利用kali linux制作网站钓鱼攻击
一、社会工程学
社会工程学:一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法。
黑客技术如何与社会工程学结合一直是我们研究的话题,接下来小编给大家讲讲如何利用kali linux制作网站钓鱼攻击。
二、工具介绍
kali linux
Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。
Kali Linux预装了许多渗透测试软件,包括nmap (端口扫描器)、Wireshark (数据包分析器)、John the Ripper (密码破解器),以及Aircrack-ng (一应用于对无线局域网进行渗透测试的软件)。用户可通过硬盘、live CD或live USB运行Kali Linux。Metasploit的Metasploit Framework支持Kali Linux,Metasploit一套针对远程主机进行开发和执行Exploit代码的工具。
简单的说,kali linux就是我们用来渗透专门使用的操作系统,里面有很多渗透工具。
setoolkit攻击工具集
Setoolkit是kali linux上面的一个攻击工具集合,它上面收集了许多攻击方法、漏洞利用代码、辅助脚本等,因为内容涉及太多这里不作详细的介绍。今天我们要研究的是选项1),社会工程学攻击集。
三、攻击实例剖析
实例:通过钓鱼站点获取用户名、密码。
图1的基础上面,选择选项1)进入的界面,也就是选择了社会工程学攻击集,详细功能介绍如图3所示。里面有11个选项,内容很多,今天我们研究的是2)选项,网站钓鱼攻击。
使用信息收集方式,选择3)。
如图所示选择2)克隆站点,黑客可以选择一个你经常访问的站点进行克隆。
上图所示就是受害者经常访问的站点。因为经常访问,而且是办公的系统所以不会怀疑访问的站点是否有问题。
我们成功克隆站点,和正常的站点一模一样,当受害者访问黑客克隆的站点时就会毫不犹豫的输入用户名密码。
上图所示就是黑客收集信息的服务器。可以看到,当受害者访问克隆的站点时(钓鱼站点),输入用户名、密码后会自动跳转到真正的站点,然后受害者再次登录时可以正常的登录,同时收集信息的服务器已经记录刚才输入的信息。
四、小结
上面就是一个简单的黑客利用社会工程学,建立钓鱼站点,骗取用户名、密码的实例。
通过这个简单的实例我们要思考的问题就是如何提高自己的安全意识。在这个网络占据我们大部分生活的时代,我们每天都会访问大量的站点,懂得保护自我显得十分重要。
下面总结几点如何防范此类安全问题:
1.别人发的url地址,一定要检查域名是不是真的,防止被钓鱼;
2.不要贪图省流量,连接安全性未知的wifi。因为如果是钓鱼wifi,那么除了可以中间人攻击获取信息之外还可以设置DNS服务器,然后利用上述事例进行钓鱼站点骗取;