kali 邮箱攻击_利用Kali linux制作钓鱼网站

工具需要：Kali linux

浏览器：谷歌

实验环境：PC 与 笔记本

Kali linux作为一个新手期的工具包系统。我希望每个向往的人都可以下载研究一下。今天就简单的说下如何用Kali linux 搭建一个高仿Twitter！

网路钓鱼虽然不属于网站漏洞，但是目前受害者也是非常大量的。网路钓鱼属于社交工程的一种。

社交工程，也就是利用人的信赖心理，透过伪冒的资讯对受害者进行攻击的手法，伪冒的资讯可能是邮件、电话或网页等等，诸如此类利用人的心理来进行诈骗的手法，都可以称为社交工程

社交工程的手法有几种，例如：

电子邮件中夹带着木马程式或病毒，再利用能吸引人的标题或文字来让被害者点击。

利用伪冒的网站诱骗受害者到网站中输入机敏资料，也是我们这次要介绍的。

伪装成修复程式通知，使被害者进行下载执行，此程式可能是木马或是病毒。

利用开启网站就能下载的功能，使被害者点开后就直接进行下载并安装后门程式。

以上几种，或是更多类似这种类型的都属于社交工程的手法。

这次我们会示范架设一个假的网站，从黑客的角度去看这个严重的网路犯罪，以借此提高往后你在输入个人资料时的警戒心。

我们一样以Kali Linux作业系统来进行操作

这次我们用的工具是Setoolkit

可以利用Github来进行下载

这次示范Fake Twitter

利用指令开启setoolkit

接着进入set主页，总共有六个选项

接着我们选择第一项，其余的对我们目前没有太大的帮助

例如第二个是set附带的渗透测试工具，不过这并非是最好的渗透测试，我们有其他更好的工具能够使用

大致说明一下

鱼叉式社交电子邮件攻击

利用伪造网站的社交工程攻击

恶意档案产生器

建立攻击载荷及接收程式

发送大量邮件(EmailBomb)

有关Arduino平台的攻击手法

无线基地台伪冒

产生恶意QRCode

针对微软Powershell语法的攻击手法

第三方提供的功能模组

我们这次介绍伪造网站的社交工程攻击，所以选择2

利用JAVA漏洞进行攻击 (JAVA1.7曾经有漏洞)

Metasploit浏览器攻击

认证获取攻击

标签劫持攻击

网站劫持攻击

综合攻击

全屏攻击

HTA攻击

我们选择第三个来进行伪造网站

使用现有的知名网站做为模板，例如Google、Yahoo、Facebook、Twitter

使用指定网站，让SET自行去抓指定网站的模板，如果因为国家语言不同，建议使用第二种，能在网址的地方变换语言

使用者自行载入网页，在此网页加入模板

这次范例选择的是第二个

在此会要求你输入IP，做好伪冒网站后要打在网址上的

因为这次只是示范，所以只打上内网的IP

接着输入要伪造的网站网址

接着就建立这个刚做好的伪冒网站

到compute/var/www这里会有建立好的资料(index.html、post.php)

接着把这两个资料放入html这个资料夹内

在浏览器中打上IP即可显示刚完成的结果

与正常的Twitter相比之下，若没有注意就会不小心输入了。

甚至能够利用第三方将自己的IP改为相似的网址，使受害者更加相信。

大致说明如何预防：

不轻易的点开不明的电子邮件，尤其是像QQ.微信[各种万能刷的网站，各种小动作片危险网站提示]注意输入机敏资讯的网站网址

也要小心好友传来的不名网站或软件，有可能已经被盗用！