-실습 환경- vmware workstation 12 pro kali 2020.03 windows 10 |
* setoolkit 이란, Social Engineering의 약자로, 칼리 리눅스에 내장되어 있는 도구입니다. 이 사회 공학 키트는 타깃의 물리적, 기술적 보안 취약점을 이용하지 않고 사람의 성격 또는 신뢰도에 따른 취약점을 이용하는 사회공학적 기법에 사용됩니다.
* 실습 내용 : 공격자는 구글 로그인 페이지를 복제한 피싱 사이트를 제작한다. 피해자는 공격자가 메일을 통해 보낸 링크를 클릭한다. 구글 로그인 페이지로 착각한 피해자는 계정 정보를 입력한다. 공격자는 해당 정보를 탈취할 수 있다.
실습 과정
1. setoolkit 실행
2. 피싱 사이트 제작하기 위해 1 입력
3. Website Attack Vectores 선택 > 2 입력
4. Credential Harvester Attack Method 선택 > 3 입력
☞ Credential Harvester Attack Method 모듈은 실제 웹 사이트를 기반으로 복제한 피싱 사이트를 이용하여 사용자들의 id/password 정보를 탈취하는 데 사용되는 모듈입니다.
5. Web Templates 선택 > 1 (툴에 내장된 웹 템플릿 사용)
☞ 2번을 선택할 경우, 공격자가 복제하고 싶은 사이트 주소 직접 입력하여 복제합니다.
6. ip 주소 확인하여 (명령어 ipconfig) 피싱사이트 주소로 입력
7. 피싱 템플릿 선택하여 피싱 사이트 완성
8. 공격자가 보낸 메일을 통해 피해자가 접속했다고 가정
(자세히 보면 url이 다름)
9. 공격자는 피해자의 계정 정보 확인
10. 중단 후 생성된 /root/.set/reports/ 하위 파일에서도 획득한 정보를 확인 가능
참고사이트
'보안' 카테고리의 다른 글
| CSRF (크로스 사이트 리퀘스트 변조) 실습 (0) | 2021.08.12 |
|---|---|
| Ghostcat 취약점 실습 : CVE-2020-1938 (1) | 2021.07.23 |
| VMware에 칼리 리눅스 설치하기 (0) | 2021.06.26 |