Metasploit-social-engineering
Metasploit-ソーシャルエンジニアリング
ソーシャルエンジニアリングは、機密情報(ユーザー名やパスワードなど)を巧妙に抽出するプロセスとして広く定義できます。 ハッカーは、この目的で偽のWebサイトやフィッシング攻撃を使用することがあります。 いくつかの例を通して、ソーシャルエンジニアリング攻撃の概念を理解してみましょう。
例1
古い会社のドキュメントがゴミとしてゴミ箱に捨てられていることに気づいたに違いありません。 これらの文書には、名前、電話番号、口座番号、社会保障番号、住所などの機密情報が含まれる場合があります。 多くの企業はまだファックス機でカーボンペーパーを使用しており、ロールが終了すると、そのカーボンは機密データの痕跡があるゴミ箱に入ります。 ありそうもないように聞こえますが、攻撃者はゴミを盗むことで会社のゴミ箱から簡単に情報を取得できます。
例2
攻撃者は会社の従業員と仲良くなり、一定期間にわたって彼と良好な関係を築くことができます。 この関係は、ソーシャルネットワーク、チャットルーム、またはコーヒーテーブル、遊び場、その他の手段を介してオンラインで確立できます。 攻撃者はオフィスの人員を自信を持って連れて行き、最終的に手がかりを与えずに必要な機密情報を探し出します。
実施例3
ソーシャルエンジニアは、身分証明書を偽造するか、単に従業員に会社での地位を説得することにより、従業員または有効なユーザーまたはVIPのふりをすることができます。 このような攻撃者は、制限された領域に物理的にアクセスできるため、攻撃の機会がさらに増えます。
実施例4
ほとんどの場合、攻撃者があなたの周りにいて、ユーザーIDやパスワード、アカウントPINなどの機密情報を入力している間に*ショルダーサーフィン*を行うことができます。
Metasploitのソーシャルエンジニアリング攻撃
このセクションでは、Metasploitを使用してソーシャルエンジニアリング攻撃を開始する方法について説明します。
まず、Metasploitのホームページに移動し、次のスクリーンショットに示すように、[フィッシングキャンペーン]をクリックします。
プロジェクトの名前を入力し、「次へ」をクリックします。
キャンペーンの名前を入力します。 この例では、 Lab です。 次に、 Campaign Components の下の E-mail アイコンをクリックします。
次の画面で、キャンペーンに従って要求されたデータを提供する必要があります。
次に、メールの内容を変更する場合は、*コンテンツ*アイコン(番号2)をクリックします。 コンテンツを変更したら、[保存]をクリックします。
次に、*ランディングページ*アイコンをクリックして、だまされたユーザーをリダイレクトするURLを設定します。
次のスクリーンショットに示すように、 Path にURLを入力し、 Next をクリックします。
次の画面で、ウェブサイトのクローン*ボタンをクリックすると、別のウィンドウが開きます。 ここで、クローンを作成するWebサイトを入力する必要があります。 次のスクリーンショットでわかるように、このフィールドに *tutorialpoint.com と入力しました。 次に、[クローン]ボタンをクリックして、変更を保存します。
次に、[*リダイレクトページ]ボタンをクリックします。
[次へ]をクリックすると、次の画面が表示されます。
[Webサイトの複製]ボタンをクリックして、リダイレクトされたWebサイトを再度複製できます。
次に、[サーバー構成]セクションで[*メールサーバー]ボタンをクリックします。
次の画面で、このフィッシングメールを送信するためのリレーとして使用される mailserver settings を入力します。 次に、[保存]をクリックします。
通知*セクションには、*キャンペーンを開始する前に*他の人に通知する*オプションがあります。 このオプションを使用して、他の人に通知することを選択できます。 次に、[*保存]をクリックします。
次に、新しいウィンドウが表示されます。 ここで、[スタート]ボタンをクリックして、フィッシングメールの送信プロセスを開始する必要があります。
Metasploitには、フィッシングキャンペーンの統計レポートを生成するオプションがあります。 次のスクリーンショットに示すように表示されます。
