Metasploit - Ingeniería social
La ingeniería social se puede definir ampliamente como un proceso de extracción de información confidencial (como nombres de usuario y contraseñas) mediante trucos. Los piratas informáticos a veces utilizan sitios web falsos y ataques de phishing para este propósito. Intentemos comprender el concepto de ataques de ingeniería social a través de algunos ejemplos.
Ejemplo 1
Debes haber notado que los documentos antiguos de la empresa se tiran a la basura como basura. Estos documentos pueden contener información confidencial como nombres, números de teléfono, números de cuenta, números de seguro social, direcciones, etc. Muchas empresas todavía usan papel carbón en sus máquinas de fax y una vez que se termina el rollo, el carbón se deposita en el cubo de la basura que puede tener rastros. de datos sensibles. Aunque suene improbable, los atacantes pueden recuperar fácilmente información de los contenedores de basura de la empresa robando la basura.
Ejemplo 2
Un atacante puede hacerse amigo del personal de la empresa y establecer una buena relación con él durante un período de tiempo. Esta relación se puede establecer en línea a través de las redes sociales, salas de chat o fuera de línea en una mesa de café, en un patio de juegos o por cualquier otro medio. El atacante confía en el personal de la oficina y, finalmente, extrae la información confidencial necesaria sin dar una pista.
Ejemplo 3
Un ingeniero social puede hacerse pasar por un empleado o un usuario válido o un VIP falsificando una tarjeta de identificación o simplemente convenciendo a los empleados de su puesto en la empresa. Dicho atacante puede obtener acceso físico a áreas restringidas, lo que brinda más oportunidades para ataques.
Ejemplo 4
En la mayoría de los casos sucede que un atacante puede estar cerca de usted y puede hacer shoulder surfing mientras escribe información confidencial como ID de usuario y contraseña, PIN de cuenta, etc.
Ataque de ingeniería social en Metasploit
En esta sección, discutiremos cómo puede iniciar un ataque de ingeniería social usando Metasploit.
En primer lugar, vaya a la página de inicio de Metasploit y haga clic en Phishing Campaign, como se muestra en la siguiente captura de pantalla.
Ingrese el nombre del proyecto y haga clic en Siguiente.
Ingrese el nombre de la campaña. En nuestro caso, esLab. A continuación, haga clic en elE-mail icono debajo Campaign Components.
En la siguiente pantalla, debe proporcionar los datos solicitados de acuerdo con su campaña.
A continuación, haga clic en el Contenticono (número 2) si desea cambiar algo en el contenido del correo electrónico. Después de cambiar el contenido, haga clic enSave.
A continuación, haga clic en el Landing Page para establecer las URL a las que desea redirigir a los usuarios engañados.
Como se muestra en la siguiente captura de pantalla, ingrese la URL en Path y haga clic en Next.
En la siguiente pantalla, haga clic en el botón Clone Websiteque abrirá otra ventana. Aquí, debe ingresar al sitio web que desea clonar. Como puede ver en la siguiente captura de pantalla, ingresamostutorialpoint.comen este campo. A continuación, haga clic en elClone y guarde sus cambios.
A continuación, haga clic en el Redirect Page botón.
Hacer clic Next y llegará a ver la siguiente pantalla.
Puede hacer clic en el Clone Website para volver a clonar el sitio web redirigido.
A continuación, en el Server Configuration sección, haga clic en el E-mail Server botón.
En la siguiente pantalla, ingrese mailserver settingsque se utilizará como retransmisor para enviar este correo electrónico de phishing. Luego, haga clic enSave.
En el Notifications sección, hay una opción para Notify others before launching the campaign. Puede optar por utilizar esta opción para notificar a otros. Luego, haga clic enSave.
A continuación, verá una nueva ventana. Aquí, debe hacer clic en elStart para iniciar el proceso de envío de correos electrónicos de phishing.
Metasploit tiene opciones para generar un informe estadístico de su campaña de phishing. Aparecerá como se muestra en la siguiente captura de pantalla.