在我母亲被黑客入侵之前，我从未意识到获取电子邮件帐户的用户名和密码是多么容易。听她解释发生了什么，我意识到攻击很简单……她通过电子邮件登录她的谷歌账户，要求她确认她的用户名和密码。她为什么要质疑这个要求？

当我访问她的笔记本电脑时，我怀疑对她的凭据的攻击要大得多，并且已经迁移到她的计算机中。当我看着她的笔记本电脑上随机弹出消息时，她告诉我未经授权的亚马逊购买。我关闭了她的电脑，告诉她永远不要再登录，给她买了一台 iPad，并更改了她所有的密码。然后我们就恶意链接和随机支持人员进行了长时间的讨论，他们称她为“帮助”她。

我试图了解她是如何做到帐户被盗的，结果发现这很简单。

电子邮件网络钓鱼攻击

网络钓鱼是一种在线诈骗，犯罪分子通过电子邮件、短信或广告冒充合法组织来窃取用户名和密码。这是通过包含一个链接来实现的，该链接似乎会将您带到公司的网站以填写您的信息 - 但该网站是一个聪明的假冒网站，您提供的信息会直接发送给骗局背后的黑客。

它是这样的：

1. 攻击者向我母亲发送了一封钓鱼邮件。在这种情况下，一个措辞谨慎的文件，点击一个链接，将她登录到他们的 Google.com 帐户。如果她不立即回应，她将被锁定在她的帐户之外。
2. 我妈妈点击了这个链接，然后到达了一个看起来与 Google.com 登录页面相同的网页。
3. 她登录了虚假的 Google.com 网站。她看到了正常的 Google 页面，并认为她已成功登录 Google.com 并防止她的帐户被锁定。
4. 用户名/密码信息被发送给收集凭证数据并进入下一阶段攻击的黑客。

网络钓鱼电子邮件

精心制作的没有拼写错误或奇怪语法的网络钓鱼电子邮件对于网络钓鱼活动的成功非常重要。她收到的电子邮件与此类似，主题为：验证您的 Google 帐户。

网络钓鱼电子邮件

这种特殊的方法使用了恶意行为者使用的两种常见的社会工程工具：信任和紧迫性。

具有讽刺意味的是，在我向自己发送这封测试网络钓鱼电子邮件几天后，我看到它就在我的收件箱中，然后打开它忘记了我为这篇文章制作了这个警报。如果你分心，很容易被愚弄！

黑客如何窃取我母亲的登录信息

我们将在本演练中使用 Kali Linux，但有几个工具可用于凭证收集。这种攻击非常简单，我很惊讶它如此容易实施。

入门

1. 从命令行以 root 身份启动 Social Engineering Toolkit (SET)。

# setoolkit

Social-Engineer Toolkit 是由trustedsec.com 提供的一套用于渗透测试和道德黑客攻击的工具。

1. 从主菜单中，选择选项 1 ，社会工程攻击。

   
   

从社会工程攻击菜单中选择选项 2 ，网站攻击向量。

1. 从 Social-Engineering Attacks 子菜单中，选择Option 2, Website Attack Vectors 。

   
   

从网站攻击向量菜单中，选择选项 3 ，凭据收集器攻击方法。使用内置模板，此选项允许我们使用流行的网站，例如 Google、Yahoo、Twitter 和 Facebook。

对于 Credential Harvester Attack 方法，选择选项 1， Web 模板

Credential Harvester 开始构建收集站点。如果您使用同一台机器来收集您的信息，请在 Harvester/Tabnapping [192.168.1.183]: 选项中使用 POST 回的默认 IP 地址。将此地址更改为您的机器。

从 Web 模板列表中，选择选项 2 。谷歌。

网页模板菜单

Social Engineer Toolkit — Credential Harvester Attack通过克隆 google.com 的副本来构建一个临时网站。它将在您指定的地址启动一个网络服务器，并在端口 80 上启动一个侦听器。到此端口的任何连接都会记录到控制台。

凭证收集器控制台

您可以通过将浏览器指向您在 Harvester/Tabnapping 部分提供的 IP 地址或将此链接嵌入到您精心制作的网络钓鱼电子邮件中来测试此漏洞。

漏洞利用已完成。黑客需要做的就是等待有人加载页面。

普通用户不会注意到 Web 浏览器位置栏中以红色突出显示的非传统 URL 和 Not Secure 锁定。

成功的凭证捕获

同时，攻击者等待以下消息。

完成伪造的 Google 帐户登录页面会捕获凭据并将其发送到攻击者计算机的控制台。在我们的示例中，可能的用户名是[email protected] ，而她的密码似乎是Ilikecats 。

一点点信任和一个可信的故事就是获得一些证书所需要的。想象一下对数千个电子邮件地址发起这种攻击？

如何保护妈妈

防止此类攻击没有什么新鲜事。常规的日常安全实践适用：不要点击您不信任的人的链接。如果您觉得需要单击该链接，请确认该 URL 来自同一受信任的来源，没有拼写错误，并且不是来自 IP 地址。

她喜欢她的新 iPad。

也在发布