利用开源工具搭建钓鱼网站对公司员工进行安全意识测试
给大家介绍的开源工具叫Social-Engineer Toolkit,简称SETookit,地址是
https://github.com/trustedsec/social-engineer-toolkit
有5千的star。
SEToolkit是专门用于社会工程的高级攻击包,首先大家要了解下啥叫社会工程学。
社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。
那么社会工程学大家可以简化的理解为诈骗,在现实生活中的一些实例大概主要电信诈骗、钓鱼邮件和钓鱼网站。
那么我们这边就先不做如何判断钓鱼网站的讲解,先教大家如何利用SET来搭建钓鱼网站。
如何利用SET来搭建钓鱼网站
那么钓鱼网站的目的大家肯定要非常清楚,那就是获取目标的一些特殊信息,一般是密码、家庭住址、身份证号、手机号码等一些敏感的不公开的信息,接受的方式往往是表单形式的提交。
我们使用的公司在渗透测试工具集成系统Kali Linux中可以直接使用,或者自己下载代码在一些兼容的Linux上部署使用。
工具是命令行形式,会出现如下的界面:
依次选择Social-Engineering Attacks(社会工程学攻击)->Website Attack Vectors(网站攻击生成器)->Credential Harvester Attack Method(认证收割攻击方式)->Site Cloner(网站克隆器)。
接下里就会让你输入地址,这边的地址是被攻击者会访问的地址(往往是跟真是网站域名非常类似的网站,比如51job.com可以使用假域名5ljob.com),我这边就是用ip作为钓鱼网站的地址:
需要模仿的钓鱼网站我就以ask.testfan.cn/login的登录页面为例,目的是为了钓鱼网站用户输入自己的密码。
大家可以看下如下两张图的区别,从页面上基本看不出,除了域名,但是如果域名也很类似,那么你觉得自己可以不中招吗?
当有人在钓鱼网站输入了密码之后,会自动跳转到真实网站,为了尽量让用户无感,输入的内容也会出现在攻击者的服务器上:
PS:本文所示内容仅供企业内部安全意识测试,在现实中,超过一定数量的钓鱼网站的搭建可以入刑。
作 者:Testfan Covan
出 处:微信公众号:自动化软件测试平台
版权说明:欢迎转载,但必须注明出处,并在文章页面明显位置给出文章链接