Scroll to top

Ferramenta SEToolkit: Comandos Úteis para Testes de Engenharia Social


Fabio - - 0 comments

A engenharia social é uma técnica eficaz utilizada por invasores cibernéticos para obter acesso não autorizado a informações sensíveis. Para ajudar os profissionais de segurança a identificar e mitigar essas ameaças, a ferramenta Social-Engineer Toolkit (SEToolkit) foi desenvolvida. Neste artigo, vamos explorar alguns comandos úteis da ferramenta SEToolkit, juntamente com exemplos práticos, para auxiliar nos testes de segurança de engenharia social.

1 – Engenharia Social por E-mail

Através do SEToolkit, você pode executar ataques de phishing por e-mail para avaliar a postura de segurança da sua organização. Vamos considerar o comando setoolkit, que abre o menu principal da ferramenta, onde você pode selecionar várias opções de ataque. Para um ataque de phishing por e-mail, siga estas etapas:

  • Execute o comando setoolkit no terminal para abrir o menu principal.
  • Selecione a opção 1 para “Social-Engineering Attacks”.
  • Selecione a opção 1 para “Spear-Phishing Attack Vectors”.
  • Escolha a opção 2 para “Website Attack Vectors”.
  • Selecione a opção 1 para “Credential Harvester Attack Method”.
  • Escolha a opção 2 para “Web Templates”.
  • Selecione um modelo de e-mail personalizado e siga as instruções para configurar o ataque.

O SEToolkit criará um e-mail de phishing personalizado para enganar os alvos e direcioná-los a um site malicioso, onde suas credenciais serão capturadas.

2 – Geração de Payloads

O SEToolkit oferece a capacidade de gerar payloads personalizados para explorar vulnerabilidades específicas. Isso pode ser útil em testes de segurança para identificar falhas de segurança em sistemas e aplicativos. Vamos considerar o comando setoolkit, que possui opções para gerar payloads:

  • Execute o comando setoolkit no terminal para abrir o menu principal.
  • Selecione a opção 1 para “Social-Engineering Attacks”.
  • Selecione a opção 1 para “Spear-Phishing Attack Vectors”.
  • Escolha a opção 3 para “Payload Injection Attacks”.
  • Selecione a opção 2 para “Windows Reverse_TCP Meterpreter”.
  • Insira seu endereço IP e porta.
  • O SEToolkit gerará um payload malicioso personalizado que pode ser usado para explorar uma máquina Windows vulnerável.

3 – Ataques de Engenharia Social por USB

Além dos ataques por e-mail, o SEToolkit oferece recursos para executar ataques de engenharia social por meio de dispositivos USB. Isso permite simular situações em que um invasor coloca um dispositivo USB infectado em um ambiente de destino para obter acesso não autorizado. Considere o seguinte comando:

  • Execute o comando setoolkit no terminal para abrir o menu principal.
  • Selecione a opção 1 para “Social-Engineering Attacks”.
  • Selecione a opção 2 para “Website Attack Vectors”.
  • Escolha a opção 5 para “Mass Mailer Attack”.
  • Siga as instruções para configurar o ataque, incluindo a seleção de um arquivo HTML malicioso e o nome do remetente.
  • O SEToolkit enviará um e-mail com um arquivo malicioso anexado para várias vítimas.

Ao abrir o arquivo anexado, se a vítima permitir a execução de macros ou scripts, o invasor poderá obter acesso não autorizado ao sistema.

4 – Simulação de Engenharia Social por SMS

O SEToolkit também oferece recursos para realizar ataques de engenharia social por meio de mensagens de texto (SMS). Isso pode ser útil para avaliar a conscientização dos funcionários em relação a possíveis ameaças. Vamos considerar o seguinte comando:

  • Execute o comando setoolkit no terminal para abrir o menu principal.
  • Selecione a opção 1 para “Social-Engineering Attacks”.
  • Selecione a opção 4 para “Third Party Modules”.
  • Escolha a opção 5 para “SMS Spoofing Attack Vector”.
  • Siga as instruções para configurar o ataque, incluindo o número de telefone do remetente, o número de telefone da vítima e a mensagem SMS a ser enviada.

O SEToolkit enviará uma mensagem SMS para a vítima, que será exibida como se fosse enviada por um remetente confiável. Isso permite testar a resposta e conscientização dos usuários em relação a possíveis ataques.

Conclusão

A ferramenta SEToolkit oferece uma ampla gama de recursos e comandos úteis para testes de segurança de engenharia social. Os exemplos fornecidos neste artigo fornecem uma visão geral de como usar alguns desses comandos para realizar ataques simulados e identificar possíveis vulnerabilidades em sistemas e conscientização dos usuários. É importante lembrar que o uso dessa ferramenta deve ser realizado dentro dos limites legais e éticos, e sempre com o devido consentimento das partes envolvidas.

Leia também: https://acaditi.com.br/setoolkit-instalacao-e-comandos-essenciais/

Related posts