.

SET - Social-Engineer Toolkit

Escrito por

De acordo com seus desenvolvedores, O Social Engineering Framework é um recurso de informação pesquisável para pessoas que desejam aprender mais sobre os aspectos psicológicos, físicos e históricos da engenharia social. Use o índice

Conheça um pouco mais sobre os módulos existentes nesse Framework.

  • Spear-Phishing Attack Vector
  • O vetor de ataque spear-phishing é feitos especialmente para formato de arquivo, envia ataques de e-mail contendo a reversa para um destino.
  • Web Attack Vectors
  • Vetores de ataque Web são provavelmente um dos aspectos mais avançados do SET. SET pode clonar sites, dando a impressão para o usuário de que ele está visitando um site legítimo.
  • Java Applet
  • O ataque applet é um dos vetores de ataque mais bem sucedidos no SET. Ele irá detectar o navegador oferecer uma carga útil a máquina alvo.
  • Editando o arquivo set_config WEBATTACK_EMAIL para ON, você também pode incorporar-mails em massa com este ataque.
  • Client-Side Web Exploits
  • SET também pode usar web exploits do lado do cliente. Este método é particularmente satisfatório se uma vulnerabilidade zero-day é descoberto: Assim que um exploit é liberado do Metasploit, ele normalmente é testado e publicado através SET dentro de uma hora.
  • Username and Password Harvesting
  • SET pode criar um clone do site do Gmail ou de qualquer outro site, reescrever automaticamente os parâmetros POST e enviar para o servidor.
  • Tabnabbing
  • Um alvo pode ser capturado ao acessar um site, quando ele clicar em um link, será apresentado uma mensagem "Por favor, aguarde enquanto a página carrega". Quando o alvo muda de janela ele detecta uma guia diferente e reescreve a página com "Por favor, aguarde. . . “ espera-se que ele clique na guia tabnabbed, e, acredite que a página é real, a mesma onde ele deve fazer  login, seja em um webmail ou na intranet da empresa, ele irá entra com suas credenciais no local. As credenciais serão colhidas e o alvo é redirecionado para o site inicial.
  • Man-Left-in-the-Middle

Este ataque usa referers HTTP em um site já comprometido ou um cross-site scripting (XSS) para passar pegar  credenciais do alvo sem interferir na comunicação real. Para funcionar o site deve estar vulnerável a XSS.

  • Web Jacking
    O método de ataque web jacking é relativamente novo, ele permite que você crie um clone de um site e envie ao alvo uma mensagem informando que o site real foi movido. Será apresentado um link para o novo site com a url real. Quando o alvo clicar no link o site abre, más é rapidamente substituído com seu servidor web malicioso. Este ataque usa uma substituição iframe com base no tempo.
  • Infectious Media Generator
  • Com este vector, o SET cria uma pasta para você a qual pode ser gravada em um CD / DVD ou pen drive USB.
  • Teensy USB HID Attack Vector
  • Este vetor de ataque é uma combinação de hardware e personalização de bypass via emulação de teclado. No entanto, usando o USB HID Teensy, você pode emular um teclado e mouse. Quando você insere o dispositivo, ele será detectado como um teclado. Você pode encontrar um HID USB Teensy em http://www.prjc.com/.
  • Creating a New Module
  • Suponha que você se deparou com um sistema executando o SQL Server 2008 e o Server 2008. A Microsoft removeu o debug.exe no Windows 7 x64 e Windows Server 2008, esses sistemas não permitem converter executáveis de forma tradicional, . Isso significa que você precisa criar um novo módulo que irá permitir a você os mesmos com sucesso.
  • PowerShell

Você pode criar um novo módulo usando o Metasploit para converter o código binário para hexadecimal (ou Base64 se desejado), Então você  pode usar o PowerShell para converter o arquivo executável de volta para um binário que possa ser executado.

Adonel Bezerra

- É Especialista em investigação digital; - Consultor de Segurança de Sistemas e Redes com mais de trinta anos de experiência; - Professor de pós-graduação em Pericia Computacional no ESP e ESB; - Já ministrou treinamentos e palestras para milhares de profissionais em todo o Brasil; - Pós-graduado em Pericia Forense Computacional; - Pós-graduado em Teoria em Educação a Distância e Docência do Ensino Superior; - Graduando em Direito; - Graduando em Análise e Desenvolvimento de Sistemas; - É Graduado em Processamento de Dados.

Deixe um comentário

Todos os comentários são armazenados em base de dados segura para atendimento a requisições da autoridade competente pelo prazo de 5 anos.
Ofensas e palavras de nível depreciativo a pessoas e ou instituições não são permitidas em nosso site.
Cada um pode ser responsabilizado individualmente pelo que pública na Internet, mantenha moderação em suas publicações.