利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

给大家介绍的开源工具叫Social-Engineer Toolkit，简称SETookit，地址是

https://github.com/trustedsec/social-engineer-toolkit

有5千的star。

SEToolkit是专门用于社会工程的高级攻击包，首先大家要了解下啥叫社会工程学。

社会工程学（Social Engineering）在上世纪60年代左右作为正式的学科出现，广义社会工程学的定义是：建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。

那么社会工程学大家可以简化的理解为诈骗，在现实生活中的一些实例大概主要电信诈骗、钓鱼邮件和钓鱼网站。

 

那么我们这边就先不做如何判断钓鱼网站的讲解，先教大家如何利用SET来搭建钓鱼网站。

如何利用SET来搭建钓鱼网站

那么钓鱼网站的目的大家肯定要非常清楚，那就是获取目标的一些特殊信息，一般是密码、家庭住址、身份证号、手机号码等一些敏感的不公开的信息，接受的方式往往是表单形式的提交。

我们使用的公司在渗透测试工具集成系统Kali Linux中可以直接使用，或者自己下载代码在一些兼容的Linux上部署使用。

工具是命令行形式，会出现如下的界面：

 

依次选择Social-Engineering Attacks(社会工程学攻击)->Website Attack Vectors(网站攻击生成器)->Credential Harvester Attack Method(认证收割攻击方式)->Site Cloner(网站克隆器)。

接下里就会让你输入地址，这边的地址是被攻击者会访问的地址（往往是跟真是网站域名非常类似的网站，比如51job.com可以使用假域名5ljob.com），我这边就是用ip作为钓鱼网站的地址：

 

需要模仿的钓鱼网站我就以ask.testfan.cn/login的登录页面为例，目的是为了钓鱼网站用户输入自己的密码。

大家可以看下如下两张图的区别，从页面上基本看不出，除了域名，但是如果域名也很类似，那么你觉得自己可以不中招吗？

 

 

当有人在钓鱼网站输入了密码之后，会自动跳转到真实网站，为了尽量让用户无感，输入的内容也会出现在攻击者的服务器上：

 

PS：本文所示内容仅供企业内部安全意识测试，在现实中，超过一定数量的钓鱼网站的搭建可以入刑。

作　　者：Testfan Covan

出　　处：微信公众号：自动化软件测试平台

版权说明：欢迎转载，但必须注明出处，并在文章页面明显位置给出文章链接