انسان اب تک کے بہترین وسائل اور سیکورٹی کے خطرات کا آخری نقطہ ہیں۔ سوشل انجینئرنگ ایک قسم کا حملہ ہے جو انسانی رویے کو ہیرا پھیری اور ان کے اعتماد کے ساتھ کھیل کر نشانہ بناتا ہے ، جس کا مقصد خفیہ معلومات حاصل کرنا ہے ، جیسے بینکنگ اکاؤنٹ ، سوشل میڈیا ، ای میل ، یہاں تک کہ ٹارگٹ کمپیوٹر تک رسائی۔ کوئی بھی نظام محفوظ نہیں ہے کیونکہ یہ نظام انسانوں نے بنایا ہے وہ ایک ایسے شکار کو نشانہ بناتے ہیں جس کا مالیاتی اکاؤنٹ ہوتا ہے جیسے بینکنگ یا کریڈٹ کارڈ کی معلومات۔
سوشل انجینئرنگ حملے براہ راست کسی نظام میں نہیں ٹوٹ رہے ہیں ، اس کے بجائے یہ انسانی سماجی تعامل کو استعمال کر رہا ہے اور حملہ آور متاثرہ شخص کے ساتھ براہ راست سلوک کر رہا ہے۔
آپ کو یاد ہے کیون مٹنک۔ ؟ پرانے دور کی سوشل انجینئرنگ لیجنڈ۔ اپنے حملے کے بیشتر طریقوں میں ، وہ متاثرین کو یہ یقین دلانے کے لیے دھوکہ دیتا تھا کہ وہ نظام کا اختیار رکھتا ہے۔ آپ نے یوٹیوب پر اس کی سوشل انجینئرنگ اٹیک ڈیمو ویڈیو دیکھی ہوگی۔ اسے دیکھو!
اس پوسٹ میں میں آپ کو روزانہ کی زندگی میں سوشل انجینئرنگ اٹیک کو کس طرح نافذ کرنے کا آسان منظر نامہ دکھانے جا رہا ہوں۔ یہ بہت آسان ہے ، صرف سبق کے ساتھ احتیاط سے عمل کریں. میں منظر نامے کو واضح طور پر بیان کروں گا۔
ای میل تک رسائی حاصل کرنے کے لیے سوشل انجینئرنگ اٹیک۔
مقصد۔ : ای میل اسناد اکاؤنٹ کی معلومات حاصل کرنا۔
حملہ آور۔ : میں
ہدف۔ : میرے دوست. (واقعی؟ ہاں)
آلہ : کمپیوٹر یا لیپ ٹاپ جس میں کالی لینکس چل رہا ہے۔ اور میرا موبائل فون!
ماحولیات : دفتر (کام پر)
ٹول : سوشل انجینئرنگ ٹول کٹ (سیٹ)
لہذا ، اوپر کے منظر نامے کی بنیاد پر آپ تصور کر سکتے ہیں کہ ہمیں متاثرہ کے آلے کی بھی ضرورت نہیں ہے ، میں نے اپنا لیپ ٹاپ اور اپنا فون استعمال کیا۔ مجھے صرف اس کے سر اور اعتماد کی ضرورت ہے ، اور حماقت بھی! کیونکہ ، آپ جانتے ہیں ، انسانی حماقت کو پیچ نہیں کیا جاسکتا ، سنجیدگی سے!
اس معاملے میں ہم سب سے پہلے اپنے کالی لینکس میں فشنگ جی میل اکاؤنٹ لاگ ان پیج کو سیٹ اپ کرنے جا رہے ہیں ، اور میرے فون کو ٹرگر ڈیوائس کے طور پر استعمال کریں گے۔ میں نے اپنا فون کیوں استعمال کیا؟ میں ذیل میں ، بعد میں وضاحت کروں گا۔
خوش قسمتی سے ہم کوئی ٹولز انسٹال نہیں کرنے والے ہیں ، ہماری کالی لینکس مشین میں پہلے سے انسٹال سیٹ (سوشل انجینئرنگ ٹول کٹ) ہے ، بس یہی ہمیں چاہیے۔ اوہ ہاں ، اگر آپ نہیں جانتے کہ سیٹ کیا ہے ، میں آپ کو اس ٹول کٹ کا پس منظر دوں گا۔
سوشل انجینئرنگ ٹول کٹ ، انسانی سائیڈ دخول ٹیسٹ کرنے کے لیے ڈیزائن کیا گیا ہے۔ سیٹ ( جلد ہی ) ٹرسٹڈ سیک کے بانی نے تیار کیا ہے۔ ( https://www.trustedsec.com/social-engineer-toolkit-set/ ) ، جو ازگر میں لکھا گیا ہے ، اور یہ اوپن سورس ہے۔
ٹھیک ہے یہ کافی تھا آئیے پریکٹس کرتے ہیں۔ اس سے پہلے کہ ہم سوشل انجینئرنگ حملہ کریں ، ہمیں پہلے اپنا فیزنگ پیج ترتیب دینے کی ضرورت ہے۔ یہاں ، میں اپنی میز پر بیٹھا ہوں ، میرا کمپیوٹر (کالی لینکس چلا رہا ہے) انٹرنیٹ سے وائی فائی نیٹ ورک سے منسلک ہے جیسا کہ میرا موبائل فون ہے (میں android استعمال کر رہا ہوں)۔
مرحلہ 1. سیٹنگ فیزنگ پیج۔
سیٹول کٹ کمانڈ لائن انٹرفیس استعمال کر رہا ہے ، لہذا یہاں 'کلک-کلک' کی توقع نہ کریں۔ ٹرمینل کھولیں اور ٹائپ کریں:
set# setoolkitآپ کو اوپر کا ویلکم پیج اور نیچے حملہ کے آپشن نظر آئیں گے ، آپ کو کچھ اس طرح دیکھنا چاہیے۔
جی ہاں ، ہم پرفارم کرنے والے ہیں۔ سوشل انجینئرنگ حملے ، لہذا نمبر منتخب کریں۔ 1۔ اور ENTER کو دبائیں۔
اور پھر آپ کو اگلے اختیارات دکھائے جائیں گے ، اور نمبر منتخب کریں۔ 2. ویب سائٹ اٹیک ویکٹر۔ مارا۔ داخل کریں
اگلا ، ہم نمبر منتخب کرتے ہیں۔ 3. معتبر ہارویسٹر حملے کا طریقہ۔ . مارا۔ داخل کریں۔
مزید آپشنز تنگ ہیں ، SET کے پاس مشہور ویب سائٹس ، جیسے گوگل ، یاہو ، ٹویٹر اور فیس بک کا پری فارمیٹ شدہ فیزنگ پیج ہے۔ اب نمبر منتخب کریں۔ 1. ویب ٹیمپلیٹس .
کیونکہ ، میرا کالی لینکس پی سی اور میرا موبائل فون ایک ہی وائی فائی نیٹ ورک میں تھے ، لہذا صرف حملہ آور کو داخل کریں ( میرا پی سی مقامی آئی پی ایڈریس اور مارا۔ داخل کریں
PS: اپنے آلے کا IP پتہ چیک کرنے کے لیے ، ٹائپ کریں: 'ifconfig'
ٹھیک ہے اب تک ، ہم نے اپنا طریقہ اور سننے والے کا آئی پی ایڈریس مقرر کیا ہے۔ اس اختیارات میں پہلے سے طے شدہ ویب فیزنگ ٹیمپلیٹس درج ہیں جیسا کہ میں نے اوپر ذکر کیا ہے۔ چونکہ ہم نے گوگل اکاؤنٹ پیج کا مقصد بنایا ہے ، لہذا ہم نمبر کا انتخاب کرتے ہیں۔ 2. گوگل۔ . مارا۔ داخل کریں .
کیاب ، سیٹ میری کالی لینکس ویب سرور کو پورٹ 80 پر جعلی گوگل اکاؤنٹ لاگ ان پیج سے شروع کرتا ہے۔ ہمارا سیٹ اپ مکمل ہو چکا ہے۔ اب میں اپنے دوستوں کے کمرے میں اپنے موبائل فون کا استعمال کرتے ہوئے اس فشنگ پیج میں لاگ ان ہونے کے لیے تیار ہوں۔
مرحلہ 2. شکار کا شکار کرنا۔
میں موبائل فون (android) کیوں استعمال کر رہا ہوں؟ آئیے دیکھتے ہیں کہ میرے بلٹ ان اینڈروئیڈ براؤزر میں صفحہ کیسے ظاہر ہوتا ہے۔ لہذا ، میں اپنے کالی لینکس ویب سرور تک رسائی حاصل کر رہا ہوں۔ 192.168.43.99۔ براؤزر میں. اور یہاں صفحہ ہے:
دیکھو؟ یہ بہت حقیقی لگ رہا ہے ، اس پر کوئی سیکورٹی مسائل دکھائی نہیں دے رہے ہیں۔ یو آر ایل بار یو آر ایل کے بجائے ٹائٹل دکھا رہا ہے۔ ہم جانتے ہیں کہ بیوقوف اسے اصل گوگل پیج کے طور پر پہچان لے گا۔
لہذا ، میں اپنا موبائل فون لاتا ہوں ، اور اپنے دوست کے پاس جاتا ہوں ، اور اس سے اس طرح بات کرتا ہوں جیسے میں گوگل میں لاگ ان کرنے میں ناکام رہا ہوں اور اگر میں سوچ رہا ہوں کہ گوگل کریش ہو گیا ہے یا غلطی ہوئی ہے۔ میں اپنا فون دیتا ہوں اور اس سے کہتا ہوں کہ اس کے اکاؤنٹ کا استعمال کرکے لاگ ان کرنے کی کوشش کریں۔ وہ میری باتوں پر یقین نہیں کرتا اور فورا اپنے اکاؤنٹ کی معلومات ٹائپ کرنا شروع کر دیتا ہے جیسے یہاں کچھ برا نہیں ہوگا۔ ہاہاہا
اس نے پہلے ہی تمام مطلوبہ فارم ٹائپ کر دیے ہیں ، اور مجھے کلک کرنے دیں۔ سائن ان بٹن میں نے بٹن پر کلک کیا… اب یہ لوڈ ہو رہا ہے… اور پھر ہمیں گوگل سرچ انجن کا مرکزی صفحہ ملا۔
PS: ایک بار جب متاثرہ نے کلک کیا۔ سائن ان بٹن ، یہ ہماری سننے والی مشین کو توثیق کی معلومات بھیجے گا ، اور یہ لاگ ان ہے۔
کچھ نہیں ہو رہا ، میں اسے کہتا ہوں ، سائن ان بٹن اب بھی موجود ہے ، آپ لاگ ان ہونے میں ناکام رہے۔ اور پھر میں دوبارہ فیزنگ پیج کھول رہا ہوں ، جبکہ اس بیوقوف کا ایک اور دوست ہمارے پاس آرہا ہے۔ نہیں ، ہمیں ایک اور شکار ملا۔
جب تک میں بات نہیں کاٹتا ، پھر میں اپنی میز پر واپس جاتا ہوں اور اپنے سیٹ کا لاگ چیک کرتا ہوں۔ اور یہاں ہمیں مل گیا ،
گوچا… میں آپ کو پیوند کرتا ہوں !!!
آخر میں
میں کہانی سنانے میں اچھا نہیں ہوں ( یہی تو بات ہے ) ، حملے کا خلاصہ کرنے کے لیے اب تک اقدامات یہ ہیں:
- کھولیں 'سیٹول کٹ'
- منتخب کریں۔ 1) سوشل انجینئرنگ حملے۔
- منتخب کریں۔ 2) ویب سائٹ اٹیک ویکٹر۔
- منتخب کریں۔ 3) کریڈینشل ہارویسٹر اٹیک کا طریقہ۔
- منتخب کریں۔ 1) ویب ٹیمپلیٹس
- داخل کریں IP پتہ
- منتخب کریں۔ گوگل
- مبارک شکار ^_