それが何であるか、そしてどのように使用するかを知りたい場合 エクスプロイト あなたは正しい場所にいます。
まず、明確にする必要のあるポイントがいくつかあります。 悪用する と同じではありません エクスプロイト。 XNUMX つ目は、ソフトウェア/ハードウェアで予期しない動作を引き起こすコンピューター プログラムまたはコマンドです。 このコンピュータ プログラムまたはコマンドは、バグを利用してエラーを引き起こし、攻撃されたシステムを制御できるようにします。 一般的には、攻撃者によって管理者権限を取得するか、別の記事で説明する DoS や DDoS などのサイバー攻撃を開始することが一般的です。
Xploitzは通常、ソーシャルエンジニアリングに基づいています。 したがって、適切なレベルのプログラミングが必要であっても、前の意図と同じ意図はありません。
さらに、これについて書くときの私たちの意図は純粋に学術的なものであり、この慣行の使用を奨励しようとはしていないことを明確にする必要があります。 エクスプロイト それは完全に違法です。
この記事の目的は、これらの手法に陥らないようにするための仕組みを理解し、インターネット上でいかに簡単にハッキングされるか、そしてどれほどセキュリティが提供されないかについての認識を高めることです。
これらの点を明確にすることが重要です。
始めます。
Xploitzとは何ですか?
すでに述べたように、Xploitzは通常ソーシャルエンジニアリングで機能します。 これは、欺瞞を通じてプラットフォームまたはアカウントへのアクセスデータを取得し、被害者に自発的にデータを提供させることを目的としています。 複雑なコードでデバイスに侵入することなく。
完了した仕事を提供するさまざまなプラットフォームがあります。 簡単なグーグル検索をしているのを見ることができますが、今のところそれらについては話しません。 ここでは、それがどのように機能するかを理解します。
Xploitz は、特定のプラットフォームのログイン プランを複製および/または改ざんすることで構成されており、ソーシャル エンジニアリングを通じて攻撃を開始します。 今回はインスタグラムを例にして説明していきます。 Instagram をハッキングするさまざまな方法についてはすでに説明しましたが、Instagram に関する情報を入手することに興味がある場合は、この記事を参照することをお勧めします。
最初のステップ: Instagram ログイン プランのクローンを作成します。
プログラミングすることで、簡単な方法でそれを行うために、モジュールを使用して「ユーザーとパスワード」のセクションを変更できます 変更されたお問い合わせフォーム。 ユーザー名とパスワードのセクションは必須フィールドのままにし、html と CSS を使用してデザインを変更します。 ログインを装ったフォームを使用すると、ユーザーが資格情報を入力して「ログイン」をクリックすると、このフォームからこれら XNUMX つのフィールドに入力されたデータが即座に送信されます。 被害者には、「メッセージが送信されました」というメッセージが表示されるのではなく、次のようなメッセージが表示されます。 入力されたデータが正しくありません。 次に、falseページは、REALInstagramログインの元のページに自動的にリダイレクトされます。 したがって、被害者は、何が起こったのか、そして彼が本格的なXploitzを通じて自発的にデータを提出したことに気付くことは決してありません。
同じ結果になるさまざまな方法がありますが、この場合、ほとんどの初心者にわかりやすく簡単な方法で説明するために、私たちが探している使用法を理解できるように変更されたお問い合わせフォームで説明したいと思いました。 私たちは千の異なる方法でそれを行うことができますが。
簡単なウェブサイトのクローンを作成する方法。
プログラムがあります、 HTTrack 、私たちが置いたWebページを正確にCLONEするので、これは、偽装したいWebをHTMLおよびCSSで複製するのに役立ちます。 基本的に、ログインプレーンのクローンを作成し、残りを破棄します。 ここでは、元のページのリンク先リンクを変更して目的のページのみにとどまるようにし、変更したフォームの機能をユーザー、パスワード、およびログインのセクションに導入する必要があります。 これで、目的のページができました。Webドメインにアップロードするだけで済みます。 可能であれば、「Instagram」という名前に関連するドメイン。
フラット提出と社会工学
Xploitzの準備ができたら、最も興味深くクリエイティブな部分に進みます。
問題の被害者を直接知っていれば、ソーシャルエンジニアリングを使用して被害者を倒す方がはるかに簡単です。 その人がそのページに資格情報を入力する必要があるので、何らかの方法で資格情報を取得する必要があります。
最もよく使用される方法は、電子メールまたはソーシャルネットワークを介した連絡です。 郵送によるものですが、通常ははるかに効果的です。
変更された電子メールアカウント。
Instagramページを改ざんして、可能な限り信頼できるものにするために、Xploitzを作成する人は、信頼できる電子メール(support-instagram@gmail.comなど)または目的のページを送信するために作成できる別の同様の電子メールアドレスを使用する必要があります。 。 「instagramssupport.com」などのウェブドメインを取得した場合、メールアドレスはgmail.comよりもはるかに信頼性が高くなります。このようにして、「no-reply@instagramssupport.com」などのメールアカウントを使用できます。メールへのはるかに信頼性。
少し前に、次の記事で書いているXploitzまたはPishingの試みを受け取りました。これは、それらを識別するのに役立ちます。
メールアカウントを作成したら、Xploitzの宛先に次のような印象的なタイトルのメールを送信できます。
アカウントで不正なログインが検出されました。
この例のように:
次に、メールのテキストで、次のようになります。
問題のリンクは、「」を使用して電子メールに入力されますアンカーテキスト"。 これは書いています https://www.instagram.com/ ただし、送信先のアドレスを変更してください。 この場合、そのリンクを入力すると、別の場所に移動します。 その人は、宛先URLに送信されていると思いますが、XPLOITZに送信されています。
この画像では、問題のXploitzの品質が低く、被害者に関する情報がある場合は、この人物が使用する言語になり、より創造的な方法でパーソナライズされます。 インスタグラムから受信したメールからコピーできる画像も含めて、よりリアルに見せます。
社会工学で補完
xploitz を起動し、その結果を大幅に増やすために、ハッカーはソーシャル エンジニアリングを使用して被害者に関する情報を入手します。
これにより、ハッカーはより現実的な方法で電子メールをカスタマイズしたり、Xploitz を機能させる他の「弱点」を見つけたりすることができます。 ソーシャル エンジニアリングをハッキングにどのように適用するかについて詳しく知りたい場合。
そして、それはあなたがXploitzに陥ってアイデンティティの盗難に苦しむことができる方法です。
興味を持っていただけましたら、より多くの人に情報を届けるために情報を共有していただければ幸いです。 一方、ハッキングされたために自分のデータがインターネット上に転がっているかどうかを知りたい場合は、この記事で確認することをお勧めします。
