社会工程学攻击工具:SET与BeEF深度解析
1. 社会工程学攻击概述
社会工程学攻击利用人们的信任来突破安全防线。大多数安全架构旨在阻止未经邀请的访客进入目标网络,但攻击者可以欺骗内部用户开门放行。攻击者常伪装成权威人士或家庭成员来获取受害者的信任,成功后可能获得受害者的密码、访问凭证或其他有价值的机密信息。
在Kali Linux中有许多工具可辅助进行社会工程学攻击,但最成功的攻击往往基于对目标受众的了解和对其信任的滥用。例如,利用LinkedIn和Facebook等社交媒体上的假账户获取敏感信息;或者伪装成管理员打电话,或冒充失散已久的家庭成员发送电子邮件。
一个很好的自我检查方法是阅读自己的社交媒体账户资料,然后问自己是否能识别出有人提供了相同的公开信息。
2. 社会工程学工具包(SET)
SET由TrustSec的David Kennedy开发,Kali Linux预装了该工具。它常用于复制Google、Facebook和Twitter等可信网站,吸引受害者访问以发动攻击。当受害者在咖啡店等场所不知不觉地浏览这些复制网站时,攻击者可以收集受害者的密码,甚至注入命令外壳,从而完全控制受害者的系统。
2.1 在Raspberry Pi上运行SET的考虑
可以在Raspberry Pi上运行SET,但受害者的网络速度体验会受到Raspberry Pi吞吐量和服务性能的限制。测试中发现,受害者在被重定向到真实网站之前有时会经历明显的延迟,这可能会使他们警觉到可能的攻击。虽然与第一版书中的原始Raspberry Pi相比有了显著改进,但仍建议将Raspberry Pi作为重定向工具(如中间人攻
模块)
