피싱 자동 제작 툴 setoolkit!

오늘은 칼리리눅스를 사용해서 사람을 낚는 피싱 공격 사이트를 만들어주는 툴을 사용해 보았다.

 

바로 setoolkit이라는 도구인데 이름 그대로 사회공학기법의 해킹 도구들이 모여있는 툴이다.

setoolkit을 실행하면

 

이런 fsociety 그림이 나오면서 실행이 된다. (미스터 로봇이 생각나는구만...)

 

그리고 이렇게 메뉴가 나오고 나는 이번에 Social-Engineering Attacks를 실습해 보기 위해 1번을 선택했다.

그다음 웹 사이트를 이용할 것이기 때문에 Website Attack Vectors! 2번을 선택하였다.

그다음 웹 사이트를 이용하는건 사용자의 아이디와 패스워드를 갈취하는 것이 주된 목적이므로 3번 Credential Harvester Attack Method를 선택했다.

 

그 다음 웹 사이트를 URL을 제공하여 피싱 사이트를 만들 수도 있고 직접 사이트를 제작할 수도 있다. 나는 일단 1번 Web Templates를 사용하여 기존에 준비되어 있는 사이트를 확인해 보았다.

 

그다음은 그냥 Enter을 눌러주고

2번 Google을 사용해 보았다.

 

실행이 된 걸 알 수 있다.

이렇게 실행시킨 후 웹 브라우저에 들어가 자신의 ip 주소를 입력하면 

 

이렇게 피싱 사이트가 나온다. 여기에 사용자가 Email과 Password를 입력하면 

아무런 이상 없이 구글이 나오게 된다. 하지만!

입력값은 공격자인 해커에게 그대로 전송되는 피싱 사이트가 완성되었다.

 

이런 툴이 있다는 게 신기했고 요즘 가장 중요한 건 역시 사람이 취약점이다.라는 생각이 들었다. 우리 모두 보안을 소홀이 생각하지 말고 자신의 재산과 사랑하는 사람들을 지키기 위해서라도 보안에 주의를 기울일 필요가 있다고 생각한다.

 

또한 불법적인, 허가받지 않은 모든 해킹은 범죄라는 사실을 꼭 인지하며 절대로 해킹을 악용하지 않길 원한다! 

우리 모두 남들의 정보를 훔치기 위해 해킹을 공부하는 것이 아니라 보호하기 위해 해킹을 공부했으면 좋겠다.