うさブロ

ぼっちなうさぎのセキュリティラボ

とある親父の侵入実験【Social Engineering Toolkit】

f:id:appleseedj073:20180311215026p:plain

未だによく耳にする「〇〇を装ってIDとパスワードを盗む」手口。これ、経営層とか上の立場の人が思っているほど見破るの簡単じゃないんですよね。サイトなんて見た目全く同じだし。これに引っかかる人に対して「リテラシーが〜」「危機管理が〜」って唱える人に是非今回の検証結果を見てもらいたい。

今回検証に使用するのは「Social Engineering Toolkit」というツール。読んで字の如くソーシャル・エンジニアリングに使えるツールで、情報を搾取するためのツールがぎっしり詰まっている。また、簡単な設定でペネトレーションテストも実施できる。

この「Social Engineering Toolkit」を使用して、勉強会などの登録でおなじみの「connpass」さんのログインページを複製したサイトを作成し、そこへ被害者となるユーザを誘導しログインを施行させた場合の挙動を検証してみる。

 

なお、ここで取り上げる検証を実施する際は、全て自分の管理している環境で検証してください。使い方、実施場所を誤ると法に触れて罰せられます。

 

環境

Macbook Pro (192.168.136.1) Host

Kali Linux (192.168.136.194) Guest

 

準備

Kali Linuxでコンソールを起動して「setoolkit」と入力して「Social Engineering Toolkit」を起動する。

f:id:appleseedj073:20180311221548p:plain

こんな画面が流れた後に

f:id:appleseedj073:20180311221628p:plain

メニューが出るので、Social-Engineering Attacks を実施するので「1」を入力

f:id:appleseedj073:20180311221858p:plain

次にWebsite Attack Vectors を選択するので「2」を入力

f:id:appleseedj073:20180311222249p:plain

攻撃方法を聞いてくるのでCredential Harvester Attack Methodの「3」を入力

f:id:appleseedj073:20180311222642p:plain

攻撃に使うWebサイトについて聞いてくるので、サイトをクローンする「2」を入力

f:id:appleseedj073:20180311223240p:plain

収集した情報をレポートとして送る先を求めてくるので、今回はそのまま自分のアドレスを指定

f:id:appleseedj073:20180311223549p:plain

最後に複製するサイト(クローンするサイト)のURLを入力

f:id:appleseedj073:20180311223757p:plain

サイトのクローンコピーが行われてWebサービスが起動して待ち受け状態になる。

 

検証

実際に複製サイト(Kali Linux)にアクセスしてみる。

f:id:appleseedj073:20180311224502p:plain

パッと見は「connpass」さんのログインページ。しかし、URLをみると

f:id:appleseedj073:20180311224659p:plain

ログインページではありえない暗号化されていないページであり、IPアドレスが表示されている状態になっている。

ここでユーザ名「testuser」パスワード「password」と入力してログイン施行する。

f:id:appleseedj073:20180311225046p:plain

すると・・・

f:id:appleseedj073:20180311225204p:plain

入力した項目が、クリアされて元の画面のままになる。この時、ログインの可否については一切表示されない。しかし、URLをみると

f:id:appleseedj073:20180311225330p:plain

保護された通信となり、URLも正規の「connpass」さんのログインページのものになっている。

 

では、この時Kali Linux側ではどんな状況になっていたのか確認する。

f:id:appleseedj073:20180311225626p:plain

先ほど入力したユーザ名とパスワードが完全に暴露している。どんなに桁数の多いパスワードを設定していてもユーザの隙を突かれてしまうといとも簡単に盗まれてしまうのである。

 

まとめ

  1. 「Social Engineering Toolkit」を使用した場合、簡単にサイトを複製しユーザを騙すことができる。要するに誰でも簡単にログインページになりすます事が可能
  2. 複製したサイトのリンクを踏ませるのには、「ログインして登録情報を確認してください」などもう一手間かけて相手を騙す必要がある。
  3. うまくユーザを騙してリンクを踏ませた場合、騙されたユーザは冷静さを失っている可能性が高い。そうなるとURLを見る間もなくログイン試行をしてしまう可能性が高い。

攻撃者優勢なのは相変わらずなので、騙された人を責めるのではなくツールや機器でカバーできるところはカバーして被害を最小限に食い止めることを考えていけたら良いと思いますよ。