Metasploit - Engenharia Social
A engenharia social pode ser amplamente definida como um processo de extração de informações confidenciais (como nomes de usuário e senhas) por truque. Às vezes, os hackers usam sites falsos e ataques de phishing para essa finalidade. Vamos tentar entender o conceito de ataques de Engenharia Social por meio de alguns exemplos.
Exemplo 1
Você deve ter notado documentos antigos da empresa sendo jogados em latas de lixo como lixo. Esses documentos podem conter informações confidenciais, como nomes, números de telefone, números de contas, números de segurança social, endereços, etc. Muitas empresas ainda usam papel carbono em suas máquinas de fax e, uma vez que o rolo termina, seu carbono vai para a lixeira que pode ter vestígios de dados sensíveis. Embora pareça improvável, os invasores podem facilmente recuperar informações das lixeiras da empresa furtando o lixo.
Exemplo 2
Um invasor pode fazer amizade com um funcionário da empresa e estabelecer um bom relacionamento com ele por um período de tempo. Essa relação pode ser estabelecida online, por meio das redes sociais, salas de bate-papo, ou offline, em uma mesa de centro, playground ou por qualquer outro meio. O invasor confia no pessoal do escritório e, finalmente, desenterra as informações confidenciais necessárias sem dar uma pista.
Exemplo 3
Um engenheiro social pode fingir ser um funcionário, um usuário válido ou um VIP falsificando um cartão de identificação ou simplesmente convencendo os funcionários de sua posição na empresa. Esse invasor pode obter acesso físico a áreas restritas, proporcionando assim mais oportunidades para ataques.
Exemplo 4
Acontece na maioria dos casos que um invasor pode estar perto de você e pode fazer shoulder surfing enquanto você digita informações confidenciais, como ID de usuário e senha, PIN da conta, etc.
Ataque de Engenharia Social no Metasploit
Nesta seção, discutiremos como você pode iniciar um ataque de Engenharia Social usando o Metasploit.
Em primeiro lugar, vá para a página inicial do Metasploit e clique Phishing Campaign, conforme mostrado na imagem a seguir.
Insira o nome do projeto e clique em Avançar.
Insira o nome da campanha. No nosso caso, éLab. Em seguida, clique noE-mail ícone sob Campaign Components.
Na próxima tela, você precisa fornecer os dados solicitados de acordo com a sua campanha.
Em seguida, clique no Contentícone (número 2) se desejar alterar algo no conteúdo do e-mail. Após alterar o conteúdo, cliqueSave.
Em seguida, clique no Landing Page ícone para definir os URLs para os quais deseja redirecionar seus usuários enganados.
Conforme mostrado na captura de tela a seguir, insira o URL em Path e clique Next.
Na próxima tela, clique no botão Clone Websiteque irá abrir outra janela. Aqui, você precisa inserir o site que deseja clonar. Como você pode ver na imagem a seguir, inserimostutorialpoint.comnesta área. Em seguida, clique noClone botão e salve suas alterações.
Em seguida, clique no Redirect Page botão.
Clique Next e você verá a tela a seguir.
Você pode clicar no Clone Website botão para clonar o site redirecionado novamente.
Em seguida, no Server Configuration seção, clique no E-mail Server botão.
Na próxima tela, digite mailserver settingsque será usado como um relay para enviar este e-mail de phishing. Então cliqueSave.
No Notifications seção, há uma opção para Notify others before launching the campaign. Você pode escolher usar esta opção para notificar outras pessoas. Então cliqueSave.
A seguir, você verá uma nova janela. Aqui, você precisa clicar noStart botão para iniciar o processo de envio de emails de phishing.
Metasploit tem opções para gerar um relatório estatístico de sua campanha de phishing. Ele aparecerá conforme mostrado na imagem a seguir.