HARD CORE SECURITY LAB

The Social-Engineer Toolkit (SET) to zbiór gotowych, unikalnych narzędzi do przeprowadzania socjotechnicznych testów penetracyjnych. O unikalnych możliwościach SET pisałem już przy okazji przedstawiania jego przykładowych zastosowań praktycznych, takich jak atak poprzez zwabienie ofiary na fałszywą stronę internetową. Dziś wracamy do tematu testów socjotechnicznych przy okazji szeregu filmów instruktażowych opublikowanych przez samego autora środowiska SET.

Przypomnijmy, że w odróżnieniu od narzędzi stworzonych z myślą o przeprowadzaniu klasycznych testach penetracyjnych (takich jak Metasploit Framework), mających na celu wykrycie luk obecnych w samym systemie informatycznym, SET pozwala nam na przetestowanie podatności użytkowników systemu informatycznego na różnorakie ataki socjotechniczne. Warto podkreślić, że w związku z tym, że większość systemów komputerowych staje się coraz lepiej zabezpieczona, komputerowi przestępcy coraz częściej korzystają właśnie z socjotechniki. Metody te są w dużej mierze niezależne od platformy sprzętowo-programowej, a powodzenie samego ataku nie wymaga zazwyczaj odkrycia jakiejkolwiek luki w technicznych mechanizmach bezpieczeństwa.

Projekt SET rozwija się niezwykle dynamicznie, a kolejne wersje środowiska przynoszą nam coraz to nowe fascynujące możliwości. David Kennedy — ReL1K, twórca Social-Engineer Toolkit, rozwija nie tylko samo środowisko, ale również tworzy świetne materiały szkoleniowe. Tym razem David opublikował zbiór interesujących filmów instruktażowych, dzięki którym każdy może się zapoznać z możliwościami pakietu SET oraz wieloma przykładowymi testami penetracyjnymi przedstawionymi krok po kroku. Zapraszam do obejrzenia wszystkich filmów.

01 Social-Engineer Toolkit (SET) – wprowadzenie, podstawowa konfiguracja


02 Social-Engineer Toolkit (SET) – Credential Harvester Method (przechwytywanie poświadczeń)


03 Social-Engineer Toolkit (SET) – ataki z wykorzystaniem apletów Java


04 Social-Engineer Toolkit (SET) – atak typu Spear-Phishing