Добро пожаловать обратно, мои начинающие кибервоины!
Социальная инженерия — ключевой элемент некоторых из самых масштабных взломов в истории! Многие начинающие хакеры настолько сосредоточены на освоении технических аспектов хакерства, что на свой страх и риск игнорируют мощь социальной инженерии. Когда государственные структуры, такие как российская хакерская команда Sandworm (одна из самых технически продвинутых хакерских организаций), используют социальную инженерию для взлома украинской электросети и президентских выборов в США в 2016 году , это должно быть признаком того, что социальная инженерия важна и критически важна для вашего хакерского инструментария.
В сериале «Мистер Робот», Эллиот и f/society используют социальную инженерию для взлома хранилища Steel Mountain, где Evil Corporation хранит свои резервные копии. Частью этой социальной инженерии является SMS-сообщение (отправленное с помощью устаревшей функции набора инструментов социальной инженерии (SET)) менеджеру, которое отвлекает её и позволяет Эллиоту свободно перемещаться по объекту, в конечном итоге приводя его к системе отопления, вентиляции и кондиционирования воздуха хранилища, где хранятся записи. Это сложный и трудоёмкий взлом, но без социальной инженерии он был бы невозможен.
SMS-сообщения, или просто текстовые сообщения, — это протокол, разработанный в 1980-х годах и впервые реализованный в европейском стандарте мобильной связи GSM в 1990-х годах. С тех пор он был реализован практически во всех протоколах мобильной связи. Он позволяет пользователям отправлять короткие сообщения (SMS — аббревиатура от short message service, служба коротких сообщений) длиной менее 160 символов от одного человека другому по мобильной сети. В XXI веке он стал неотъемлемой частью мобильной связи.
Давайте рассмотрим, как можно отправлять поддельные СМС-сообщения.
Шаг №1 Загрузите и установите поддельное SMS
Если мы хотим отправлять поддельные SMS-сообщения из Kali, можно скачать и установить Fake-SMS. Он доступен на git-хабе.
kali > sudo git clone https://github.com/machine1337/fake-sms
После загрузки перейдите в новый каталог;
kali > cd fake-sms
Теперь дайте себе разрешение на выполнение run.sh
kali > sudo chmod 755 run.sh
Теперь выполните скрипт.
кали > sudo ./run.sh
Как видите выше, Fake-SMS открывает такой же экран с простым меню. Чтобы отправить SMS, просто введите 2.
Вам будет предложено ввести номер телефона и сообщение, как показано ниже. Я нашёл этот номер среди множества мошеннических SMS-сообщений, которые сейчас активно используются. В этом сообщении обещают списание студенческих кредитов.
Я ввёл номер телефона, нажал Enter, и мне предложили написать сообщение. Я ответил: «Да! Хочу списать студенческий кредит!»
Как видите, мне удалось отправить мошенникам поддельное SMS! С помощью этого скрипта мы можем отправлять по одному поддельному SMS в день.
Скрипт Fake-SMS можно просмотреть в любом текстовом редакторе. В данном случае я открыл его с помощью коврика мыши. При этом мы видим, что это простой BASH-скрипт. Прокрутив страницу до строк 119–120, мы видим команду curl, указывающую на textbelt.com. Судя по всему, этот скрипт просто использует этот SMS-сайт для отправки текстовых сообщений.
Давайте посмотрим, сможем ли мы обойти этот скрипт и работать с этим сайтом напрямую.
Шаг №2: Используйте команду curl для отправки поддельного SMS
Для начала нам нужно зарегистрировать аккаунт на textbelt.com. После этого мы сможем отправлять одно поддельное SMS-сообщение в день или приобрести кредиты и получить API-ключ для использования сервиса.
Теперь мы можем генерировать собственные текстовые сообщения без скрипта Fake-SMS, создав команду curl в Linux (при наличии API можно использовать различные языки сценариев, но я считаю, что эта команда curl — самая простая). Синтаксис этой команды следующий:
curl -X POST –data-urlencode phone='номер телефона с кодом страны'
–data-urlencode= message='текстовое сообщение'
-d key=Ваш ключ API
Затем я могу создать команду для отправки поддельного текстового сообщения, как показано ниже, используя ту же информацию, что и выше, и включив мой ключ API (закрашен черным).
Эта служба отвечает сообщением, в котором подробно описывается успешность отправки моего сообщения и количество сообщений, оставшихся в моей квоте.
Краткое содержание
Хотя каждый хакер хочет получить красивый, чистый и технически продвинутый взлом, подобный EternalBlue, обычно это невозможно, за исключением некоторых случаев. На самом деле, практически все современные взломы требуют использования элементов социальной инженерии. Как уже упоминалось, даже самые продвинутые хакерские организации, такие как российская Sandworm, использовали элементы социальной инженерии для некоторых из своих самых важных взломов в истории. Возможность отправлять поддельные SMS-сообщения может стать критически важным элементом вашего взлома!
Более подробную информацию о социальной инженерии можно найти в главе 17 моей книги «Как стать мастером-хакером», доступной здесь .
Социальная инженерия — ключевой элемент некоторых из самых масштабных взломов в истории! Многие начинающие хакеры настолько сосредоточены на освоении технических аспектов хакерства, что на свой страх и риск игнорируют мощь социальной инженерии. Когда государственные структуры, такие как российская хакерская команда Sandworm (одна из самых технически продвинутых хакерских организаций), используют социальную инженерию для взлома украинской электросети и президентских выборов в США в 2016 году , это должно быть признаком того, что социальная инженерия важна и критически важна для вашего хакерского инструментария.
В сериале «Мистер Робот», Эллиот и f/society используют социальную инженерию для взлома хранилища Steel Mountain, где Evil Corporation хранит свои резервные копии. Частью этой социальной инженерии является SMS-сообщение (отправленное с помощью устаревшей функции набора инструментов социальной инженерии (SET)) менеджеру, которое отвлекает её и позволяет Эллиоту свободно перемещаться по объекту, в конечном итоге приводя его к системе отопления, вентиляции и кондиционирования воздуха хранилища, где хранятся записи. Это сложный и трудоёмкий взлом, но без социальной инженерии он был бы невозможен.
SMS-сообщения, или просто текстовые сообщения, — это протокол, разработанный в 1980-х годах и впервые реализованный в европейском стандарте мобильной связи GSM в 1990-х годах. С тех пор он был реализован практически во всех протоколах мобильной связи. Он позволяет пользователям отправлять короткие сообщения (SMS — аббревиатура от short message service, служба коротких сообщений) длиной менее 160 символов от одного человека другому по мобильной сети. В XXI веке он стал неотъемлемой частью мобильной связи.
Давайте рассмотрим, как можно отправлять поддельные СМС-сообщения.
Шаг №1 Загрузите и установите поддельное SMS
Если мы хотим отправлять поддельные SMS-сообщения из Kali, можно скачать и установить Fake-SMS. Он доступен на git-хабе.
kali > sudo git clone https://github.com/machine1337/fake-sms
После загрузки перейдите в новый каталог;
kali > cd fake-sms
Теперь дайте себе разрешение на выполнение run.sh
kali > sudo chmod 755 run.sh
Теперь выполните скрипт.
кали > sudo ./run.sh
Как видите выше, Fake-SMS открывает такой же экран с простым меню. Чтобы отправить SMS, просто введите 2.
Вам будет предложено ввести номер телефона и сообщение, как показано ниже. Я нашёл этот номер среди множества мошеннических SMS-сообщений, которые сейчас активно используются. В этом сообщении обещают списание студенческих кредитов.
Я ввёл номер телефона, нажал Enter, и мне предложили написать сообщение. Я ответил: «Да! Хочу списать студенческий кредит!»
Как видите, мне удалось отправить мошенникам поддельное SMS! С помощью этого скрипта мы можем отправлять по одному поддельному SMS в день.
Скрипт Fake-SMS можно просмотреть в любом текстовом редакторе. В данном случае я открыл его с помощью коврика мыши. При этом мы видим, что это простой BASH-скрипт. Прокрутив страницу до строк 119–120, мы видим команду curl, указывающую на textbelt.com. Судя по всему, этот скрипт просто использует этот SMS-сайт для отправки текстовых сообщений.
Давайте посмотрим, сможем ли мы обойти этот скрипт и работать с этим сайтом напрямую.
Шаг №2: Используйте команду curl для отправки поддельного SMS
Для начала нам нужно зарегистрировать аккаунт на textbelt.com. После этого мы сможем отправлять одно поддельное SMS-сообщение в день или приобрести кредиты и получить API-ключ для использования сервиса.
Теперь мы можем генерировать собственные текстовые сообщения без скрипта Fake-SMS, создав команду curl в Linux (при наличии API можно использовать различные языки сценариев, но я считаю, что эта команда curl — самая простая). Синтаксис этой команды следующий:
curl -X POST –data-urlencode phone='номер телефона с кодом страны'
–data-urlencode= message='текстовое сообщение'
-d key=Ваш ключ API
Затем я могу создать команду для отправки поддельного текстового сообщения, как показано ниже, используя ту же информацию, что и выше, и включив мой ключ API (закрашен черным).
Эта служба отвечает сообщением, в котором подробно описывается успешность отправки моего сообщения и количество сообщений, оставшихся в моей квоте.
Краткое содержание
Хотя каждый хакер хочет получить красивый, чистый и технически продвинутый взлом, подобный EternalBlue, обычно это невозможно, за исключением некоторых случаев. На самом деле, практически все современные взломы требуют использования элементов социальной инженерии. Как уже упоминалось, даже самые продвинутые хакерские организации, такие как российская Sandworm, использовали элементы социальной инженерии для некоторых из своих самых важных взломов в истории. Возможность отправлять поддельные SMS-сообщения может стать критически важным элементом вашего взлома!
Более подробную информацию о социальной инженерии можно найти в главе 17 моей книги «Как стать мастером-хакером», доступной здесь .
