ソーシャルエンジニアリング
CEHのテキストの第9章はソーシャルエンジニアリングだった。
以下の3タイプに分けて説明されていた。
- Human-based
- Computer-based
- mobile-based
Human-basedには、盗み見=ショルダースニッフィング、ゴミ箱あさり=ダンプスターダイビング、といった地味な活動にそれなりの名前が付けられている。
電話でシステム管理者を装ってIdやパスワードを聞き出す行為は、Vishing(Voice Fishing)と呼ばれている。
Computer-basedは、フィッシングやスパムメールが該当する。
それらを丸ごとサポートしてくれるツールがあり、
SET(Social-Engineer Toolkit )です。
SET(Social-Engineer Toolkit )
SETはTrustedSecという会社が提供しているオープンソース。
GitHubから取得でき、Kaliにもインストールされている。
上記サイトに簡易なマニュアルも容易されている。
Kaliで起動した画面。
ここから
1) Social-Engineering Attacksを選択すると、以下の攻撃手法が選べる。
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector
7) SMS Spoofing Attack Vector
8) Wireless Access Point Attack Vector
9) QRCode Generator Attack Vector
10) Powershell Attack Vectors
11) Third Party Modules
以降は、基本的に提示された選択肢を選んでいけば、攻撃が成立するようになっている。
SETでWebサイトをコピーして偽サイト作る記事をよく見かけますが、それ以外にもいろいろできます。
例えば、ターゲットにファイルを送りつけて、それを開かせて、リモート操作をしようとする場合、ファイルフォーマットとして、以下22種類が用意されている。
ペイロードを選択する。
新しいバージョンでは、ウイルス対策ソフトの監視をすり抜ける設定もあるようです。
マニュアルには、詳細は記載されていないが、攻撃手法の理解をする上で有効であるし、悪意のあるファイルを作成できるのでウイルス対策ソフトの挙動を確認する際に重宝しそうです。
製作元は、ペネトレーションテスト用のツールと言っているもの、そのまま攻撃に利用できてしまう感を受ける。