Τα κορυφαία 3 εργαλεία ηλεκτρονικού ψαρέματος για ηθική παραβίαση
Εισαγωγή
Ενώ Phishing Οι επιθέσεις μπορούν να χρησιμοποιηθούν από κακόβουλους παράγοντες για την κλοπή προσωπικών δεδομένων ή τη διάδοση κακόβουλου λογισμικού, οι ηθικοί χάκερ μπορούν να χρησιμοποιήσουν παρόμοιες τακτικές για να ελέγξουν για τρωτά σημεία στην υποδομή ασφαλείας ενός οργανισμού. Αυτά τα εργαλεία έχουν σχεδιαστεί για να βοηθούν τους ηθικούς χάκερ να προσομοιώνουν επιθέσεις phishing στον πραγματικό κόσμο και να ελέγχουν την απόκριση των εργαζομένων ενός οργανισμού σε αυτές τις επιθέσεις. Χρησιμοποιώντας αυτά τα εργαλεία, οι ηθικοί χάκερ μπορούν να εντοπίσουν τρωτά σημεία στην ασφάλεια ενός οργανισμού και να τον βοηθήσουν να λάβει τα απαραίτητα μέτρα για την προστασία από επιθέσεις phishing. Σε αυτό το άρθρο, θα εξερευνήσουμε τα 3 κορυφαία εργαλεία phishing για ηθική παραβίαση.
SETookit
Το Social Engineering Toolkit (SEToolkit) είναι μια εργαλειοθήκη Linux που έχει σχεδιαστεί για να βοηθά επιθέσεις κοινωνικής μηχανικής. Περιλαμβάνει πολλά αυτοματοποιημένα μοντέλα κοινωνικής μηχανικής. Μια περίπτωση χρήσης για το SEToolkit είναι η κλωνοποίηση ενός ιστότοπου για τη συλλογή διαπιστευτηρίων. Αυτό μπορεί να γίνει στα ακόλουθα βήματα:
- Στο τερματικό σας Linux, εισαγάγετε εργαλειοθήκη.
- Από το μενού, επιλέξτε την πρώτη επιλογή μπαίνοντας 1 στο τερματικό.
- Από τα αποτελέσματα, εισάγετε το 2 στο τερματικό για να επιλέξετε Διανύσματα επίθεσης ιστότοπου. Αγορά Credential Harvester Attack Method, τότε επιλέξτε Πρότυπο Ιστού.
- Επιλέξτε το πρότυπο που προτιμάτε. Επιστρέφεται μια διεύθυνση IP που ανακατευθύνει στην κλωνοποιημένη τοποθεσία.
- Εάν κάποιος στο ίδιο δίκτυο επισκεφτεί τη διεύθυνση IP και εισάγει τα διαπιστευτήριά του, αυτή συλλέγεται και μπορεί να προβληθεί στο τερματικό.
Ένα σενάριο όπου αυτό μπορεί να εφαρμοστεί είναι εάν βρίσκεστε σε ένα δίκτυο και γνωρίζετε μια εφαρμογή Ιστού που χρησιμοποιεί ο οργανισμός. Μπορείτε απλώς να κλωνοποιήσετε αυτήν την εφαρμογή και να την περιστρέψετε λέγοντας σε έναν χρήστη να αλλάξει την εφαρμογή της κωδικό πρόσβασης ή ορίστε τον κωδικό πρόσβασής τους.
Kingphisher
Το Kingphisher είναι μια πλήρης πλατφόρμα προσομοίωσης ψαρέματος που σας επιτρέπει να διαχειρίζεστε τις αλιευτικές σας καμπάνιες, να στέλνετε πολλές καμπάνιες αλιείας, να συνεργάζεστε με πολλούς χρήστες, να δημιουργείτε σελίδες HTML και να τις αποθηκεύετε ως πρότυπα. Το γραφικό περιβάλλον χρήστη είναι εύκολο στη χρήση και διατίθεται προεγκατεστημένο με το Kali. Η διεπαφή σάς επιτρέπει επίσης να παρακολουθείτε εάν ένας επισκέπτης ανοίγει μια σελίδα ή εάν ένας επισκέπτης κάνει κλικ σε έναν σύνδεσμο. Εάν χρειάζεστε μια διεπαφή γραφικού σχεδιασμού για να ξεκινήσετε με επιθέσεις ψαρέματος ή κοινωνικής μηχανικής, το Kingphisher είναι μια καλή επιλογή
Gophish
Αυτό είναι ένα από τα πιο δημοφιλή πλαίσια προσομοίωσης phishing. Το Gofish είναι ένα πλήρες πλαίσιο phishing που μπορείτε να χρησιμοποιήσετε για να εκτελέσετε κάθε είδους επίθεση ψαρέματος. Έχει μια πολύ καθαρή και φιλική προς το χρήστη διεπαφή. Η πλατφόρμα μπορεί να χρησιμοποιηθεί για την εκτέλεση πολλαπλών επιθέσεων phishing.
Μπορείτε να ρυθμίσετε διαφορετικές καμπάνιες αλιείας, διαφορετικά προφίλ αποστολής, σελίδες προορισμού και πρότυπα email.
Δημιουργία καμπάνιας Gophish
- Στο αριστερό παράθυρο της κονσόλας, κάντε κλικ Καμπάνιες.
- Στο αναδυόμενο παράθυρο, Εισαγάγετε τις απαραίτητες λεπτομέρειες.
- Ξεκινήστε την καμπάνια και στείλτε ένα δοκιμαστικό μήνυμα για να βεβαιωθείτε ότι λειτουργεί
- Η παρουσία σας Gophish είναι έτοιμη για καμπάνιες phishing.
Συμπέρασμα
Συμπερασματικά, οι επιθέσεις phishing παραμένουν μια σημαντική απειλή για οργανισμούς όλων των μεγεθών, καθιστώντας επιτακτική ανάγκη για τους ηθικούς χάκερ να ενημερώνονται συνεχώς με τα πιο πρόσφατα εργαλεία και τεχνικές για να αμυνθούν από τέτοιες επιθέσεις. Τα τρία εργαλεία phishing που συζητήσαμε σε αυτό το άρθρο – GoPhish, Social-Engineer Toolkit (SET) και King Phisher – προσφέρουν μια σειρά ισχυρών λειτουργιών που μπορούν να βοηθήσουν τους ηθικούς χάκερ να δοκιμάσουν και να βελτιώσουν τη στάση ασφαλείας του οργανισμού τους. Ενώ κάθε εργαλείο έχει τα δικά του μοναδικά πλεονεκτήματα και αδυναμίες, κατανοώντας πώς λειτουργούν και επιλέγοντας αυτό που ταιριάζει καλύτερα στις συγκεκριμένες ανάγκες σας, μπορείτε να βελτιώσετε την ικανότητά σας να εντοπίζετε και να μετριάζετε τις επιθέσεις phishing.
