0:02 進行網路
0:04 釣魚攻擊或釣魚駭客攻擊是多麼容易,這太
0:05 可怕了,我現在就向你展示如何
0:07 做到這一點,我們將入侵
0:10 網路執行長查克咖啡伯納德哈克
0:13 韋爾,他甚至不會看到它來襲,
0:14 我們將從頭開始構建釣魚攻擊,
0:16 從建立釣魚
0:18 網站開始,天哪,看看那個
0:20 釣魚電子郵件,這將
0:22 是非常棒的,真正的快速免責聲明,
0:24 這僅用於教育目的,
0:28 除非您獲得許可,否則切勿以任何理由對任何人這樣做,並
0:30 大聲呼喊此視頻的讚助商
0:33 這就是它。 io這
0:35 不僅僅是一個會員資格,而是一項使命,我正在
0:37 與像 David Bumble 和 Jeremy Chara 這樣的創作者合作,
0:38 我們正在創建免費
0:41 內容低成本內容,因為我們
0:43 相信 IT 教育不應該
0:44 昂貴,這就是我們的目標是創建
0:46 您可以訪問的精彩內容,
0:48 所以考慮與我們合作這就是
0:50 它。 io我們實際上剛剛推出了一個免費
0:52 套餐,為您提供大量精彩的
0:54 免費課程,並可以訪問
0:56 我們剛剛推出的 Discord 社區太棒了,
0:57 進去問問題,獲得
0:59 幫助,獲得支持,無論如何,
1:01 開始黑客攻擊,所以我
1:03 入侵 Bernard hackwell 的第一步是,我想訪問
1:05 他的 LinkedIn 個人資料,
1:07 獲取他的個人資料的最簡單方法是
1:08 找出他的
1:10 憑證,
1:12 我需要用戶呢?
1:13 好吧,我們要騙他,
1:15 當然是社會工程學,我們開始吧,
1:17 這東西很有趣,看看這個,
1:18 你現在就可以做,這很
1:21 瘋狂,第一步是設置一個假的
1:23 LinkedIn 網頁,它看起來
1:24 就像 LinkedIn,它會有一個用戶名字
1:26 段,它會有一個密碼字段,
1:28 然後當 Bernard 在這個假網頁上輸入他的憑證時,
1:32 我們會在那裡監聽,
1:33 設置這個釣魚頁面憑證, 這
1:35 這
1:37 被稱為憑證收集,是
1:39 眾多社會工程學攻擊之一,所以現在
1:40 讓我們設置吸盤,再次強調,這
1:42 非常簡單,看看這個,為了進行這次攻擊,
1:44 我們將使用 Linux,現在我有 Kali
1:46 Linux,一個用於黑客攻擊的 Linux 發行版,
1:47 但你也可以使用其他常見的 Linux
1:50 發行版,比如
1:56 Ugit apt
1:59 install get 並獲取它,所以我將使用
2:01 命令 git clone 我們
2:03 將克隆這個名為 black eye 的工具,這個工具已經
2:04 存在了一段時間,但它現在
2:06 仍然很棒真正的快速
2:08 免責聲明這僅用於教育
2:10 目的,讓您了解這有多麼簡單,以便您可以讓您
2:13 準備並保護
2:15 自己,並且在獲得許可後,您
2:16 可以複製這個 URL我們將它貼到這裡然後去克隆那個工具並從這裡完成我要使用 CD 進入 black eye 或將目錄更改為我們剛剛下載的 black eye 資料夾,如果我點擊 LS,它
2:24 會列出我在那裡的文件我們所要做的就是在這裡
2:27 運行這個腳本就像這樣我們輸入 sudo空格點正斜槓
2:31 黑色好的,你準備好了,輸入密碼,好的,
2:32 我們現在就開始吧,首先,我們
2:37 必須選擇要使用的釣魚網站類型,我們有選項,看看這有點瘋狂,對吧,我們這樣做是為了教育目的,但是如果你是一個
2:47 黑帽黑客,這非常簡單,所以
2:52 我將選擇Li nkedIn,也就是第九個,然後按下回車鍵,就這樣,我要等它啟動到這裡,它就準備好了,就像
2:53 釣魚網站準備好了
2:55 一樣,
3:03 那個URL就在那裡,我們會把它給Bernard,看看會發生什麼,所以
3:04 我會快速復制那個鏈接,
3:08 啟動我的
3:14 網絡瀏覽器,然後轉到,你可能會在這裡看到它,它現在無法正常工作,沒關係,
3:15 我們會修復它,這與我們正在使用的名為engrock的服務有關,它要求你有一個
3:19 帳戶,
3:24 現在這是免費的,沒什麼大不了的,但我們必須設置一個,所以我們將再次
3:25 導航到ingr
3:36 ock.com,完全免費,只需
3:37 註冊一個免費帳戶,輸入您的資訊在那裡,一旦你登入準備就緒,你將點擊設定和安裝,然後在第二步下,我們有這個命令,我們要做的就是把這個命令複製出來,回到我們在加州的終端,或者
3:39 你正在使用的任何Linux
3:42 發行版,然後把它貼進去,就這樣,這個問題已經解決了,所以現在讓我們再試一次,sudo 空格句點向前
4:00 黑眼圈點
4:03 sh 再次數字 9 為 LinkedIn,我們等待它構建好,所以現在當我們把這個 URL 複製到我們的網絡瀏覽器中,這就是發生的事情,天哪,看看這個,如果你回頭
4:08 看看這個 URL 複製到
4:09 我們的網絡瀏覽器中,
4:15 看看這個,如果你回頭看看這個終端,你認為
4:21 Bernard hackwell 的信息,
4:22 比如嘿,這是他的公共 IP 地址,我們得到了
4:24 他的網絡瀏覽器上的信息,我的
4:26 意思是大量有價值的信息,但
4:27 現在我們正在等待他登錄,我們
4:29 只是準備好突襲,準備好等待
4:31 陷阱設置好,讓我們看看會
4:33 發生什麼,Bernard 會在這裡嘗試
4:35 登錄,輸入他的用戶名他的密碼,
4:37 然後點擊登錄,看看它feed,雖然效果不太好,但它會合法地刷新
4:42 我到 LinkedIn,所以我就像呃,讓
4:44 我再試一次,好的,LinkedIn
4:51 對 Bernard 來說工作正常,
4:53 而 Bernard 對此一無所知,我們得到了一些關於 Bernard 的信息,我們得到
4:58 了他的電子郵件地址,我們得到了
4:59 他的密碼,
5:02 保存到我們的文本文件中,這太瘋狂了,天哪,天哪點擊該連結說起來容易做起來難,我們必須以某種方式將該連結發送給他,讓他點擊它,
5:13 讓他嘗試登錄,給他們一個理由,這是我們攻擊網絡釣魚電子郵件的
5:20 第二階段,這封網絡釣魚電子郵件將精心設計,使其看起來像是來自 LinkedIn,就像它可能會說嘿 Bernard,你收到了一條非常重要的消息,這
5:21 會讓它
5:23 看起來像客戶的,就像它是合法的一樣,那是一封釣魚郵件,現在它不一定是電子郵件,也可能是文本,我們稱之為 smushing 攻擊,S 代表短信,所以我們發給他的短信可能是來自 LinkedIn的,
5:24 嘿,
5:27 點擊
5:29 這個鏈接,我們在那裡有那個鏈接,我認為那些更
5:32 危險,因為我們習慣於
5:33 防禦電子郵件,對吧,不要
5:38 點擊鏈接和電子郵件,除非你能
5:41 驗證電子郵件的來源,但文本是不同的,你看大多數人並不擔心手機上的病毒,所以
5:44 點擊
5:45 鏈接不僅僅是他們想到的,這是一件大事,它甚至是文本,也可能是電話,我們稱之為 Vishing呃,我們可以打電話給伯納德,假裝是 LinkedIn 說嘿伯納德,我需要你去登錄 LinkedIn,使用這個 URL 登錄到 Secret 登錄,
6:00 呃,只需輸入你的用戶名密碼很酷,明白了,好的,謝謝伯納德,這就是我所需要的,但
6:06 你知道我說的,我們回到老方法,現在開始使用電子郵件路線,這就是網絡釣魚憑證,我只會向所有人發送一堆帶有我的 URL 的網路釣魚電子郵件,
6:10 說嘿,
6:12 登入你的LinkedIn,你會收到一條訊息,這將是一次典型的網路釣魚電子郵件攻擊,但我不想要任何人,我想要伯納德,我想要伯納德的訊息,
6:19 所以當我用網路
6:23 釣魚電子郵件專門針對某人時,這被稱為魚叉式網路釣魚攻擊,這裡非常具有航海主題,但其理念
6:38 是傳統釣魚你會使用網子試圖捕捉任何你會抓式釣客把那根矛丟到槍上,我
6:40 不知道我不知道魚叉式釣魚你用魚叉式釣魚嗎,如果你用魚叉式釣魚,請在下方告訴我, 所以
6:42 所以
6:46 魚叉式釣魚是我專注於一個人,我腦海中有一個目標,伯納德和這次
6:48 攻擊甚至更進一步,因為我的
6:50 目標不只是任何
6:54 人,不僅僅是一個普通人,不是一個人的目標,
7:00 不是一個普通人,我的目標,是一個普通人,不是一個公司的目標,不是
7:08 一個普通人。現在,當駭客瞄準公司裡有影響力和權力的重要人物時,這被稱為捕鯨。
7:11 伯納德是我的鯨魚,我要抓住他,所以我們現在開始發送
7:23 網路釣魚電子郵件也很容易,現在我們將再次使用Linux,我將使用Cali,我們將使用Kali Linux上預先安裝的社會工程工具包或套件,這
7:31 就是為什麼我
7:33 總是建議在這裡我們可以做很多事情,但我們會保持專注,我們將發送
7:35 一封網路釣魚電子郵件,讓我們這樣做,所以選項一是社會工程攻擊,我們將發送群發
7:36 郵件攻擊,所以我現在再次
7:37 選擇選項五,如果
7:44 我只是進行常規的釣魚攻擊,是的,讓我們進行
7:46 群發郵件,讓我們將其發送給所有人,但不,我們只使用一個電子郵件地址,我們
7:50 正在進行魚叉式攻擊網絡
7:52 釣魚攻擊,更具體地說是針對鯨魚,因為Bernard 就是一條鯨魚,所以我們將選擇選項一,我將把
7:57 它發送到 bernard.hackwell gmail.com,所以在這種情況下,你至少要知道目標的電子郵件地址,
8:05 你可以
8:06 選擇使用自己的 SMTP 中繼,也可以只使用你的 Gmail 帳戶,我還有另一個 Gmail 帳戶可以使用,我建議你創建一個新的 Gmail 帳戶,所以你通常不
8:15 開始使用一個 Gmail 帳戶Gmail,我將輸入我的憑證,我不會向你展示這個,我會說它來自 LinkedIn 訊息,這將是發件人姓名,
8:17 然後是我的
8:19 Gmail 密碼,然後是一些其他信息,附加文件,
8:23 不,你可以附加文件等等,電子郵件主題很重要,因為我想讓 Bernard
8:26 點擊它,
8:28 我會說那就 LinkedIn
8:29 LinkedIn
8:32 訊息,足夠了,對吧,HTML正在播放,我現在只做簡單的,然後可以輸入
8:35 消息正文,
8:39 這是我可以
8:40 在此處放置鏈接的地方,所以我會說嘿 Bernard,你收到了一條來自我們來編個
8:44 名字吧 Richard 它被標記為緊急 現在檢查一下 然後我們會把鏈接放進去 我需要再次發起攻擊
8:46 我會很快完成 我為 LinkedIn 很酷的鏈接太簡單我們然後我會把所有大寫的首尾連起來 然後再次結束
8:51 我相信它現在正在發送 是的 它完成了 發送了 很酷 現在讓我們去看看 Bernard 是否
8:54 收到了電子郵件 是的 它就在那裡應該檢查
9:02 Bernard 他收到了 Richard 發來的消息 它被標記為緊急
9:05 現在檢查一下 我想是的
9:08 我現在應該
9:14 檢查一下 這個緊急消息 Bernard 你現在可以改變它可以改變它是 Bernard 當然現在我
9:29 得到了大量關於這個 Bernard 是誰以及 Bernard何時登入的資訊把他帶到他的主頁,他不知道我剛剛
9:30 得到了他的用戶名和密碼,我抓住了他,夥計,我抓住他了,現在我向你展示的
9:37 只是我們可以做到這一點的一種方法,
9:38 我們可以變得更棘手,比如也許在那封釣魚郵件中我沒有鏈接,也許我有一個他必須下載的文件,我就像嘿
9:40 伯納德下載這個文件,它是理查德發來的,也許是一個Word文檔,但在這個文件中
9:45 實際上是一些惡意軟體,一些惡意軟體,在這種情況下,我想做一件事,我想弄亂這台電腦的主機文件流行測驗主機檔案在Windows上的位置,在下面的評論中,主機檔案將覆蓋系統
9:49 上的DNS,所以通常當
10:05 伯納德輸入linkedin.com時,他的電腦會詢問DNS伺服器,這是一個DNS伺服器,嘿,linkedin.com在哪裡,DNS伺服器會回復一個IP位址,電腦就像很酷我知道怎麼去那裡,我們走吧,但伯納德的電腦會先查看 主機
10:06 主機
10:09 文件,然後再
10:17 詢問DNS伺服器某些東西在哪裡,如果我們可以弄亂那個文件,我們就可以控制東西的存放位置
10:22 例如Bernard,我可以讓 Bernard 的 LinkedIn 轉到不同的 IP
10:32 位址,保存該文件,當它轉到 linkedin.com 時,它會轉到其他地方。這是我的萬聖節活動,我要快速啟動它嚇唬我的孩子們,這顯然不是 LinkedIn,但就像我們做釣魚網頁一樣,我們可以創建一個看起來像 LinkedIn 的網站,每次
10:35 Bernard 輸入 linkedin.com 時,他都會轉到這裡。這通常被
10:39 稱為 DNS 投毒,
10:41 因為我們在投毒 DNS,這是最簡單的方法,只需弄亂主機
10:43 文件,你
10:45 實際上就可以入侵 DNS 伺服器,我們稍後會講到這些。就
10:52 網路釣魚而言,這種技術被稱為 pH 養殖,
11:00 本質上這就是我們剛才
11:01 所做的,我們建立了一個虛假網站,我們毒害了
11:05 Bernard 的計算機的 DNS,他的主機文件總是轉到我們的虛假網站,即使他
11:08 輸入的是合法域名,這也是非常
11:09 邪惡的,
11:11 因為你認為你是安全的,就像我檢查我時知道它是否是電子郵件一樣,你知道你知道未經垃圾郵件的請求。給我或合法的網路釣魚電子郵件,
11:17 如果我收到鏈接,請告訴我檢查我的帳戶,嘿,檢查你的銀行帳戶,嘿,檢查一下,我從不點擊那個鏈接,我會
11:29 轉到新選項卡,以與平常
11:33 相同的方式登錄我的銀行帳戶,這樣我知道
11:35 我是
11:36 安全的,但如果有人入侵了我的 DNS,有人
11:40 入侵了我的 DNS,或者我下載了我的 DNS Bernard hackwell,甚至沒有預料到它的到來,所以現在的問題是如何避免 Bernard hackwell陷入的陷阱,如何保護自己免受網路釣魚攻擊,你能為你和你的公司做的最
11:52 重要的事情就是確保你有一些好的垃圾
11:57 郵件過濾器,
12:00 垃圾郵件是任何未經請求的電子郵件,這意味著你沒有要求它,你不想要它,這個給我發
12:01 這封郵件的人是誰,我什至不知道你是誰,我的
12:07 意思是我們已經習慣了這些
12:10 東西,對吧,我們一直收到它,它通常會去哪裡,去我們的垃圾郵件文件夾,這太棒
12:22 了,所以如果如果你使用任何現代電子郵件系統,例如Gmail、Yahoo,或者只是你的公司郵箱,你都會有一個垃圾郵件文件夾,裡面放著你不真正關心的東西,這很好,
12:28 但有時情況並非如此,黑客確實變得更聰明了,比如我們今天編寫電子郵件的方式雖然不是很複雜,但黑客確實會變得瘋狂,這讓我想到了下一點,只是在點擊
12:29 鏈接時要小心,
12:34 或者點擊
12:35 鏈接時要小心你甚至
12:37 不要點擊鏈接,不要點擊它們,不要下載它們,如果你收到來自銀行
12:52 或其他機構的安全消息通知,只需登錄你的銀行帳戶,你會發現它就像這樣很容易,因為你永遠不知道現在有時我們必須點擊鏈接,我明白了,所以當
12:56 你查看你的
12:57 電子郵件時,確保它來自一個信譽良好的來源,這樣你就可以
12:59 打開像Gmail中的標題,在這裡你可以查看
13:05 信息,看看是誰發
13:07 來的,就像伯納德收到
13:10 一封來自某位
13:12 女士的電子郵件,你可以看到這裡的大部分信息,最重要的部分在這裡,
13:20 這是一條加密
13:21 消息,它來自可教的,只要確保它來自一個可驗證的來源,
13:25 你認識的人或你知道,最後一家公司或服務,
13:28 然後意識到最後一家公司,這不僅僅是我們之前討論過的
13:31 電子郵件,
13:32 你如何獲得帶有鏈接的文本,就像
13:34 現在我因為選舉而瘋狂地收到垃圾郵件,
13:37 為這個人投票,為這個人投票,你
13:38 得考慮通過短信為這個人投票,他們怎麼會
13:40 得到我的
13:41 號碼,有些短信可能是釣魚短信,
13:43 試圖讓我做某事,
13:45 試圖竊取我的憑證,可能
13:47 是電話釣魚,順便說
13:49 一下,短信是短信smushing,它甚至可能
13:50 是即時訊息,我的意思是
13:52 Facebook Messenger,任何類型的 I AM 應用程序,
13:55 你都可能收到垃圾郵件,它實際上被
13:56 稱為spin,當它在即時
13:59 訊息中時,就像那種即時訊息的垃圾郵件,還要
14:03 記住,它並不
14:04 總是一種攻擊,
14:06 他們可能並不總是使用
14:07 憑證收集攻擊,只是試圖
14:09 獲取你的用戶名和密碼,他們
14:10 可以誘騙你做各種各樣的
14:12 事情,社會工程學是驚人的,這是
14:14 可怕的,因為他們再次入侵了
14:16 人類的大腦,但人類的作業的憑證,也許我會使用釣魚郵件,魚叉式釣魚郵件,也許我會假裝是他
14:27 的供應商之一,也許是他的
14:29 咖啡供應商之一,比如嘿,嗯,這是家釀咖啡,
14:33 我有一張
14:34 發票,需要你付款,因為也許通過一些偵察,我研究了 Bernard hackwell和網絡
14:39 檢查咖啡,我弄清楚了
14:40 他們的供應商是誰,但在上一個視頻中講過,任何人都
14:41 可以成為
14:43 黑客,只需收集信息,
14:45 在社交媒體上進行窺探,並
14:46 利用這些信息製作一封釣魚郵件,
14:49 說嘿,我是 Homebrew 咖啡的John,
14:50 我收到了這張發票,需要你
14:52 付款,點擊鏈接,繼續,
14:53 輸入你的付款信息,我會
14:54 接受你的付款,這種情況
14:57 經常發生,發票詐騙
14:59 是合法的,大多數情況下,尤其是
15:00 當你不懂技術,或者
15:01 你甚至沒有想過它,你
15:03 只是在工作,然後你收到一封來自
15:05 你認識的供應商的電子郵件說,嘿,
15:06 我需要支付這張發票,你會
15:08 覺得,哦,糟糕,我以為我已經付了,你
15:10 感覺很糟糕,也許他們讓你感覺不好,
15:11 他們利用你的情緒,所以
15:13 你點擊它,你去支付,然後
15:15 你就完成了,獲取你的銀行
15:16 信息,他們可能會耗盡你的
15:18 帳戶,他們可以做各種各樣的事情,
15:20 網絡釣魚攻擊,我告訴過你,我告訴你,
15:22 它們很容易做到,我們
15:24 所做的非常基礎,但即使
15:25 它很簡單,它可以欺騙很多人,
15:28 但現在它們確實變得更加複雜,
15:30 再次,我在這裡向你展示的不要
15:32 對任何人使用,這僅用於教育
15:34 目的,我相信你可以在
15:35 你的家人和東西上玩這個爛攤子,
15:37 再次獲得許可,
15:39 許可的關鍵在這裡,但我向你展示了
15:40 這個,這樣你就可以攻下
15:42 我們可能面臨的擊類型,並且
15:44 不需要天才,
15:45 黑客天才就可以進行這些攻擊,它
15:47 可能是一個孩子在他的地下室玩耍,
15:48 所以你可以
15:50 再次確保你知道並且你正在
15:51 尋找網絡釣魚詐騙和網絡
15:54 釣魚電子郵件和垃圾郵件和垃圾郵件等釣魚、
15:56 偷拍等等這些瘋狂的
15:58 詞語,還要教育你的家人,
16:00 也許是家裡的長輩,說
16:02 實話,
16:04 現在很多祖父母都有iPhone,所以我們
16:05 總是接到電話,嘿,我該怎麼辦,
16:06 我該如何解決這個問題,確保他們接受過
16:08 如何保護自己
16:11 免受網絡釣魚詐騙的教育,說嘿奶奶,請
16:13 不要點擊任何東西,
16:15 在任何情況下都不要點擊
16:17 那個鏈接,不要接電話,
16:27 不要洩露信息,不要做任何這些事情,這些人就是目標,好吧,這是我們的 Security Plus 課程的第二集,我正在和 Bumblea 和 David Chara 和 David Chara 課程的第二集,我正在和 David Bumble一起學習,這將是非常精彩的,我迫不及待地
16:29 想讓你看到更多這樣的內容如果
16:30 你也等不及了,因為我們
16:32 每週都會發布一個視頻,
16:34 但我們製作視頻的速度也比這快得多,
16:35 所以如果你想看到更多,可以
16:38 考慮加入 this is it.io。這
16:40 不僅僅是一個會員資格,而是一項使命,當
16:42 你加入這項使命時,你就是在幫助
16:44 我自己。 David bomble Jeremy Chara
16:47 製作了盡可能多的免費或低成本內容,
16:49 以便提供給像你這樣的人,
16:50 當然,你
16:53 也可以在我們免費發佈到 YouTube 之前
17:02 訪問我們的東西,你還可以加入社區,我們有一個 Discord社區,人們已經在那裡互相幫助學習,努力讓自己變得更好,建立新的職業生涯,所以考慮加入我們有一個免費套餐,你可以直接進去,參加一些
17:05 很棒的免費課程,
17:06 當然,如果你想要額外的
17:08 好處或以任何方式支持我們,你可以
17:09 升級,嘿,如果
17:12 你喜歡這個
17:13 視頻,
17:21 點擊那個「讚」按鈕,它確實有幫助,如果你喜歡我在這個頻道上做的事情,如果你想了解更多關於黑客或網絡或任何東西的知識,如果你想看我每天喝咖啡,是的,考慮訂閱,點擊訂閱按鈕,點擊
17:22 通知鈴,這樣當我 發布
17:24 發布
17:33 視頻時你就可以做好準備,說到LinkedIn,如果你想在 LinkedIn 上關注我,我會在那裡 Instagram Facebook Twitter 當然加入我的 Discord 伺服器,嗯,是的,這就是我得到的全部,請在下面的評論中告訴我你的 想法,
17:34 想法,
17:37 下次我會見到你們 [音樂]
Chrome Extension