利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

给大家介绍的开源工具叫Social-Engineer Toolkit,简称SETookit,地址是

https://github.com/trustedsec/social-engineer-toolkit

有5千的star。

SEToolkit是专门用于社会工程的高级攻击包,首先大家要了解下啥叫社会工程学。

社会工程学(Social Engineering)在上世纪60年代左右作为正式的学科出现,广义社会工程学的定义是:建立理论并通过利用自然的、社会的和制度上的途径来逐步地解决各种复杂的社会问题。

那么社会工程学大家可以简化的理解为诈骗,在现实生活中的一些实例大概主要电信诈骗、钓鱼邮件和钓鱼网站。

利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

 

那么我们这边就先不做如何判断钓鱼网站的讲解,先教大家如何利用SET来搭建钓鱼网站。

如何利用SET来搭建钓鱼网站

那么钓鱼网站的目的大家肯定要非常清楚,那就是获取目标的一些特殊信息,一般是密码、家庭住址、身份证号、手机号码等一些敏感的不公开的信息,接受的方式往往是表单形式的提交。

我们使用的公司在渗透测试工具集成系统Kali Linux中可以直接使用,或者自己下载代码在一些兼容的Linux上部署使用。

工具是命令行形式,会出现如下的界面:

利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

 

依次选择Social-Engineering Attacks(社会工程学攻击)->Website Attack Vectors(网站攻击生成器)->Credential Harvester Attack Method(认证收割攻击方式)->Site Cloner(网站克隆器)。

接下里就会让你输入地址,这边的地址是被攻击者会访问的地址(往往是跟真是网站域名非常类似的网站,比如51job.com可以使用假域名5ljob.com),我这边就是用ip作为钓鱼网站的地址:

利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

 

需要模仿的钓鱼网站我就以ask.testfan.cn/login的登录页面为例,目的是为了钓鱼网站用户输入自己的密码。

大家可以看下如下两张图的区别,从页面上基本看不出,除了域名,但是如果域名也很类似,那么你觉得自己可以不中招吗?

利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

 

利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

 

当有人在钓鱼网站输入了密码之后,会自动跳转到真实网站,为了尽量让用户无感,输入的内容也会出现在攻击者的服务器上:

利用开源工具搭建钓鱼网站对公司员工进行安全意识测试

 

PS:本文所示内容仅供企业内部安全意识测试,在现实中,超过一定数量的钓鱼网站的搭建可以入刑。

作 者:Testfan Covan

出 处:微信公众号:自动化软件测试平台

版权说明:欢迎转载,但必须注明出处,并在文章页面明显位置给出文章链接

原文链接:https://www.cnblogs.com/testfan2019/p/12524940.html

原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/18739

(0)
上一篇 2023年8月27日 23:32
下一篇 2023年8月28日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

优速盾注册领取大礼包www.cdnb.net
/sitemap.xml