tags: ingegnieria_sociale phishing PhishingTool SET Social_Engeneer_Toolkit setoolkit
Per effettuare un attacco di phishing credibile andremo ad utilizzare un software che contiene molti strumenti per effettuare attacchi di ingegneria sociale.
Lo strumento in questione è setoolkit che ci permette di operare in modo facile e veloce da terminale, lo si avvia con il comando:
sudo apt install set
sudo toolkit
Ora ci appariranno diverse voci noi clicchiamo sulla prima (Social-Engeneering Attacks) con il tasto 1:
Poi clicchiamo su WebSite Attack Vectors con il tasto 2:
Digitare 3 e premere Invio per scegliere il metodo di attacco Credential Harvester:
Digitare 2 e premere Invio per scegliere Site Cloner dal menu:
Ora inserisci l’indirizzo IP della tua macchina attaccante e in seguito l’URL del sito che vuoi clonare per ricavare le credenziali della vittima, coma nell’esempio:
Ora che abbiamo il link malevolo contenente il sito clone lo possiamo inserire in una e-mail di phishing, posiziona il cursore appena sopra i saluti per inserire l’URL falso, quindi fai clic sull’icona Inserisci collegamento:
Nella finestra Inserisci collegamento, digita prima l’URL falso nel campo Visualizza come. Quindi, digita l’indirizzo effettivo del tuo sito clonato nel campo Indirizzo Web (URL) e fai clic su OK. In questo caso, il testo che verrà visualizzato nel messaggio è www.moviescope.com/account-information e l’indirizzo effettivo del nostro sito MovieScope clonato è http://10.10.1.13:
L’email apparirà così:
Ora tornando al nostro terminale con il setoolkit aperto non appena la vittima clicca il link e inserisce le credenziali ci appariranno a schermo:
