মানুষ সর্বকালের সেরা সম্পদ এবং নিরাপত্তা দুর্বলতার শেষ বিন্দু। সোশ্যাল ইঞ্জিনিয়ারিং হ'ল এক ধরণের আক্রমণ যা মানুষের আচরণকে নিপীড়ন করে এবং তাদের বিশ্বাসের সাথে খেলা করে, যার লক্ষ্য গোপনীয় তথ্য যেমন ব্যাংকিং অ্যাকাউন্ট, সোশ্যাল মিডিয়া, ইমেইল, এমনকি টার্গেট কম্পিউটারে অ্যাক্সেস। কোন সিস্টেম নিরাপদ নয়, কারণ সিস্টেমটি মানুষের দ্বারা তৈরি করা হয়। সামাজিক প্রকৌশল আক্রমণ ব্যবহার করে সবচেয়ে সাধারণ আক্রমণ ভেক্টর ইমেইল স্প্যামিং এর মাধ্যমে ফিশিং ছড়ায়। তারা এমন একজন ভুক্তভোগীকে টার্গেট করে যার আর্থিক অ্যাকাউন্ট আছে যেমন ব্যাংকিং বা ক্রেডিট কার্ডের তথ্য।
সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ সরাসরি একটি সিস্টেমে ভাঙছে না, বরং এটি মানুষের সামাজিক মিথস্ক্রিয়া ব্যবহার করছে এবং আক্রমণকারী সরাসরি ভুক্তভোগীর সাথে আচরণ করছে।
তোমার কি মনে আছে? কেভিন মিটনিক ? পুরানো যুগের সামাজিক প্রকৌশল কিংবদন্তি। তার বেশিরভাগ আক্রমণ পদ্ধতিতে, তিনি ভুক্তভোগীদের প্রতারণা করে বিশ্বাস করতেন যে তিনি সিস্টেম কর্তৃপক্ষের অধিকারী। আপনি হয়তো ইউটিউবে তার সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক ডেমো ভিডিও দেখেছেন। এটার দিকে দেখ!
এই পোস্টে আমি আপনাকে কিভাবে দৈনন্দিন জীবনে সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক প্রয়োগ করতে হয় তার সহজ দৃশ্য দেখাতে যাচ্ছি। এটা খুব সহজ, শুধু টিউটোরিয়ালটি সাবধানে অনুসরণ করুন। আমি স্পষ্টভাবে দৃশ্যকল্প ব্যাখ্যা করব।
ইমেল অ্যাক্সেস পেতে সোশ্যাল ইঞ্জিনিয়ারিং অ্যাটাক
লক্ষ্য : ইমেইল ক্রেডেনশিয়াল অ্যাকাউন্টের তথ্য অর্জন করা
আক্রমণকারী : আমি
টার্গেট : আমার বন্ধু. (হ্যাঁ, সত্যি)
যন্ত্র : কম্পিউটার বা ল্যাপটপ চলমান কালী লিনাক্স। আর আমার মোবাইল ফোন!
পরিবেশ : অফিস (কর্মক্ষেত্রে)
টুল : সোশ্যাল ইঞ্জিনিয়ারিং টুলকিট (SET)
সুতরাং, উপরের দৃশ্যের উপর ভিত্তি করে আপনি কল্পনা করতে পারেন যে আমাদের এমনকি ভিকটিমের ডিভাইসের প্রয়োজন নেই, আমি আমার ল্যাপটপ এবং আমার ফোন ব্যবহার করেছি। আমার কেবল তার মাথা এবং বিশ্বাস দরকার, এবং বোকামিও! কারণ, আপনি জানেন, মানুষের মূর্খতা প্যাচ করা যায় না, সিরিয়াসলি!
এই ক্ষেত্রে আমরা প্রথমে আমার কালী লিনাক্সে ফিশিং জিমেইল অ্যাকাউন্ট লগইন পৃষ্ঠা সেটআপ করতে যাচ্ছি, এবং আমার ফোনটি একটি ট্রিগার ডিভাইস হিসাবে ব্যবহার করব। আমি কেন আমার ফোন ব্যবহার করেছি? আমি নীচে ব্যাখ্যা করব, পরে।
সৌভাগ্যবশত আমরা কোন টুলস ইন্সটল করতে যাচ্ছি না, আমাদের কালী লিনাক্স মেশিনে প্রি-ইন্সটল করা SET (Social Engineering Toolkit) আছে, এটাই আমাদের প্রয়োজন। ওহ হ্যাঁ, যদি আপনি না জানেন যে SET কি, আমি আপনাকে এই টুলকিটের পটভূমি দেব।
সোশ্যাল ইঞ্জিনিয়ারিং টুলকিট, মানুষের পাশে অনুপ্রবেশ পরীক্ষা করার জন্য ডিজাইন করা হয়েছে। সেট ( শীঘ্রই ) TrustedSec এর প্রতিষ্ঠাতা দ্বারা বিকশিত ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) , যা পাইথনে লেখা, এবং এটি ওপেন সোর্স।
ঠিক আছে এটা যথেষ্ট ছিল আসুন অনুশীলন করি। সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণের আগে আমাদের প্রথমে আমাদের ফিসিং পেজ সেট আপ করতে হবে। এখানে, আমি আমার ডেস্কে বসে আছি, আমার কম্পিউটার (কালী লিনাক্স চালাচ্ছে) ইন্টারনেটের সাথে আমার মোবাইল ফোনের মতো ওয়াই-ফাই নেটওয়ার্ক সংযুক্ত আছে (আমি অ্যান্ড্রয়েড ব্যবহার করছি)।
পদক্ষেপ 1. ফিজিং পৃষ্ঠা সেট করুন
Setoolkit কমান্ড লাইন ইন্টারফেস ব্যবহার করছে, তাই এখানে 'ক্লিক-ক্লিকি' আশা করবেন না। টার্মিনাল খুলুন এবং টাইপ করুন:
~# setoolkitআপনি উপরে স্বাগত পৃষ্ঠা এবং নীচে আক্রমণ বিকল্প দেখতে পাবেন, আপনি এই মত কিছু দেখতে হবে।
হ্যাঁ, অবশ্যই, আমরা পারফর্ম করতে যাচ্ছি সামাজিক প্রকৌশল আক্রমণ , তাই সংখ্যা নির্বাচন করুন ঘ এবং ENTER চাপুন।
এবং তারপর আপনি পরবর্তী বিকল্প প্রদর্শন করা হবে, এবং সংখ্যা নির্বাচন করুন 2. ওয়েবসাইট আক্রমণ ভেক্টর। আঘাত লিখুন
পরবর্তী, আমরা সংখ্যা নির্বাচন করি 3. শংসাপত্র হারভেস্টার আক্রমণ পদ্ধতি । আঘাত প্রবেশ করুন।
আরও বিকল্পগুলি সংকীর্ণ, SET- এ রয়েছে জনপ্রিয় ওয়েবসাইট, যেমন গুগল, ইয়াহু, টুইটার এবং ফেসবুকের প্রি-ফরম্যাট করা ফিসিং পেজ। এখন সংখ্যা নির্বাচন করুন 1. ওয়েব টেমপ্লেট ।
কারণ, আমার কালী লিনাক্স পিসি এবং আমার মোবাইল ফোন একই ওয়াই-ফাই নেটওয়ার্কে ছিল, তাই শুধু আক্রমণকারীকে ইনপুট করুন ( আমার পিসি ) স্থানীয় আইপি ঠিকানা। এবং আঘাত লিখুন
PS: আপনার ডিভাইসের IP ঠিকানা চেক করতে, টাইপ করুন: 'ifconfig'
ঠিক আছে এখন পর্যন্ত, আমরা আমাদের পদ্ধতি এবং শ্রোতার আইপি ঠিকানা সেট করেছি। আমি উপরে উল্লিখিত এই বিকল্পগুলিতে পূর্বনির্ধারিত ওয়েব ফাইসিং টেমপ্লেটগুলি তালিকাভুক্ত করেছি। কারণ আমরা গুগল অ্যাকাউন্ট পৃষ্ঠাকে লক্ষ্য করেছি, তাই আমরা সংখ্যাটি বেছে নিই 2. গুগল । আঘাত লিখুন ।
দ্যএখন, SET আমার কালি লিনাক্স ওয়েব সার্ভার পোর্ট 80 এ শুরু করে, ভুয়া গুগল অ্যাকাউন্ট লগইন পৃষ্ঠা দিয়ে। আমাদের সেটআপ সম্পন্ন হয়েছে। এখন আমি আমার মোবাইল ফোন ব্যবহার করে এই ফিশিং পেজে লগইন করার জন্য আমার বন্ধুদের ঘরে walkingুকতে প্রস্তুত।
পদক্ষেপ 2. শিকার শিকার
কেন আমি মোবাইল ফোন (অ্যান্ড্রয়েড) ব্যবহার করছি? আমার অন্তর্নির্মিত অ্যান্ড্রয়েড ব্রাউজারে পৃষ্ঠাটি কীভাবে প্রদর্শিত হয় তা দেখা যাক। সুতরাং, আমি আমার কালী লিনাক্স ওয়েব সার্ভার অ্যাক্সেস করছি 192.168.43.99 ব্রাউজারে। এবং এখানে পৃষ্ঠা:
দেখা? এটি এত বাস্তব দেখায়, এতে কোনও নিরাপত্তা সমস্যা নেই। ইউআরএল বার ইউআরএল এর পরিবর্তে শিরোনাম দেখায়। আমরা জানি বোকা এইটিকে আসল গুগল পৃষ্ঠা হিসাবে স্বীকৃতি দেবে।
সুতরাং, আমি আমার মোবাইল ফোন নিয়ে আসি, এবং আমার বন্ধুর কাছে যাই, এবং তার সাথে কথা বলি যেন আমি গুগলে লগইন করতে ব্যর্থ হয়েছি এবং যদি আমি ভাবছি যে গুগল ক্র্যাশ হয়েছে বা ভুল হয়েছে। আমি আমার ফোন দিয়েছি এবং তাকে তার অ্যাকাউন্ট ব্যবহার করে লগইন করার চেষ্টা করতে বলছি। তিনি আমার কথায় বিশ্বাস করেন না এবং অবিলম্বে তার অ্যাকাউন্টের তথ্য লিখতে শুরু করেন যেন এখানে খারাপ কিছু হবে না। হাহাহা।
তিনি ইতিমধ্যে সমস্ত প্রয়োজনীয় ফর্ম টাইপ করেছেন, এবং আমাকে ক্লিক করতে দিন সাইন ইন করুন বোতাম। আমি বোতামটি ক্লিক করি… এখন এটি লোড হচ্ছে… এবং তারপরে আমরা গুগল সার্চ ইঞ্জিনের মূল পৃষ্ঠাটি পেয়েছি।
PS: একবার ভিকটিম ক্লিক করে সাইন ইন করুন বোতাম, এটি আমাদের শ্রোতা মেশিনে প্রমাণীকরণ তথ্য পাঠাবে, এবং এটি লগ করা হয়েছে।
কিছুই হচ্ছে না, আমি তাকে বলছি, সাইন ইন করুন বোতামটি এখনও আছে, আপনি যদিও লগইন করতে ব্যর্থ হয়েছেন। এবং তারপরে আমি আবার ফিসিং পৃষ্ঠাটি খুলছি, যখন এই বোকার আরেক বন্ধু আমাদের কাছে আসছে। নাহ, আমরা আরেকটি শিকার পেয়েছি।
যতক্ষণ না আমি কথা কাটছি, তারপর আমি আমার ডেস্কে ফিরে যাই এবং আমার SET এর লগ চেক করি। এবং এখানে আমরা পেয়েছি,
গোচ্চা ... আমি তোমাকে পিন্ড করি !!!
উপসংহারে
আমি গল্প বলায় ভালো নই ( এটাই আসল কথা ), আক্রমণের সংক্ষিপ্তসার এখন পর্যন্ত পদক্ষেপগুলি হল:
- খোলা 'setoolkit'
- পছন্দ করা 1) সামাজিক প্রকৌশল আক্রমণ
- পছন্দ করা 2) ওয়েবসাইট আক্রমণ ভেক্টর
- পছন্দ করা 3) শংসাপত্র হারভেস্টার আক্রমণ পদ্ধতি
- পছন্দ করা 1) ওয়েব টেমপ্লেট
- ইনপুট আইপি ঠিকানা
- পছন্দ করা গুগল
- শুভ শিকার ^_