. Tambin arroja luz sobre los
diferentes tipos de cargas, en pasar por firmas AV, y en algunas
otras caractersticas avanzadas del conjunto de herramientas SET.
Usted aprender cmo una masa ataque anuncio publicitario se realiza
y cmo se puede enviar SMS falso. Captulo 4, Comprensin de ataques
de ingeniera social, le gua a travs de los mtodos de realizar ambas
ataques de ingeniera social tcnicas y no tcnicas, como realizar el
robo de identidad, obtencin, y atacando a un navegador web y una
aplicacin en una mquina remota.Lo que usted necesita para este
libro Para practicar el material, tendr que utilizar herramientas
de virtualizacin como VMware o VirtualBox con la Kali sistema
operativo Linux, junto con una conexin a Internet.Quin este libro
es para Este libro es para cualquier persona tica con la unidad, la
conviccin y la voluntad de pensar fuera de la caja y aprender
acerca de las pruebas de seguridad. Este libro se recomienda para
cualquier persona que recibe y enva mensajes de correo electrnico
de trabajo en cualquier posicin en una organizacin. Si usted es un
probador de penetracin, consultor de seguridad, o simplemente en
general tienen un inters en la prueba de la seguridad de su medio
ambiente contra los ataques de ingeniera social, este libro es para
usted. ConvencionesEn este libro, usted encontrar una serie de
estilos de texto que distingue entre diferentes tipos de
informacin. Estos son algunos ejemplos de estos estilos, y un
explicacin de su significado. Las palabras de cdigo en texto se
muestran de la siguiente manera: "Usted puede simplemente invocar a
travs de lnea de comandos utilizando el comando se-toolkit ".
Cualquier entrada de lnea de comandos o la salida se escribe de la
siguiente manera:/ usr / share / set # ./setroot @ Kali: / usr /
share / set / # python conjuntoLos nuevos trminos y palabras
importantes se muestran en negrita. Palabras que se ven en la
pantalla, en los mens y cuadros de dilogo, por ejemplo, aparece en
el texto as: "Nosotros estar utilizando una Cosechadora ataque
Credenciales que viene bajo ataque Website vectores ". Advertencias
o notas importantes aparecen en un cuadro como este. Consejos y
trucos aparecen as. comentarios de los lectores Los comentarios de
nuestros lectores es siempre bienvenida. Hganos saber lo que piensa
de este libro lo que te gusta o te haya disgustado. Comentarios de
los lectores es importante para que nos permite desarrollar ttulos
que realmente obtiene el mximo provecho de. Para enviarnos
comentarios generales, basta con enviar un e-mail a
[email protected], y mencionar el ttulo del libro a travs del
asunto de su mensaje. Si hay un tema que tiene experiencia en y
usted est interesado en cualquiera de escritura o contribuir a un
libro, ver nuestra gua autor en www.packtpub.com/authors. Atencin
al clienteAhora que usted es el orgulloso propietario de un libro
Packt, tenemos una serie de cosas para le ayudar a obtener lo mximo
de su compra.
Fe de erratasAunque hemos tomado todas las precauciones para
asegurar la precisin de nuestros contenidos, errores no suceder. Si
usted encuentra un error en uno de nuestros libros, tal vez un
error en el texto o el cdigo que agradecera que le informa de esto
a nosotros. Al hacerlo, usted puede ahorrar otros lectores de la
frustracin y ayudarnos a mejorar posterior versiones de este libro.
Si encuentra alguna errata, por favor informe al visitar http:
//www.packtpub.com/submit-errata, la seleccin de su libro, al hacer
clic en la fe de erratas enlace formulario de presentacin, y entrar
en los detalles de su fe de erratas. Una vez que su erratas son
verificados, su presentacin ser aceptado y la fe de erratas se
cargar en nuestro sitio web, o agregar a cualquier lista de errata
existente, en la seccin de erratas de que ttulo. Cualquier errata
existente puede ser visto por la seleccin de su ttulo de http: //
www.packtpub.com/support.PirateraLa piratera de material de
derechos de autor en Internet es un problema constante en todos los
medios. En Packt, nos tomamos muy en serio la proteccin de nuestros
derechos de autor y licencias. Si venir a travs de las copias
ilegales de nuestras obras, en cualquier forma, en Internet, por
favor proporcionarnos la direccin de ubicacin o nombre del sitio
web inmediatamente de modo que puede presentar un recurso.Por favor
contacte con nosotros en [email protected] con un enlace a la
sospecha material pirateado. Apreciamos su ayuda en la proteccin de
nuestros autores, y nuestra capacidad para llevar que el contenido
valioso. Preguntas Puede ponerse en contacto con nosotros en
[email protected] si usted est teniendo un problema con
cualquier aspecto del libro, y haremos nuestro mejor esfuerzo para
resolver el problema.1Introduccin a SocialLos ataques de
ingenieraEste captulo le muestra cmo hacer algunas cosas que en
muchas situaciones pueden es ilegal, inmoral, una violacin de los
trminos de servicio, o simplemente no es una buena idea. Ella est
aqu para darle informacin que puede utilizar para protegerse contra
las amenazas y crea su propio sistema ms seguro. Antes de seguir
estos instrucciones, asegrese de que est en el lado derecho de la
lnea legal y tico ... uso sus poderes para el bien!En este captulo
se ofrece una introduccin a los ataques de ingeniera social y los
conceptos bsicos detrs de ellos. Se le present a los siguientes
temas: Comprender los ataques de ingeniera social, Fases de un
ataque de ingeniera social Tipos de ataques de ingeniera social
Clonar un sitio web para obtener la contrasea de la meta Polticas y
procedimientos Contramedidas a ataques de ingeniera
socialIntroduccin a los ataques de ingeniera social[6]Ingeniera
social Entendimiento ataquesLa ingeniera social proviene de dos
palabras, ingeniera social y, cuando sociales se refiere a nuestros
da a da la vida-que incluye tanto personal como profesional
vive-mientras que la ingeniera significa una forma definida de
realizar una tarea siguiendo ciertos pasos para alcanzar la meta.La
ingeniera social es un trmino que describe una intrusin no tcnica
que se basa en gran medida de la interaccin humana y con frecuencia
implica engaar a otras personas a romper procedimientos de
seguridad normales. Para ver un ejemplo, consulte
http://www.wired.com/threatlevel /2011/04/roble-canto-torio. Aqu,
se puede ver cmo una parte superior federal laboratorio fue
hackeado por el uso del ataque de phishing de lanza. El Laboratorio
Nacional de Oak Ridge se vio obligado a interrumpir la conexin a
Internet para sus trabajadores despus de la instalacin federal fue
hackeado. Segn Thomas Zacharia,Director Adjunto de la prctica de
laboratorio, este ataque fue sofisticado y lo compar con el amenaza
persistente avanzada que afect a la empresa de seguridad RSA y
Google el ao pasado. El atacante utiliza Internet Explorer para
realizar vulnerabilidad de da cero en la violacin la red del
laboratorio. Microsoft despus parcheado esta vulnerabilidad en
abril de 2012. El vulnerabilidad, que se describe como una
vulnerabilidad crtica ejecucin de cdigo remoto, permite un atacante
para instalar malware en el equipo del usuario, si l o ella visita
un sitio web malicioso. Una vulnerabilidad de da cero es un tipo de
vulnerabilidad presente en una solicitud de que el parche no ha
sido puesto en libertad o no est disponible.Segn Zacaras, los
empleados del departamento de recursos humanos recibieron un correo
electrnico que discutido beneficios a los empleados y se incluye un
enlace a un sitio web malicioso. Este correo fue enviado a 530
empleados, de los cuales 57 personas hicieron clic en el enlace y
slo dos mquinas de haberse infectado con el malware. As que como
podemos ver, no es muy difcil de conseguir dentro de una red
segura. Muchos de estos ataques se tratan en los captulos
siguientes. Fases en un ataque de ingeniera socialUn ataque de
ingeniera social es un proceso continuo que comienza con la
investigacin inicial, que es la fase de arranque, hasta su
finalizacin, cuando el ingeniero social termina el conversacin. La
conversacin es una breve cobertura de las cuatro fases que lo
social ingeniero sigue para llevar a cabo un ataque.Captulo 1[7]
investigacinEn la fase de investigacin, el atacante trata de reunir
informacin sobre el objetivo compaa. La informacin sobre el
objetivo puede ser recogido de varios recursos y medios, como el
basurero de buceo, el sitio web de la compaa, los documentos
pblicos, interacciones fsicas, y as sucesivamente. La investigacin
es necesaria cuando dirigidas a un nico usuario. ganchoEn esta
fase, el atacante hace que el movimiento inicial, tratando de
iniciar una conversacin con el objetivo seleccionado despus de la
finalizacin de la fase de investigacin.jugarEl propsito principal
de este paso es hacer que la relacin ms fuerte y continuar el
cuadro de dilogo para explotar la relacin y obtener la informacin
deseada para el que se inici la comunicacin.salidaEsta es la ltima
fase del ataque de ingeniera social, en la que el ingeniero social
paseos fuera de la escena ataque o detiene la comunicacin con el
objetivo sin la creacin de una escena o hacer cualquier cosa que
har que el objetivo sospechoso. Tipos de ingeniera socialEn la
seccin anterior hemos aprendido lo que es la ingeniera social y el
proceso utilizado por un ingeniero social para llevar a cabo un
ataque de ingeniera social. En esta seccin vamos a discutir las
formas en que podemos realizar una ingeniera social ataque.
Bsicamente, la ingeniera social se divide en dos tipos: Basa humana
y equipo basado.Ingeniera social basada en la humanaEn los ataques
de ingeniera social basados en humanos, el ingeniero social
interacta directamente con el objetivo de obtener
informacin.Introduccin a los ataques de ingeniera social[8]Un
ejemplo de este tipo de ataque sera donde el atacante llama a la
base de datos administrador pidiendo a restablecer la contrasea de
cuenta de los objetivos de un mando a distancia ubicacin mediante
la recopilacin de la informacin de los usuarios desde cualquier
sitio de redes sociales a distancia de la empresa XYZ.Ingeniera
social basados en la humana puede clasificarse como sigue:
Piggybacking: En este tipo de ataque, el atacante se aprovecha
engaando personal autorizado a entrar en una zona restringida de la
empresa en cuestin, tales como la sala de servidores. Por ejemplo,
atacante X entra en la empresa ABC como un candidato para una
entrevista, pero luego entra en una zona restringida al engaar a un
persona autorizada, alegando que l es un nuevo empleado de la
empresa y as que no tiene un ID de empleado, y el uso de la tarjeta
de los objetivos de identificacin. Hacerse pasar: En este tipo de
ataque, un ingeniero social pretende ser un empleado vlido de la
organizacin y obtiene acceso fsico. Esto puede ser perfectamente
llevado a cabo en el mundo real con el uso de un traje o duplicado
de identificacin para la empresa. Una vez dentro de las
instalaciones, el ingeniero social puede adquirir una valiosa
informacin de una computadora de escritorio. Espionaje: Esta es la
escucha no autorizada a la comunicacin entre dos personas o la
lectura de los mensajes privados. Se puede realizar utilizando los
canales de comunicacin, tales como lneas telefnicas y correos
electrnicos. Invertir la ingeniera social: Esto es cuando el
atacante crea un personaje que parece estar en una posicin de
autoridad. En tal situacin, el objetivo le preguntar para obtener
la informacin que desean. Los ataques de ingeniera inversa por lo
general ocurren en las reas de marketing y soporte tcnico.
Recoleccin urbana: Recoleccin urbana consiste en buscar en la
basura para informacin escrita en pedazos de papel o informticos
impresiones. el hacker a menudo puede encontrar contraseas, nombres
de archivos, u otras piezas de confidencial informacin en los botes
de basura. Hacindose pasar por un usuario final legtimo: En este
tipo de ataque, el ingeniero social asume la identidad de un
usuario legtimo y trata de obtener la informacin, por ejemplo,
llamar al servicio de ayuda y diciendo: "Hola, soy Mara de la X
departamento. No recuerdo mi contrasea de la cuenta; Me puedes
ayudar? "Captulo 1[9]Ingeniera social basada en
computadoraIngeniera social basada en computadora se refiere a los
ataques llevados a cabo con la ayuda de software informtico para
obtener la informacin deseada. Algunos de estos tipos de ataque son
citados del modo siguiente: Ventanas pop-up: pop ups engaan a los
usuarios hacer clic en un hipervnculo que los redirige a visitar la
pgina web de un atacante, pidindoles que regalar su informacin
personal o pidindoles que descargar el software que podra tener
virus adjuntos en el backend
Un ejemplo de una ventana pop-up Ataque Incidir: Este tipo de
ataque se realiza desde el interior de la meta red. La mayora de
los ataques internos son orquestados por empleados descontentos que
no est satisfecho con su posicin en la organizacin o porque tener
rencores personales contra otro empleado o la gestin.Introduccin a
los ataques de ingeniera social[10] Phishing: Los spammers suelen
enviar correos electrnicos de forma masiva a cuentas de correo
electrnico, para ejemplo, los que dicen ser del departamento de la
lotera del Reino Unido e informar que usted ha ganado un milln de
libras. Solicitan que haga clic en un enlace en el e-mail para
proporcionar datos de su tarjeta de crdito o introducir informacin
como su nombre, direccin, edad y ciudad. Usando este mtodo, el
ingeniero social puede recopilar nmeros de seguro social e
informacin de la red. El "nigeriano 419" estafa: En la estafa
nigeriana, el atacante le pregunta al objetivo efectuar pagos por
adelantado o hacer transferencias de dinero. Se llama 419 porque
"4-1-9" es una seccin del Cdigo Penal de Nigeria que prohbe esta
prctica. El atacante o estafadores suelen enviar los e-mails de
destino o letras con algunos ofertas lucrativas que indican que su
dinero ha sido atrapado en algn pas que se encuentra actualmente en
guerra, por lo que necesitan ayuda en la extraccin del dinero y que
darn el objetivo de una accin, lo que en realidad nunca llega.
estos estafadores pedir que pague dinero o darles los detalles de
su cuenta bancaria para ayudarles a transferir el dinero. A
continuacin se le pedir que pague honorarios, comisiones o
impuestos para ayudar liberar o transferir el dinero fuera del pas
a travs de su banco. Estos "honorarios" pueden comenzar como
pequeas cantidades. Si se paga, el estafador le ocurre nuevas
tarifas que requieran el pago antes de poder recibir su "premio".
Mantendrn que componen estas excusas hasta que piensan que han
conseguido todo el dinero que pueda de ti. Nunca se le enviar el
dinero que se prometi. Ataque de ingeniera social a travs de un SMS
falsos: En este tipo de ataque, el ingeniero social enviar un SMS
al objetivo que dice ser de el departamento de seguridad de su
banco y tambin afirma que es urgente que el objetivo de llamar al
nmero especificado. Si el objetivo no es demasiado tcnico sonido,
se llamar al nmero especificado y el atacante puede obtener ella
informacin deseada. Herramientas de ingeniera social basados en
computadora- Social-Engineering Toolkit (SET)El kit de herramientas
de Social-Engineering (SET) es un producto de TrustedSec. SET es
una Suite de Python impulsada de herramientas personalizadas creado
por David Kennedy (ReL1K) y el equipo de desarrollo SET, que
comprende de JR depre (pr1me), Joey Furr (j0fer), y Thomas Werth.
Para la visita de referencia http://trustedsec.com/.Captulo
1[11]SET es un sistema de ataque basado en mens que se concentra
principalmente en el ataque a la elemento humano de la seguridad.
Con una amplia variedad de ataques disponibles, este conjunto de
herramientas es un absoluta imprescindible para pruebas de
penetracin. SET viene preinstalado en Kali Linux. Usted puede
simplemente invocar a travs del comando lnea con el comando
se-toolkit:/ usr / share / set # ./setroot @ Kali: / usr / share /
set / # python conjuntoO, usted puede elegir a travs del men
Aplicaciones:
Apertura SET en el men AplicacionesIntroduccin a los ataques de
ingeniera social[12]Una vez que el usuario hace clic en la caja de
herramientas SET, se abrir con las opciones que se muestran en la
siguiente captura de pantalla:
Men principal en SETAntes de poder usar el software, usted debe
leer y aceptar la BSD licencia y tambin nos comprometemos a que no
utilizar esta herramienta para cualquier material ilegal prctica.
Este acuerdo cubre cualquier uso futuro tambin, y usted no se le
pregunte de nuevo despus de aceptar pulsando S (s) en el indicador.
clonacin sitio webEn este ataque, vamos a duplicar una pgina web y
enviar ese vnculo espejo para el objetivo. Como este es el primer
ataque que tiene lugar, me permito sugerir que usted vaya a travs
de las opciones disponibles en las diferentes secciones de la caja
de herramientas SET. La siguiente captura de pantalla muestra el
men SET conjunto de herramientas:
