Les 3 principals eines de pesca per a la pirateria ètica
introducció
Mentre que Phishing Els atacs poden ser utilitzats per actors maliciosos per robar dades personals o difondre programari maliciós, els pirates informàtics ètics poden utilitzar tàctiques similars per provar vulnerabilitats a la infraestructura de seguretat d'una organització. Aquests instruments estan dissenyats per ajudar els pirates informàtics ètics a simular atacs de pesca del món real i provar la resposta dels empleats d'una organització a aquests atacs. Mitjançant aquestes eines, els pirates informàtics ètics poden identificar les vulnerabilitats de la seguretat d'una organització i ajudar-los a prendre les mesures necessàries per protegir-se dels atacs de pesca. En aquest article, explorarem les 3 principals eines de pesca per a la pirateria ètica.
SEToolkit
Social Engineering Toolkit (SEToolkit) és un conjunt d'eines de Linux dissenyat per ajudar els atacs d'enginyeria social. Inclou diversos models automatitzats d'enginyeria social. Un cas d'ús de SEToolkit és clonar un lloc web per recollir credencials. Això es pot fer en els passos següents:
- Al terminal de Linux, introduïu kit d'eines.
- Al menú, escolliu la primera opció entrant 1 a la terminal.
- A partir dels resultats, introduïu 2 al terminal per seleccionar Vectors d'atac al lloc web. seleccionar Mètode d'atac de la recol·lectora de credencials, després trieu Plantilla web.
- Seleccioneu la vostra plantilla preferida. Es retorna una adreça IP que redirigeix al lloc clonat.
- Si algú de la mateixa xarxa visita l'adreça IP i introdueix les seves credencials, es recull i es pot visualitzar al terminal.
Un escenari on això es pot aplicar és si esteu dins d'una xarxa i coneixeu una aplicació web que utilitza l'organització. Només podeu clonar aquesta aplicació i girar-la dient a un usuari que canviï la seva contrasenya o establir la seva contrasenya.
Kingphisher
Kingphisher és una plataforma completa de simulació de pesca que us permet gestionar les vostres campanyes de pesca, enviar diverses campanyes de pesca, treballar amb diversos usuaris, crear pàgines HTML i desar-les com a plantilles. La interfície gràfica d'usuari és fàcil d'utilitzar i ve carregada prèviament amb Kali. La interfície també us permet fer un seguiment de si un visitant obre una pàgina o si un visitant fa clic en un enllaç. Si necessiteu una interfície de disseny gràfic per començar amb la pesca o els atacs d'enginyeria social, Kingphisher és una bona opció.
Gophish
Aquest és un dels marcs de simulació de pesca més populars. Gofish és un marc de pesca complet que podeu utilitzar per realitzar qualsevol tipus d'atac de pesca. Té una interfície molt neta i fàcil d'utilitzar. La plataforma es pot utilitzar per realitzar múltiples atacs de pesca.
Podeu configurar diferents campanyes de pesca, diferents perfils d'enviament, pàgines de destinació i plantilles de correu electrònic.
Creació d'una campanya Gophish
- Al panell esquerre de la consola, feu clic Campanyes.
- A la finestra emergent, introduïu els detalls necessaris.
- Inicieu la campanya i envieu un correu de prova per assegurar-vos que funciona
- La vostra instància de Gophish està preparada per a campanyes de pesca.
Conclusió
En conclusió, els atacs de pesca segueixen sent una amenaça important per a organitzacions de totes les mides, per la qual cosa és imprescindible que els pirates informàtics ètics es mantinguin constantment actualitzats amb les últimes eines i tècniques per defensar-se d'aquests atacs. Les tres eines de pesca que hem comentat en aquest article (GoPhish, Social-Engineer Toolkit (SET) i King Phisher) ofereixen una sèrie de funcions potents que poden ajudar els pirates informàtics ètics a provar i millorar la postura de seguretat de la seva organització. Tot i que cada eina té els seus punts forts i febles únics, entenent com funcionen i seleccionant la que millor s'adapti a les vostres necessitats específiques, podeu millorar la vostra capacitat per identificar i mitigar els atacs de pesca.
