You are on page 1of 13

Kali Linux Ingeniera Social

Efectivamente realizar eficiente y organizada sociales pruebas de ingeniera y pruebas de


penetracin utilizando Kali Linux
Rahul Singh Patel.
Tabla de contenido
Captulo 1: Introduccin a la Ingeniera Social Ataques 5
Entendiendo los ataques de ingeniera social 6
Fases en un ataque de ingeniera social 6
Investigacin 7
Enganche 7
Juego 7
Salida 7
Tipos de ingeniera social 7
Ingeniera social basada en Human 7
Ingeniera social basada en computadoras 9
Herramientas de ingeniera social basados en computadora - Social-Ingeniera
Toolkit (SET) 10
Clonacin Sitio web 12
Polticas y procedimientos 16
Entrenamiento 17
Sistema de respuesta de incidentes 17
Clasificacin de la informacin 17
Las directivas de contrasea 17
Resumen 18
Captulo 2: Entendimiento Ataque Web Vectores de 19
Phishing y e-mail de hacking - Credencial ataque Harvester 20
Actualizacin de la Social-Engineering Toolkit 20
Web jacking 20
Lanza-phishing vector de ataque 24

Java Applet Ataque 31


La defensa contra estos ataques 36
Resumen 36
Captulo 3: Realizacin de los ataques del lado del cliente a travs de SET 37
Creacin de una carga til y un oyente 37
vulnerabilidad 37
explotar 38
Carga til 38
Pasos para crear una carga til y el oyente 38
Entender el ataque de envo masivo 42
Entender el vector SMS ataque de suplantacin 45
La plantilla predefinida 49
Resumen 50
Captulo 4: Ingeniera Social Entendimiento Ataques 51
El robo de identidad 52
Robo de identidad 52
Elicitacin 53
Habilidades requeridas en un atacante 53
Herramientas de pruebas de penetracin 54
El navegador de Explotacin Marco 54
La Ingeniera Social Marco 59
Sefemails 60
Sefphish 62
Sefnames 62
SefPayload 63
defensa 63
Resumen 64
ndice 65

Prefacio
Este libro contiene las instrucciones para perpetrar ataques con Kali Linux.
Estas tareas tienden a ser ilegal en su jurisdiccin, en muchas circunstancias, o
por lo menos contar como una materia de violacin de servicios o mala
conducta profesional. Las instrucciones son ha proporcionado de modo que
usted puede probar su sistema contra las amenazas, comprender la naturaleza
de esas amenazas, y proteger sus propios sistemas de ataques similares. El
entorno de seguridad de la informacin ha cambiado enormemente en los
ltimos aos. Ahora, a pesar de tener polticas de seguridad, el cumplimiento y
los elementos de seguridad de infraestructura tales como firewalls, IDS / IPS,
proxies, y tarros de miel desplegados dentro de cada organizacin, escuchar
noticias acerca de cmo los hackers comprometen instalaciones seguras del
gobierno o de organizaciones privadas debido al factor humano involucrado en
cada actividad. Por lo general, los empleados no son conscientes de los trucos
y tcnicas utilizadas por los sociales ingenieros en el que se pueden utilizar
como mediadores para obtener informacin valiosa tal como datos de la tarjeta
de crdito o secretos corporativos. La seguridad de toda la organizacin puede
estar en juego si un empleado visita un sitio web malicioso, responde a un
ingeniero social de llamada telefnica, o hace clic en el enlace malicioso que
l / ella recibi en su personal o empresa de e-mail de identificacin. Este libro
analiza los diferentes sistemas sociales basados en escenarios Los ataques de
ingeniera, manuales e informatizados, que puedan hacer que la la seguridad
de la organizacin ineficaz. Este libro es para profesionales de la seguridad que
quieren garantizar la seguridad de su organizacin de los ataques de ingeniera
social. TrustedSec ha llegado con el Kit de herramientas de herramienta
maravillosa Social-Engineering (SET) con la visin de ayudar a los auditores de
seguridad realizar pruebas de penetracin contra Los ataques de ingeniera
social. Este libro arroja luz sobre cmo los atacantes consiguen en la mayora
redes seguras con slo enviar un correo electrnico o hacer una llamada.
Ataques sofisticados como los ataques de lanza phishing y ataques web
elevacin se explica en un formato grfico paso a paso. Muchos ms ataques
estn cubiertos con una enfoque ms prctico para una lectura fcil para los
principiantes. Lo que cubre este libro
Captulo 1, Introduccin a ataques de ingeniera social, introduce el
concepto de lo social Los ataques de ingeniera, tanto manuales y
computarizados, y las diferentes fases los involucrados. Usted aprender cmo
realizar unas credenciales ataque cosechadora y qu contramedidas deben
tomarse para que los empleados tomen conciencia de este tipo de ataques y
no se deje engaar por el ingeniero social.
Captulo 2, Comprensin del sitio web Ataque Vectores, discute como un
ingeniero social puede conseguir dentro de un sistema de computadora o
servidor de red que atacan elementos de la solicitud navegadores y e-mail a
comprometer el sistema y la manera de formular la capa en la web nuevas
polticas para lograr que los empleados a salvo de este tipo de ataques.
Captulo 3, Realizacin de los ataques del lado del cliente a travs de
SET, le gua para llevar a cabo ataques del lado del cliente a travs de SET y

discute cmo crear oyentes y cargas tiles. Tambin arroja luz sobre los
diferentes tipos de cargas, en pasar por firmas AV, y en algunas otras
caractersticas avanzadas del conjunto de herramientas SET. Usted aprender
cmo una masa ataque anuncio publicitario se realiza y cmo se puede enviar
SMS falso.
Captulo 4, Comprensin de ataques de ingeniera social, le gua a
travs de los mtodos de realizar ambas ataques de ingeniera social tcnicas
y no tcnicas, como realizar el robo de identidad, obtencin, y atacando a un
navegador web y una aplicacin en una mquina remota.
Lo que usted necesita para este libro Para practicar el material, tendr que
utilizar herramientas de virtualizacin como VMware o VirtualBox con la Kali
sistema operativo Linux, junto con una conexin a Internet.
Quin este libro es para Este libro es para cualquier persona tica con la
unidad, la conviccin y la voluntad de pensar fuera de la caja y aprender
acerca de las pruebas de seguridad. Este libro se recomienda para cualquier
persona que recibe y enva mensajes de correo electrnico de trabajo en
cualquier posicin en una organizacin. Si usted es un probador de
penetracin, consultor de seguridad, o simplemente en general tienen un
inters en la prueba de la seguridad de su medio ambiente contra los ataques
de ingeniera social, este libro es para usted.
Convenciones
En este libro, usted encontrar una serie de estilos de texto que distingue entre
diferentes tipos de informacin. Estos son algunos ejemplos de estos estilos, y
un explicacin de su significado. Las palabras de cdigo en texto se muestran
de la siguiente manera: "Usted puede simplemente invocar a travs de lnea de
comandos utilizando el comando se-toolkit ". Cualquier entrada de lnea de
comandos o la salida se escribe de la siguiente manera:
/ usr / share / set # ./set
root @ Kali: / usr / share / set / # python conjunto
Los nuevos trminos y palabras importantes se muestran en negrita. Palabras
que se ven en la pantalla, en los mens y cuadros de dilogo, por ejemplo,
aparece en el texto as: "Nosotros estar utilizando una Cosechadora ataque
Credenciales que viene bajo ataque Website vectores ". Advertencias o notas
importantes aparecen en un cuadro como este. Consejos y trucos aparecen as.
comentarios de los lectores Los comentarios de nuestros lectores es siempre
bienvenida. Hganos saber lo que piensa de este libro lo que te gusta o te haya
disgustado. Comentarios de los lectores es importante para que nos permite
desarrollar ttulos que realmente obtiene el mximo provecho de. Para
enviarnos comentarios generales, basta con enviar un e-mail a
feedback@packtpub.com, y mencionar el ttulo del libro a travs del asunto de
su mensaje. Si hay un tema que tiene experiencia en y usted est interesado
en cualquiera de escritura o contribuir a un libro, ver nuestra gua autor en
www.packtpub.com/authors.

Atencin al cliente
Ahora que usted es el orgulloso propietario de un libro Packt, tenemos una
serie de cosas para le ayudar a obtener lo mximo de su compra.

Fe de erratas
Aunque hemos tomado todas las precauciones para asegurar la precisin de
nuestros contenidos, errores no suceder. Si usted encuentra un error en uno de
nuestros libros, tal vez un error en el texto o el cdigo que agradecera que le
informa de esto a nosotros. Al hacerlo, usted puede ahorrar otros lectores de la
frustracin y ayudarnos a mejorar posterior versiones de este libro. Si
encuentra alguna errata, por favor informe al visitar http:
//www.packtpub.com/submit-errata, la seleccin de su libro, al hacer clic en la
fe de erratas enlace formulario de presentacin, y entrar en los detalles de su
fe de erratas. Una vez que su erratas son verificados, su presentacin ser
aceptado y la fe de erratas se cargar en nuestro sitio web, o agregar a
cualquier lista de errata existente, en la seccin de erratas de que ttulo.
Cualquier errata existente puede ser visto por la seleccin de su ttulo de
http: // www.packtpub.com/support.
Piratera
La piratera de material de derechos de autor en Internet es un problema
constante en todos los medios. En Packt, nos tomamos muy en serio la
proteccin de nuestros derechos de autor y licencias. Si venir a travs de las
copias ilegales de nuestras obras, en cualquier forma, en Internet, por favor
proporcionarnos la direccin de ubicacin o nombre del sitio web
inmediatamente de modo que puede presentar un recurso.
Por favor contacte con nosotros en copyright@packtpub.com con un enlace a la
sospecha material pirateado. Apreciamos su ayuda en la proteccin de
nuestros autores, y nuestra capacidad para llevar que el contenido valioso.
Preguntas Puede ponerse en contacto con nosotros en
questions@packtpub.com si usted est teniendo un problema con cualquier
aspecto del libro, y haremos nuestro mejor esfuerzo para resolver el problema.
1
Introduccin a Social
Los ataques de ingeniera
Este captulo le muestra cmo hacer algunas cosas que en muchas situaciones
pueden es ilegal, inmoral, una violacin de los trminos de servicio, o

simplemente no es una buena idea. Ella est aqu para darle informacin que
puede utilizar para protegerse contra las amenazas y crea su propio sistema
ms seguro. Antes de seguir estos instrucciones, asegrese de que est en el
lado derecho de la lnea legal y tico ... uso sus poderes para el bien!
En este captulo se ofrece una introduccin a los ataques de ingeniera social y
los conceptos bsicos detrs de ellos. Se le present a los siguientes temas:
Comprender los ataques de ingeniera social,
Fases de un ataque de ingeniera social
Tipos de ataques de ingeniera social
Clonar un sitio web para obtener la contrasea de la meta
Polticas y procedimientos
Contramedidas a ataques de ingeniera social
Introduccin a los ataques de ingeniera social
[6]
Ingeniera social Entendimiento ataques
La ingeniera social proviene de dos palabras, ingeniera social y, cuando
sociales se refiere a nuestros da a da la vida-que incluye tanto personal como
profesional vive-mientras que la ingeniera significa una forma definida de
realizar una tarea siguiendo ciertos pasos para alcanzar la meta.
La ingeniera social es un trmino que describe una intrusin no tcnica que se
basa en gran medida de la interaccin humana y con frecuencia implica
engaar a otras personas a romper procedimientos de seguridad normales.
Para ver un ejemplo, consulte http://www.wired.com/threatlevel /2011/04/roblecanto-torio. Aqu, se puede ver cmo una parte superior federal laboratorio fue
hackeado por el uso del ataque de phishing de lanza.
El Laboratorio Nacional de Oak Ridge se vio obligado a interrumpir la conexin
a Internet para sus trabajadores despus de la instalacin federal fue
hackeado. Segn Thomas Zacharia,Director Adjunto de la prctica de
laboratorio, este ataque fue sofisticado y lo compar con el amenaza
persistente avanzada que afect a la empresa de seguridad RSA y Google el
ao pasado. El atacante utiliza Internet Explorer para realizar vulnerabilidad de
da cero en la violacin la red del laboratorio. Microsoft despus parcheado esta
vulnerabilidad en abril de 2012. El vulnerabilidad, que se describe como una
vulnerabilidad crtica ejecucin de cdigo remoto, permite un atacante para
instalar malware en el equipo del usuario, si l o ella visita un sitio web
malicioso. Una vulnerabilidad de da cero es un tipo de vulnerabilidad presente
en una solicitud de que el parche no ha sido puesto en libertad o no est
disponible.

Segn Zacaras, los empleados del departamento de recursos humanos


recibieron un correo electrnico que discutido beneficios a los empleados y se
incluye un enlace a un sitio web malicioso. Este correo fue enviado a 530
empleados, de los cuales 57 personas hicieron clic en el enlace y slo dos
mquinas de haberse infectado con el malware. As que como podemos ver, no
es muy difcil de conseguir dentro de una red segura. Muchos de estos ataques
se tratan en los captulos siguientes.
Fases en un ataque de ingeniera social
Un ataque de ingeniera social es un proceso continuo que comienza con la
investigacin inicial, que es la fase de arranque, hasta su finalizacin, cuando
el ingeniero social termina el conversacin. La conversacin es una breve
cobertura de las cuatro fases que lo social ingeniero sigue para llevar a cabo un
ataque.
Captulo 1
[7] investigacin
En la fase de investigacin, el atacante trata de reunir informacin sobre el
objetivo compaa. La informacin sobre el objetivo puede ser recogido de
varios recursos y medios, como el basurero de buceo, el sitio web de la
compaa, los documentos pblicos, interacciones fsicas, y as sucesivamente.
La investigacin es necesaria cuando dirigidas a un nico usuario. gancho
En esta fase, el atacante hace que el movimiento inicial, tratando de iniciar una
conversacin con el objetivo seleccionado despus de la finalizacin de la fase
de investigacin.
jugar
El propsito principal de este paso es hacer que la relacin ms fuerte y
continuar el cuadro de dilogo para explotar la relacin y obtener la
informacin deseada para el que se inici la comunicacin.
salida
Esta es la ltima fase del ataque de ingeniera social, en la que el ingeniero
social paseos fuera de la escena ataque o detiene la comunicacin con el
objetivo sin la creacin de una escena o hacer cualquier cosa que har que el
objetivo sospechoso.
Tipos de ingeniera social
En la seccin anterior hemos aprendido lo que es la ingeniera social y el
proceso utilizado por un ingeniero social para llevar a cabo un ataque de
ingeniera social. En esta seccin vamos a discutir las formas en que podemos
realizar una ingeniera social ataque. Bsicamente, la ingeniera social se divide
en dos tipos:
Basa humana y equipo basado.

Ingeniera social basada en la humana


En los ataques de ingeniera social basados en humanos, el ingeniero social
interacta directamente con el objetivo de obtener informacin.
Introduccin a los ataques de ingeniera social
[8]Un ejemplo de este tipo de ataque sera donde el atacante llama a la base
de datos administrador pidiendo a restablecer la contrasea de cuenta de los
objetivos de un mando a distancia ubicacin mediante la recopilacin de la
informacin de los usuarios desde cualquier sitio de redes sociales a distancia
de la empresa XYZ.
Ingeniera social basados en la humana puede clasificarse como sigue:
Piggybacking: En este tipo de ataque, el atacante se aprovecha engaando
personal autorizado a entrar en una zona restringida de la empresa en
cuestin, tales como la sala de servidores. Por ejemplo, atacante X entra en la
empresa ABC como un candidato para una entrevista, pero luego entra en una
zona restringida al engaar a un persona autorizada, alegando que l es un
nuevo empleado de la empresa y as que no tiene un ID de empleado, y el uso
de la tarjeta de los objetivos de identificacin.
Hacerse pasar: En este tipo de ataque, un ingeniero social pretende ser un
empleado vlido de la organizacin y obtiene acceso fsico. Esto puede ser
perfectamente llevado a cabo en el mundo real con el uso de un traje o
duplicado de identificacin para la empresa. Una vez dentro de las
instalaciones, el ingeniero social puede adquirir una valiosa informacin de una
computadora de escritorio.
Espionaje: Esta es la escucha no autorizada a la comunicacin entre dos
personas o la lectura de los mensajes privados. Se puede realizar utilizando los
canales de comunicacin, tales como lneas telefnicas y correos electrnicos.
Invertir la ingeniera social: Esto es cuando el atacante crea un personaje
que parece estar en una posicin de autoridad. En tal situacin, el objetivo le
preguntar para obtener la informacin que desean. Los ataques de ingeniera
inversa por lo general ocurren en las reas de marketing y soporte tcnico.
Recoleccin urbana: Recoleccin urbana consiste en buscar en la basura
para informacin escrita en pedazos de papel o informticos impresiones. el
hacker a menudo puede encontrar contraseas, nombres de archivos, u otras
piezas de confidencial informacin en los botes de basura.
Hacindose pasar por un usuario final legtimo: En este tipo de ataque,
el ingeniero social asume la identidad de un usuario legtimo y trata de obtener
la informacin, por ejemplo, llamar al servicio de ayuda y diciendo: "Hola, soy
Mara de la X departamento. No recuerdo mi contrasea de la cuenta; Me
puedes ayudar? "
Captulo 1
[9]Ingeniera social basada en computadora

Ingeniera social basada en computadora se refiere a los ataques llevados a


cabo con la ayuda de software informtico para obtener la informacin
deseada. Algunos de estos tipos de ataque son citados del modo siguiente:
Ventanas pop-up: pop ups engaan a los usuarios hacer clic en un
hipervnculo que los redirige a visitar la pgina web de un atacante,
pidindoles que regalar su informacin personal o pidindoles que descargar el
software que podra tener virus adjuntos en el backend

Un ejemplo de una ventana pop-up


Ataque Incidir: Este tipo de ataque se realiza desde el interior de la meta
red. La mayora de los ataques internos son orquestados por empleados
descontentos que no est satisfecho con su posicin en la organizacin o
porque tener rencores personales contra otro empleado o la gestin.
Introduccin a los ataques de ingeniera social
[10]
Phishing: Los spammers suelen enviar correos electrnicos de forma masiva
a cuentas de correo electrnico, para ejemplo, los que dicen ser del
departamento de la lotera del Reino Unido e informar que usted ha ganado un
milln de libras. Solicitan que haga clic en un enlace en el e-mail para
proporcionar datos de su tarjeta de crdito o introducir informacin como su
nombre, direccin, edad y ciudad. Usando este mtodo, el ingeniero social
puede recopilar nmeros de seguro social e informacin de la red.
El "nigeriano 419" estafa: En la estafa nigeriana, el atacante le pregunta
al objetivo efectuar pagos por adelantado o hacer transferencias de dinero. Se
llama 419 porque "4-1-9" es una seccin del Cdigo Penal de Nigeria que
prohbe esta prctica. El atacante o estafadores suelen enviar los e-mails de
destino o letras con algunos ofertas lucrativas que indican que su dinero ha
sido atrapado en algn pas que se encuentra actualmente en guerra, por lo
que necesitan ayuda en la extraccin del dinero y que darn el objetivo de una
accin, lo que en realidad nunca llega. estos estafadores pedir que pague

dinero o darles los detalles de su cuenta bancaria para ayudarles a transferir el


dinero. A continuacin se le pedir que pague honorarios, comisiones o
impuestos para ayudar liberar o transferir el dinero fuera del pas a travs de
su banco. Estos "honorarios" pueden comenzar como pequeas cantidades. Si
se paga, el estafador le ocurre nuevas tarifas que requieran el pago antes de
poder recibir su "premio". Mantendrn que componen estas excusas hasta que
piensan que han conseguido todo el dinero que pueda de ti. Nunca se le
enviar el dinero que se prometi.
Ataque de ingeniera social a travs de un SMS falsos: En este tipo de
ataque, el ingeniero social enviar un SMS al objetivo que dice ser de el
departamento de seguridad de su banco y tambin afirma que es urgente que
el objetivo de llamar al nmero especificado. Si el objetivo no es demasiado
tcnico sonido, se llamar al nmero especificado y el atacante puede obtener
ella informacin deseada. Herramientas de ingeniera social basados en
computadora
- Social-Engineering Toolkit (SET)
El kit de herramientas de Social-Engineering (SET) es un producto de
TrustedSec. SET es una Suite de Python impulsada de herramientas
personalizadas creado por David Kennedy (ReL1K) y el equipo de desarrollo
SET, que comprende de JR depre (pr1me), Joey Furr (j0fer), y Thomas Werth.
Para la visita de referencia http://trustedsec.com/.
Captulo 1
[11]
SET es un sistema de ataque basado en mens que se concentra
principalmente en el ataque a la elemento humano de la seguridad. Con una
amplia variedad de ataques disponibles, este conjunto de herramientas es un
absoluta imprescindible para pruebas de penetracin. SET viene preinstalado
en Kali Linux. Usted puede simplemente invocar a travs del comando lnea
con el comando se-toolkit:
/ usr / share / set # ./set
root @ Kali: / usr / share / set / # python conjunto
O, usted puede elegir a travs del men Aplicaciones:

Apertura SET en el men Aplicaciones


Introduccin a los ataques de ingeniera social
[12]Una vez que el usuario hace clic en la caja de herramientas SET, se abrir
con las opciones que se muestran en la siguiente captura de pantalla:

Men principal en SET


Antes de poder usar el software, usted debe leer y aceptar la BSD licencia y
tambin nos comprometemos a que no utilizar esta herramienta para
cualquier material ilegal prctica. Este acuerdo cubre cualquier uso futuro
tambin, y usted no se le pregunte de nuevo despus de aceptar pulsando S
(s) en el indicador. clonacin sitio web
En este ataque, vamos a duplicar una pgina web y enviar ese vnculo espejo
para el objetivo. Como este es el primer ataque que tiene lugar, me permito

sugerir que usted vaya a travs de las opciones disponibles en las diferentes
secciones de la caja de herramientas SET. La siguiente captura de pantalla
muestra el men SET conjunto de herramientas: