社会工程可以广义地定义为通过技巧提取敏感信息(例如用户名和密码)的过程。黑客有时为此目的使用假冒网站和网络钓鱼攻击。让我们尝试通过一些示例来理解“社会工程学”攻击的概念。

例子1

您一定已经注意到旧的公司文件被当作垃圾扔进垃圾箱了。这些文档可能包含敏感信息，例如姓名，电话号码，帐号，社会安全号码，地址等。许多公司仍在传真机中使用复写纸，一旦纸卷结束，其碳会进入垃圾箱，并可能留下痕迹。敏感数据。尽管这听起来不太可能，但是攻击者可以通过在垃圾中偷窃来轻松地从公司垃圾箱中检索信息。

例子2

攻击者可能会与公司人员成为朋友并在一段时间内与他建立良好的关系。这种关系可以通过社交网络，聊天室在线建立，也可以在咖啡桌旁，操场上或通过任何其他方式离线建立。攻击者将办公室人员带入机密信息，最后在不提供任何线索的情况下挖掘出所需的敏感信息。

例子3

通过伪造身份证或简单地说服员工自己在公司的职位，社会工程师可以假装自己是雇员或有效用户或VIP。这样的攻击者可以获得对限制区域的物理访问，从而提供了进一步的攻击机会。

例子4

在大多数情况下，攻击者可能会在您周围，并在您键入敏感信息(例如用户ID和密码，帐户PIN等)时进行肩膀冲浪。

Metasploit中的社会工程学攻击

在本节中，我们将讨论如何使用Metasploit发起社会工程学攻击。

首先，转到Metasploit主页，然后单击“网络钓鱼活动” ，如以下屏幕截图所示。

输入项目的名称，然后单击“下一步”。

输入广告活动的名称。在我们的例子中是Lab 。接下来，点击Campaign Components下的E-mail图标。

在下一个屏幕上，您需要根据广告系列提供所需的数据。

接下来，如果要更改电子邮件内容中的任何内容，请单击“内容”图标(数字2)。更改内容后，点击保存。

接下来，单击“登录页面”图标以设置要将重定向的用户重定向到的URL。

如以下屏幕截图所示，在Path处输入URL并单击Next 。

在下一个屏幕上，单击“克隆网站”按钮，这将打开另一个窗口。在这里，您需要输入要克隆的网站。如您在以下屏幕截图中所见，我们在此字段中输入了tutorialpoint.com 。接下来，单击“克隆”按钮并保存您的更改。

接下来，单击“重定向页面”按钮。

单击下一步，您将看到以下屏幕。

您可以单击“克隆网站”按钮以再次克隆重定向的网站。

接下来，在“服务器配置”部分中，单击“电子邮件服务器”按钮。

在下一个屏幕上，输入将用作中继发送此网络钓鱼电子邮件的邮件服务器设置。然后，点击保存。

在“通知”部分中，有一个选项可在启动广告系列之前通知其他人。您可以选择使用此选项来通知其他人。然后，点击保存。

接下来，您将看到一个新窗口。在这里，您需要单击“开始”按钮以启动发送网络钓鱼邮件的过程。

Metasploit可以选择生成网络钓鱼活动的统计报告。它将如以下屏幕截图所示。