O Toolkit de Social-Engineer (SET)

- SET (Social Enginner)

"O SET foi desenvolvido para coincidir com o lançamento da Social-Engineer.org, um conjunto de recursos concebido por Chris Hadnagy (loganWHD) e David Kennedy.

O site oferece um local centralizado para engenharia social e tutoriais. E explica terminologias, definições, e os cenários que podem ajudar a prepará-lo para hackear a mente humana.

O objetivo da SET é preencher uma lacuna na comunidade de testes de penetração e trazer consciência para ataques de engenharia social. E conseguiu. SET já foi baixado 1 milhão de vezes e agora é um padrão da indústria para implantação de ataques de engenharia social.

O toolkit ataques, tem como alvo fraquezas humanas, exploração de credibilidade, curiosidade, avareza, e a estupidez humana, simples.

Os ataques de engenharia estão em uma elevação de todos os tempos e sempre foram um grande risco para muitas organizações. É claro, a engenharia social não é nada novo. Uma pessoa tentando convencer outra a realizar atos que ele normalmente não faria é tão antiga quanto o próprio tempo.

Muitos na comunidade de segurança acreditam que a engenharia social é uma das maiores organizações que enfrentam riscos, porque é extremamente difícil proteger organizações que sejam atacados desta forma. (Você pode se lembrar da "Operação Aurora ultra-ataque", por exemplo, em que engenharia social foi usada para atacar fontes de Gmail e de outros dados do Google).

Um vetor de ataque é a avenida usada para obter informações ou acesso a um sistema. SET classifica ataques, de vetor de ataque (como e-mail, WEB, e-USB). Ele usa e-mail, sites falsos, e outros vetores para atingir alvos humanos, normalmente enganando os indivíduos em comprometer o alvo ou divulgação de informações sensíveis.

Naturalmente, cada vetor pode ter uma diferente taxa de sucesso, dependendo do seu destino e da sua comunicação utilizada. SET também vem com e-mail pré construídos e website templates que podem ser usados para a engenharia social de ataques."

Fonte: Metasploit The Penetration Testers Guide

Na distribuição BackTrack temos o SET, já instalado por padrão, e esse tutorial utiliza a distribuição BackTrack 5.

Abra um terminal e dirija-se:

# cd /pentest/exploit/set

Agora vamos em primeiro lugar atualizar a ferramenta:

# svn update

Feito! Vamos iniciar o SET:

# ./set

Abrirá um menu. Note que existem vários ataques a serem feitos e neste caso, faremos o sequestro de dados através da falsificação de uma página. Escolha no menu a 'opção 1' -> Social-Engineering Attacks.

O próximo passo é escolher a 'opção 2' -> Web sites Attacks Vectors.

Depois escolha a 'opção 3' -> Credential Harvester Attack Method.

Ok!!!

No Passo seguinte vamos escolher a 'opção 2' -> Site Cloner.

O próximo passo é você digitar o endereço completo da URL desejada: http://gmail.com, por exemplo.

Lembre-se que, a ideia aqui é buscar dados de login (Usuário e senha). Por tanto é interessante que se faça o clone de uma página que tenha esses campos!!

Após o endereço digitado pressione 'Enter' e logo depois, 'Enter' de novo...

Pronto!!

Vá em outra máquina e digite na URL o endereço IP do BackTrack. E veja a página alocada, assim digite usuário e senha, e acompanhe o que acontecerá!!

Galera, este foi um aperitivo desta ferramenta muito forte e versátil.

Mas Nunca Façam besteiras com ela!!

Sempre honesto!

Grato && até a próxima.