前言你访问某个网站的时候,可能碰巧发生了这样的事。 打开网页后,没有发现任何异常。 但是,在web表单中输入用户名和密码等信息,点击登录按钮提交数据时,页面突然闪烁,页面上出现空白表单,刚输入的数据都消失了。 此时,我觉得我们好像在怀疑刚才是不是数据输了,或者是自己的网络出了什么问题。 但是,事实真的是这样吗? 作为参与网络安全的技术人员,我认为你可能受到了网络钓鱼攻击。
接下来,我们将揭露黑客是如何使用名为setoolkit的软件进行网络钓鱼攻击的。
实验环境准备攻击机: Kali(IP:192.168.153.129 )。
目标网站:想要实施钓鱼攻击的网站(这里可以由读者自己选择,网站只要真实存在于网络上即可)。
工具: se工具包
在实验步骤的第一步启动软件。 由于setoolkit在使用中涉及metasploit的相关内容,因此在启动setoolkit之前先启动postgresql数据库,然后再启动setoolkit
第2步针对钓鱼攻击配置软件并启动setoolkit后,将显示项目选择列表。 这次实验的内容是实施钓鱼攻击,钓鱼攻击也属于社会工程攻击的范畴,所以这里选择1、社会工程攻击
进入此菜单的子项时,同样会显示选择列表。 在此选择第二个项目,面向网站
由于网络钓鱼攻击的目的是窃取用户输入的用户名和密码,因此请从此菜单列表中选择第三项,然后选择对凭据的攻击方法
然后,选择第二个项目来克隆站点
进入站点克隆选项后,将显示需要输入ip地址的选项。 请注意,此处必须输入的ip地址是攻击者的ip,也就是用户第一次看到的钓鱼网站的ip地址。 然后输入攻击机的ip
输入后,我意识到需要在这里输入url地址。 此处输入的url地址是网络钓鱼网站的实际网站的url地址,也就是尝试进行网络钓鱼攻击的网站的url。 笔者希望考虑到实际网站的安全性,用代码保护网站的url,让读者理解
然后,在setoolkit中显示了提示消息。 在此直接输入return
到此为止,钓鱼攻击的前期准备已经结束了。 现在只需等待“鱼”上钩
第三阶段通过浏览器访问网络钓鱼网站的笔者是一个实验内容,为了广大读者解读黑客如何进行网络钓鱼攻击,这里通过在浏览器中输入IP地址直接访问网络钓鱼网站在实际的攻击环境中,黑客往往使用DNS诈骗手段,使用户难以识别钓鱼网站
可以看到成功访问了网络钓鱼网站。 与实际网站相比,唯一不同的是url地址栏的信息。 普通网民很少意识到如何使用DNS将地址栏中的ip地址转换为站点的域名。 成功访问网站时,往往首先填写与web表单对应的信息。 笔者也为了测试实验的效果,在对应的表格中填写相应的数据,点击注册按钮提交数据
发现网站上的页面没有跳,闪烁,表格上的数据消失了。 这个时候,我再次查看了网站的url地址,发现它已经成为了网站的真正的url地址。 然后,再回到setoolkit看看发生了什么
不可思议的是,用户在网站上提交的用户名、密码等个人信息出现在了黑客的电脑上。 此外,此时大多数用户可能没有意识到自己的用户名和密码被泄露了
实验总结此次实验阐明了如何通过高度恢复对黑客的网络钓鱼攻击,使黑客利用一款名为setoolkit的工具软件实施网络钓鱼攻击,窃取用户的用户名和密码信息。 此外,还揭示了网络钓鱼攻击中存在的细微缺陷,使用户能够识别访问的网站是实际的网站还是网络钓鱼网站。 那么,如何在网上防止钓鱼攻击呢? 还是说,如果你发现自己已经受到钓鱼攻击,该怎么处理呢? 首先,在访问需要登录的网站时,请仔细查看网站的url地址。 钓鱼网站的url地址和实际网站的url地址经常存在差异。 其次,我们访问比较重要的网站时,建议直接通过ip地址进行访问,避免钓鱼攻击。 一旦发现自己受到钓鱼攻击,就必须立即登录并修改自己的用户名和密码,以避免更大的损失。
特别声明:本实验属于个人学习研究,读者利用该实验方法发起真实攻击时,一切结果均由个人承担,与本文作者无关