Чтобы предотвратить кражу и взлом паролей, многие приложения используют аутентификацию 2FA. 2FA или двухфакторная аутентификация требует, чтобы пользователь прошел аутентификацию не только с помощью имени пользователя и пароля (однофакторная аутентификация), но и с помощью второго метода аутентификации, например отправки одноразового пароля (двухфакторная аутентификация) на аутентифицированное устройство, например телефон. Это значительно затрудняет хакеру взлом таких учетных записей, как электронная почта, Facebook, Twitter и т. д.
Во многих случаях самый быстрый и простой способ (всегда начинайте с самого быстрого и простого. Нет смысла разрабатывать эксплойт нулевого дня для взлома слабых аккаунтов) — это социальная инженерия конечного пользователя. Практически все крупные хакерские группы, включая АНБ и Sandworm (одну из элитных российских хакерских организаций), используют социальную инженерию для проникновения в уязвимые системы (я сталкиваюсь с попытками социальной инженерии со стороны россиян практически каждый день). Не стоит недооценивать социальную инженерию, поскольку почти 80% всех успешных взломов содержат элемент социальной инженерии.
В этом уроке мы рассмотрим, как evilginx может помочь нам получить учетные данные противника в сценарии кибервойны.
Привет, рядовой. Кто контролирует поток информации, тот контролирует мир. Итак, тебе нужно захватить аккаунт командира вражеского отряда. Для этого тебе понадобится один из самых мощных инструментов в нашем арсенале — Evilginx, изощрённый инструмент для фишинга.
Как вы, наверное, уже знаете, фишинг — это попытка украсть важную информацию, такую как имена пользователей, пароли, номера кредитных карт или банковские реквизиты. Часто это делается под видом надёжного источника, например, банка или популярного веб-сайта, и обманным путём выманивает у людей конфиденциальную информацию. Это похоже на то, как рыбак ловит рыбу на наживку: злоумышленник использует поддельное сообщение или веб-сайт, чтобы заманить жертву.
Evilginx выводит фишинг на новый уровень, перехватывая сообщения между пользователями и легитимными веб-сайтами. Он организует атаку «человек посередине», то есть тайно перехватывает данные, передаваемые между пользователем и веб-сайтом. Когда пользователь вводит свои учетные данные на сайте, который он считает доверенным, Evilginx собирает эту информацию в режиме реального времени.
Особую эффективность Evilginx обеспечивает его способность противостоять сложным атакам. Например, он может обходить двухфакторную аутентификацию (2FA). Обычно 2FA обеспечивает дополнительный уровень безопасности, требуя от пользователя ввода временного кода, отправленного на телефон/электронную почту, или биометрических данных (сканирования отпечатков пальцев или распознавания лиц) в дополнение к паролю. Однако Evilginx может отображать поддельный запрос на 2FA после ввода первоначальных учётных данных, тем самым заставляя пользователя ввести и свой код 2FA.
Прежде чем идти в бой, нужно изучить своё оружие, научиться поддерживать его бесперебойную работу и оценить его сильные и слабые стороны. Итак, давайте разберёмся, как работает Evilginx.
Evilginx не предоставляет собственные HTML-страницы-двойники, как при традиционных фишинговых атаках. Вместо этого Evilginx становится веб-прокси. Каждый пакет, исходящий из браузера жертвы, перехватывается, модифицируется и пересылается на настоящий веб-сайт. То же самое происходит и с ответными пакетами, исходящими от веб-сайта: они перехватываются, модифицируются и отправляются обратно жертве. С Evilginx нет необходимости создавать собственные HTML-шаблоны. Со стороны жертвы всё выглядит так, как будто она взаимодействует с легитимным веб-сайтом. Пользователь не подозревает, что Evilginx выполняет роль посредника, анализируя каждый пакет и регистрируя имена пользователей, пароли и, конечно же, сеансовые cookie-файлы.
Вот как работает этот процесс:
Теперь давайте рассмотрим основные возможности этого программного обеспечения:
Однако важно помнить, что существуют эффективные способы снижения рисков, связанных с Evilginx:
Важно отметить, что крупные технологические компании, такие как Google, знают о Evilginx и постоянно применяют различные меры защиты от него.
Как правило, для корректной работы Evilginx требуется регистрация домена и аренда виртуального сервера. Но базовую функциональность можно протестировать и без этого в виртуальной машине Kali Linux.
Установить Evilginx можно двумя способами: либо собрав его из исходного кода, либо, если вы используете Kali, загрузив его из репозитория. Для второго варианта достаточно выполнить следующую команду:
kali> sudo apt install evilginx2 -y
После установки любого программного обеспечения рекомендуется открыть экран справки, если вы ранее им не пользовались.
Здесь следует обратить внимание на опцию «-developer», которая сгенерирует SSL-сертификаты для всех имён хостов. В противном случае, если вы ещё не приобрели ни одного домена, вы не сможете выполнить тест (вы просто получите ошибку о невозможности установить защищённое соединение). Второй важный параметр — это путь к вашим фишлетам. Фишлеты — это небольшие YAML-файлы, используемые для настройки Evilginx для таргетинга на определённые веб-сайты. По умолчанию фишлеты находятся в корневом каталоге исполняемого файла Evilginx. Если вы установили Evilginx из репозитория Kali, путь по умолчанию — /usr/share/evilginx/phishlets/ .
Теперь нам нужен домен. Предполагаю, что у вас его ещё нет, поэтому давайте создадим его и направим наш домен через файл /etc/hosts на IP-адрес локального хоста . Основная функция файла Hosts — локальное сопоставление имён хостов с IP-адресами, что позволяет системе разрешать доменные имена без обращения к внешним DNS-серверам.
В моём случае я буду использовать домен « security-update-v102.com ». Для редактирования файла hosts вы можете использовать любой текстовый редактор. Нам нужно указать IP-адрес, в данном случае 127.0.0.1, или localhost и домен.
А теперь вернемся к Evilginx.
После установки отображается только один фишлет «пример», и он находится в отключённом состоянии. Кроме того, при первом запуске Evilginx вы увидите предупреждения о том, что домен сервера и IPv4-адрес сервера не заданы.
Это первое, что вам нужно настроить.
: config domain <домен>
: config ipv4 <IP>
Чтобы не использовать пример файла конфигурации, я нашел готовый, разработанный «audibleblink», специально адаптированный для GitHub:
min_ver: '2.3.0'
proxy_hosts:
– {phish_sub: ”, orig_sub: ”, домен: ' github.com ', сессия: true, is_landing: true}
– {phish_sub: 'api', orig_sub: 'api', домен: ' github.com '}
– {phish_sub: 'github', orig_sub: 'github', домен: ' githubassets.com '}
– {phish_sub: 'github', orig_sub: 'github', домен: ' github.com '}
подфильтры:
– {triggers_on: ' github.com ', orig_sub: ”, домен: ' github.com ', поиск: 'integrity="(.*?)"', заменить: ”, mimes: ['text/html']}
auth_tokens:
– домен: ' .github.com '
ключи: ['logged_in', 'dotcom_user']
– домен: ' github.com '
ключи: ['user_session', '_gh_sess']
реквизиты для входа:
имя пользователя:
ключ: «войти»
поиск: '(.*)'
тип: «пост»
пароль:
ключ: «пароль»
поиск: '(.*)'
тип: «пост»
авторизоваться:
домен: ' github.com '
путь: '/login'
Для его использования необходимо создать файл с расширением YAML в каталоге, где находятся остальные фишлеты. В proxy_hosts также есть поддомены «api» и «github», поэтому их также нужно прописать через файл hosts.
Следующий шаг — настроить имя хоста для фишингового URL. Вы можете выбрать любое имя хоста с любым количеством поддоменов, при условии, что оно заканчивается доменом верхнего уровня, который вы настроили с помощью config domain.
В моем случае я оставлю его таким же, как на сервере.
: имя хоста phishlets <phishlet> <домен>
Теперь пришло время активировать фишлет.
: фишлеты включают <phishlet>
После ввода команды «phishlets» мы видим, что статус изменился и имя хоста было добавлено.
Следующий шаг — создание приманки. Приманки — это, по сути, заранее сгенерированные фишинговые ссылки, которые вы будете отправлять своей целевой аудитории. Они должны быть привязаны к конкретному фишлету.
: приманки создают <phishlet>
Созданной приманке будет автоматически присвоен идентификатор. Чтобы проверить полный путь по идентификатору, используйте команду:
: приманки get-url <phishlet>
Теперь вы можете открыть эту ссылку в браузере, очистив кэш. Вы получите следующее предупреждение, поскольку используется самоподписанный SSL-сертификат, которому браузер не доверяет.
Вам необходимо вручную настроить браузер на доверие сертификатам Evilginx. Для этого перейдите в настройки и загрузите файл по адресу: /home/kali/.evilginx/crt/ca.crt
После этого вы можете снова перезагрузить фишинговую страницу.
В терминале вы можете увидеть уведомление о том, что кто-то посетил вашу приманку.
Если жертва
войдет в систему, вы получите логин, пароль и сеансовые cookie-файлы.
После того, как пользователи откроют вашу фишинговую ссылку, будет создан новый фишинговый сеанс, позволяющий отслеживать ход фишинговой атаки. При отправке учётных данных с отслеживаемыми параметрами эти данные будут сохранены.
Введя идентификатор, мы можем просмотреть более подробную информацию.
Теперь вы можете установить расширение для браузера для редактирования файлов cookie и импорта данных.
После перезапуска страницы вы будете авторизованы в аккаунте жертвы.
Хорошо, рядовой, у вас есть базовые навыки работы с Evilginx, теперь давайте перейдем к удаленному развертыванию этого программного обеспечения.
Вам необходимо приобрести:
После покупки VPS у вас будет публичный IPv4-адрес, на который нужно направить домен. Для этого нужно найти раздел редактирования DNS-зоны у вашего регистратора домена и указать необходимые поддомены с помощью A-записей, как мы это делали через файл hosts. Например, я буду работать с фишлетом Github, поэтому стоит указать поддомены «api» и «github», поскольку они указаны в конфигурационном файле YAML.
Но после добавления вам потребуется подождать от 2 до 48 часов, пока DNS-зона обновится, чтобы наши изменения вступили в силу. Следить за обновлениями можно по ссылке: https://dnschecker.org/
Установка Evilginx на виртуальный сервер выглядит точно так же: вы можете изменить репозитории своей операционной системы на Kali и загрузить программное обеспечение оттуда или загрузить его с Github.
Давайте подробнее рассмотрим социальную инженерию и концепции, которые можно использовать, чтобы побудить жертву кликнуть по ссылке. Среди наиболее распространённых направлений социальной инженерии в информационных технологиях:
В любом случае всегда следует проводить хорошую разведку и выбирать правильный вектор.
Следующим важным шагом является выбор стратегии влияния, и вот некоторые ключевые из них:
На этом всё, личное дело, на сегодня. Социальная инженерия — один из самых мощных инструментов любого хакера. Не упускайте её из виду, она поможет вам стать кибервоином высшего уровня!
Во многих случаях самый быстрый и простой способ (всегда начинайте с самого быстрого и простого. Нет смысла разрабатывать эксплойт нулевого дня для взлома слабых аккаунтов) — это социальная инженерия конечного пользователя. Практически все крупные хакерские группы, включая АНБ и Sandworm (одну из элитных российских хакерских организаций), используют социальную инженерию для проникновения в уязвимые системы (я сталкиваюсь с попытками социальной инженерии со стороны россиян практически каждый день). Не стоит недооценивать социальную инженерию, поскольку почти 80% всех успешных взломов содержат элемент социальной инженерии.
В этом уроке мы рассмотрим, как evilginx может помочь нам получить учетные данные противника в сценарии кибервойны.
Привет, рядовой. Кто контролирует поток информации, тот контролирует мир. Итак, тебе нужно захватить аккаунт командира вражеского отряда. Для этого тебе понадобится один из самых мощных инструментов в нашем арсенале — Evilginx, изощрённый инструмент для фишинга.
Как вы, наверное, уже знаете, фишинг — это попытка украсть важную информацию, такую как имена пользователей, пароли, номера кредитных карт или банковские реквизиты. Часто это делается под видом надёжного источника, например, банка или популярного веб-сайта, и обманным путём выманивает у людей конфиденциальную информацию. Это похоже на то, как рыбак ловит рыбу на наживку: злоумышленник использует поддельное сообщение или веб-сайт, чтобы заманить жертву.
Evilginx выводит фишинг на новый уровень, перехватывая сообщения между пользователями и легитимными веб-сайтами. Он организует атаку «человек посередине», то есть тайно перехватывает данные, передаваемые между пользователем и веб-сайтом. Когда пользователь вводит свои учетные данные на сайте, который он считает доверенным, Evilginx собирает эту информацию в режиме реального времени.
Особую эффективность Evilginx обеспечивает его способность противостоять сложным атакам. Например, он может обходить двухфакторную аутентификацию (2FA). Обычно 2FA обеспечивает дополнительный уровень безопасности, требуя от пользователя ввода временного кода, отправленного на телефон/электронную почту, или биометрических данных (сканирования отпечатков пальцев или распознавания лиц) в дополнение к паролю. Однако Evilginx может отображать поддельный запрос на 2FA после ввода первоначальных учётных данных, тем самым заставляя пользователя ввести и свой код 2FA.
Как работает Evilginx
Прежде чем идти в бой, нужно изучить своё оружие, научиться поддерживать его бесперебойную работу и оценить его сильные и слабые стороны. Итак, давайте разберёмся, как работает Evilginx.
Evilginx не предоставляет собственные HTML-страницы-двойники, как при традиционных фишинговых атаках. Вместо этого Evilginx становится веб-прокси. Каждый пакет, исходящий из браузера жертвы, перехватывается, модифицируется и пересылается на настоящий веб-сайт. То же самое происходит и с ответными пакетами, исходящими от веб-сайта: они перехватываются, модифицируются и отправляются обратно жертве. С Evilginx нет необходимости создавать собственные HTML-шаблоны. Со стороны жертвы всё выглядит так, как будто она взаимодействует с легитимным веб-сайтом. Пользователь не подозревает, что Evilginx выполняет роль посредника, анализируя каждый пакет и регистрируя имена пользователей, пароли и, конечно же, сеансовые cookie-файлы.
Вот как работает этот процесс:
- Злоумышленник создает поддельную ссылку на свой сервер с помощью Evilginx.
- Эту ссылку они отправляют жертве по электронной почте или в сообщениях.
- Когда жертва нажимает на ссылку, она видит поддельную страницу входа, созданную Evilginx.
- Жертва вводит имя пользователя и пароль. Если есть двухфакторная аутентификация, она также её использует.
- После входа в систему жертва перенаправляется на настоящий сайт.
- Теперь у злоумышленника есть адрес электронной почты, пароль и сеансовые cookie-файлы жертвы. С их помощью он может полностью контролировать учётную запись жертвы, даже обходя двухфакторную аутентификацию.
Теперь давайте рассмотрим основные возможности этого программного обеспечения:
- Evilginx служит платформой для осуществления фишинговых атак на различные онлайн-сервисы.
- Важной возможностью Evilginx является его способность обходить двухфакторную аутентификацию (2FA).
- Evilginx также может перехватывать сеансовые cookie-файлы.
- Он разработан с учетом модульности и возможности настройки, что позволяет злоумышленникам адаптировать его для различных фишинговых кампаний и легко интегрировать с другими инструментами и фреймворками.
Однако важно помнить, что существуют эффективные способы снижения рисков, связанных с Evilginx:
- Разработчики могут реализовать проверку домена для текущей просматриваемой страницы.
- Коды верификации могут быть динамически запутаны.
- Реализация возобновления сеанса TLS добавляет дополнительный уровень безопасности.
- Включение секретных токенов в запросы POST на получение учетных данных для входа повышает уровень защиты.
- При использовании Evilginx все пакеты запросов включают HTTP-заголовок «X-Evilginx», который может помочь обнаружить его присутствие.
Важно отметить, что крупные технологические компании, такие как Google, знают о Evilginx и постоянно применяют различные меры защиты от него.
Установка
Как правило, для корректной работы Evilginx требуется регистрация домена и аренда виртуального сервера. Но базовую функциональность можно протестировать и без этого в виртуальной машине Kali Linux.
Установить Evilginx можно двумя способами: либо собрав его из исходного кода, либо, если вы используете Kali, загрузив его из репозитория. Для второго варианта достаточно выполнить следующую команду:
kali> sudo apt install evilginx2 -y
После установки любого программного обеспечения рекомендуется открыть экран справки, если вы ранее им не пользовались.
Здесь следует обратить внимание на опцию «-developer», которая сгенерирует SSL-сертификаты для всех имён хостов. В противном случае, если вы ещё не приобрели ни одного домена, вы не сможете выполнить тест (вы просто получите ошибку о невозможности установить защищённое соединение). Второй важный параметр — это путь к вашим фишлетам. Фишлеты — это небольшие YAML-файлы, используемые для настройки Evilginx для таргетинга на определённые веб-сайты. По умолчанию фишлеты находятся в корневом каталоге исполняемого файла Evilginx. Если вы установили Evilginx из репозитория Kali, путь по умолчанию — /usr/share/evilginx/phishlets/ .
Локальное развертывание
Теперь нам нужен домен. Предполагаю, что у вас его ещё нет, поэтому давайте создадим его и направим наш домен через файл /etc/hosts на IP-адрес локального хоста . Основная функция файла Hosts — локальное сопоставление имён хостов с IP-адресами, что позволяет системе разрешать доменные имена без обращения к внешним DNS-серверам.
В моём случае я буду использовать домен « security-update-v102.com ». Для редактирования файла hosts вы можете использовать любой текстовый редактор. Нам нужно указать IP-адрес, в данном случае 127.0.0.1, или localhost и домен.
А теперь вернемся к Evilginx.
После установки отображается только один фишлет «пример», и он находится в отключённом состоянии. Кроме того, при первом запуске Evilginx вы увидите предупреждения о том, что домен сервера и IPv4-адрес сервера не заданы.
Это первое, что вам нужно настроить.
: config domain <домен>
: config ipv4 <IP>
Чтобы не использовать пример файла конфигурации, я нашел готовый, разработанный «audibleblink», специально адаптированный для GitHub:
min_ver: '2.3.0'
proxy_hosts:
– {phish_sub: ”, orig_sub: ”, домен: ' github.com ', сессия: true, is_landing: true}
– {phish_sub: 'api', orig_sub: 'api', домен: ' github.com '}
– {phish_sub: 'github', orig_sub: 'github', домен: ' githubassets.com '}
– {phish_sub: 'github', orig_sub: 'github', домен: ' github.com '}
подфильтры:
– {triggers_on: ' github.com ', orig_sub: ”, домен: ' github.com ', поиск: 'integrity="(.*?)"', заменить: ”, mimes: ['text/html']}
auth_tokens:
– домен: ' .github.com '
ключи: ['logged_in', 'dotcom_user']
– домен: ' github.com '
ключи: ['user_session', '_gh_sess']
реквизиты для входа:
имя пользователя:
ключ: «войти»
поиск: '(.*)'
тип: «пост»
пароль:
ключ: «пароль»
поиск: '(.*)'
тип: «пост»
авторизоваться:
домен: ' github.com '
путь: '/login'
Для его использования необходимо создать файл с расширением YAML в каталоге, где находятся остальные фишлеты. В proxy_hosts также есть поддомены «api» и «github», поэтому их также нужно прописать через файл hosts.
Следующий шаг — настроить имя хоста для фишингового URL. Вы можете выбрать любое имя хоста с любым количеством поддоменов, при условии, что оно заканчивается доменом верхнего уровня, который вы настроили с помощью config domain.
В моем случае я оставлю его таким же, как на сервере.
: имя хоста phishlets <phishlet> <домен>
Теперь пришло время активировать фишлет.
: фишлеты включают <phishlet>
После ввода команды «phishlets» мы видим, что статус изменился и имя хоста было добавлено.
Следующий шаг — создание приманки. Приманки — это, по сути, заранее сгенерированные фишинговые ссылки, которые вы будете отправлять своей целевой аудитории. Они должны быть привязаны к конкретному фишлету.
: приманки создают <phishlet>
Созданной приманке будет автоматически присвоен идентификатор. Чтобы проверить полный путь по идентификатору, используйте команду:
: приманки get-url <phishlet>
Теперь вы можете открыть эту ссылку в браузере, очистив кэш. Вы получите следующее предупреждение, поскольку используется самоподписанный SSL-сертификат, которому браузер не доверяет.
Вам необходимо вручную настроить браузер на доверие сертификатам Evilginx. Для этого перейдите в настройки и загрузите файл по адресу: /home/kali/.evilginx/crt/ca.crt
После этого вы можете снова перезагрузить фишинговую страницу.
В терминале вы можете увидеть уведомление о том, что кто-то посетил вашу приманку.
Если жертва
войдет в систему, вы получите логин, пароль и сеансовые cookie-файлы.
После того, как пользователи откроют вашу фишинговую ссылку, будет создан новый фишинговый сеанс, позволяющий отслеживать ход фишинговой атаки. При отправке учётных данных с отслеживаемыми параметрами эти данные будут сохранены.
Введя идентификатор, мы можем просмотреть более подробную информацию.
Теперь вы можете установить расширение для браузера для редактирования файлов cookie и импорта данных.
После перезапуска страницы вы будете авторизованы в аккаунте жертвы.
Удаленное развертывание кибервойны
Хорошо, рядовой, у вас есть базовые навыки работы с Evilginx, теперь давайте перейдем к удаленному развертыванию этого программного обеспечения.
Вам необходимо приобрести:
- Виртуальный сервер (AWS, DigitalOcean, Godaddy или любой другой провайдер)
- Доменное имя (Namecheap, Hostinger, Bluehost и т. д.)
После покупки VPS у вас будет публичный IPv4-адрес, на который нужно направить домен. Для этого нужно найти раздел редактирования DNS-зоны у вашего регистратора домена и указать необходимые поддомены с помощью A-записей, как мы это делали через файл hosts. Например, я буду работать с фишлетом Github, поэтому стоит указать поддомены «api» и «github», поскольку они указаны в конфигурационном файле YAML.
Но после добавления вам потребуется подождать от 2 до 48 часов, пока DNS-зона обновится, чтобы наши изменения вступили в силу. Следить за обновлениями можно по ссылке: https://dnschecker.org/
Установка Evilginx на виртуальный сервер выглядит точно так же: вы можете изменить репозитории своей операционной системы на Kali и загрузить программное обеспечение оттуда или загрузить его с Github.
Искусство социальной инженерии
Давайте подробнее рассмотрим социальную инженерию и концепции, которые можно использовать, чтобы побудить жертву кликнуть по ссылке. Среди наиболее распространённых направлений социальной инженерии в информационных технологиях:
- Фишинг — рассылка большого количества электронных писем с целью заставить несколько человек перейти по вредоносным ссылкам. Это, пожалуй, самая распространённая атака социальной инженерии, но она становится всё менее эффективной.
- Целевой фишинг — атака на одного человека с помощью электронной почты. Обычно включает в себя обширный анализ данных из открытых источников (OSINT) для понимания интересов, потребностей и мотивации жертвы. При правильном применении этот подход может быть очень эффективным.
- Китобойный промысел — электронное письмо, направленное на очень влиятельного человека.
- Вишинг — очень похож на фишинг, но осуществляется с помощью голосовых вызовов.
- Приманка — похожа на фишинг, когда злоумышленник заманивает жертву обещанием крупного вознаграждения.
- Quid Pro Quo (что-то за что-то) — лат. В этой атаке с использованием социальной инженерии жертве обещают выгоду в обмен на информацию или другую услугу.
В любом случае всегда следует проводить хорошую разведку и выбирать правильный вектор.
Следующим важным шагом является выбор стратегии влияния, и вот некоторые ключевые из них:
- Взаимность . Люди по своей природе склонны оказывать помощь, поэтому, если злоумышленник предлагает что-либо жертве, жертва часто чувствует себя обязанной ответить взаимностью, предложив что-либо взамен по ее просьбе.
- Обязательство: Атакующий создает чувство
обязательства, предлагая доброту или дружелюбие. - Уступка: Подобно взаимности, злоумышленник просит больше, чем необходимо, и соглашается на желаемый результат (например, просит 200 долларов, когда намеревается получить 100 долларов, и убеждает цель согласиться на 100 долларов).
- Дефицит: Злоумышленник создает дефицит, чтобы побудить цель действовать быстро, пока возможность не упущена.
- Полномочия: Злоумышленник присваивает себе полномочия, чтобы заставить жертву раскрыть информацию или предпринять какие-либо действия. «Здравствуйте, это служба поддержки, и мы обновляем систему. Нам нужны ваше имя пользователя и пароль для обновления системы».
- Консенсус: злоумышленник убеждает жертву, что «все знают» или «все делают» что-то, чтобы склонить её к согласию. Например, все знают, что биткоин вырастет до 1 000 000 долларов за биткоин.
Краткое содержание
На этом всё, личное дело, на сегодня. Социальная инженерия — один из самых мощных инструментов любого хакера. Не упускайте её из виду, она поможет вам стать кибервоином высшего уровня!
