Module 04:
ソーシャルエンジニアリング侵入テスト方法論
Exercise 1:
ソーシャルエンジニアリング ツールキットを使用したフィッシング キャンペーンの実施
シナリオ
ソーシャル エンジニアリングは、世界中の組織にとってますます脅威となっています。ソーシャル エンジニアリング攻撃は、企業を侵害するために毎日使用されています。アンダーグラウンドのハッキング コミュニティで利用できるハッキング ツールは数多くありますが、ソーシャル エンジニアリング ツールキットは、スピア フィッシング攻撃や Web サイト攻撃などの実行に無料で使用できるため、攻撃者にとっては恩恵があります。攻撃者は電子メール メッセージの下書きを作成し、悪意のあるファイルを添付できます。スピアフィッシング攻撃手法を使用して多くの人々に送信します。また、マルチ攻撃手法により、Java アプレット、Metasploit ブラウザ、Credential Harvester/Tabnabbing などを一度に利用することができます。このツールキットを使用するとさまざまな種類の攻撃を実行できますが、これはペネトレーション テスターが脆弱性をチェックするために必須のツールでもあります。
情報セキュリティ監査者、ペネトレーション テスター、またはセキュリティ管理者は、フィッシング攻撃を実行するためのソーシャル エンジニアリング ツールキットに精通している必要があります。そして、そのような攻撃の餌食となっている組織内の従業員を特定します。
1,
Parrot Security OSデスクトップが表示されます。ソーシャル エンジニアリング ツールキット (セット) を起動するには、ターミナルを起動し、「 sudo setoolkit 」と入力してEnterを押します。パスワードの入力を求められたら、「toor」と入力してEnterを押します。
2,
Social Engineering Toolkitターミナルが表示され、メニューが表示されます。1を入力してEnterを押し、 「ソーシャル エンジニアリング攻撃」を選択します。
3,
次に、2を入力して[Web サイト攻撃ベクトル](Website Attack Vectors)を選択し、Enterを押します。
4,
このラボでは、ターゲット Web ページを複製し、資格情報ハーベスター攻撃手法を使用して、その (複製された) ページに入力されたユーザー資格情報を収集します。したがって、3 を入力してEnterを押します。
5,
次に、「2」を入力して Enter キーを押し、「Site Cloner」オプションを選択します。
6,
資格情報をポストバックするためのマシンの IP アドレス (複製されたページに入力) を入力するように求められます。Parrot Security OSの IP アドレス、つまり172.19.19.18 を入力し、Enterを押します。
7,
ここで、クローンを作成する Web サイトの URL を入力する必要があります。k今回は、http://www.luxurytreats.com のクローンを作成します。
http://www.luxurytreats.comと入力してEnterを押します。
8,
このアプリケーションは Web ページのクローンを作成し、被害者が資格情報を入力するのを待ちます。
9,
ここで、Parrot Security マシンの IP アドレスを被害者と共有し、被害者に IP アドレスを参照させて資格情報を入力させる必要があります。このラボでは、この IP アドレスを電子メールで共有します。したがって、Firefoxブラウザを起動し、電子メールアカウントにログインして電子メールを作成します。
※
このラボでは、 Gmailにログインします。そのため、電子メールを作成する手順は Gmail に関するものになります。
10,
Gmail アカウントにログインした後、悪意のあるクローン ページにリダイレクトするリンクを開いてクリックするようにユーザーを誘導する誘惑的な電子メールを作成します。電子メールの本文を作成したら、偽の URL を配置する場所にカーソルを移動します。次に、「リンクの挿入」アイコンをクリックします。
11,
[リンクの編集]ウィンドウで、まず [リンク先] セクションの[Web アドレス]フィールドに実際のアドレスを入力し、次に[表示するテキスト]フィールドに偽の URL を入力します。(ここで使用した Web アドレスはhttp://172.19.19.18で、表示するテキストはhttp://www.luxurytreats.com/voucher_activationです。
[OK]ボタンをクリックします。
12,
スクリーンショットに示すように、偽の URL がメッセージ本文に表示されるはずです。偽の URL が本物の URL にリンクされていることを確認するには、偽の URL をクリックします。実際の URL は「リンクに移動」として表示されます。次に、目的のユーザーに電子メールを送信します。
13,
ターゲット ユーザーがリンクをクリックしてページに資格情報を入力すると、リアルタイムで、これらの資格情報は前の手順で構成したソーシャル エンジニアリング ツールキットのターミナルにポストバックされます。これはラボ シミュレーションであるため、あなたも被害者として行動し、複製されたページを参照して資格情報を入力します。このラボでは、 Accounts Deptマシンに管理者としてログインし、電子メール (電子メール受信者として) にアクセスし、リンクを参照して、贅沢な扱いのログイン ページに資格情報を入力します。
14,
Windows マシンのデスクトップが表示されます。タスクバーのGoogle Chromeアイコンをクリックしてブラウザを起動します。
15,
Google Chrome ブラウザは、電子メール アカウント (攻撃者としてフィッシング メールを送信したアカウント) へのログインを開始します。送信したメールを開いてリンクをクリックすると、悪意のあるリンクが開きます。
16,
スクリーンショットに示すように、 luxurytreats Web ページのレプリカが新しいタブに表示されます。
※
攻撃者マシン (Parrot Security OS) の IP アドレスが、正規の URL (http://www.luxurytreats.com) の代わりにアドレス フィールドに表示されます。
17,
認証情報を入力して Web サイトにログインします。Luxurytreats Web サイトにアカウントをお持ちであると仮定し、以下のように詳細を入力します。
ユーザー名: test@luxurytreats.com
パスワード:qwerty@123
22,
資格情報を入力しても、Web サイトにはログインしません。代わりに、luxurytreats.com の正規のページにリダイレクトされます。ブラウザウィンドウを閉じます。
23,
Parrotに切り替えます。被害者 (あなた) が認証情報を入力し、[ログイン] をクリックするとすぐに、ソーシャル エンジニアリング ツールキットがスクリーンショットに示すように入力された認証情報を取得し、攻撃者がこれをリアルタイムで使用して、被害者のアカウントに不正アクセスすることができます。
24,
同様に、そのような電子メールを複数のユーザーと共有し、その餌食となったユーザーを追跡することもできます。キーボードのCtrl+C を押してレポートを生成します
25,
スクリーンショットに示すように、レポートはディレクトリ
/root/.set/reportsにXML 形式で生成されます。
このレポートをそれぞれの侵入テスト ディレクトリに保存します。