創建虛假短信

 

社會工程攻擊：創建虛假短信

歡迎回來，我有抱負的網絡戰士！

社會工程學是歷史上一些最大的黑客攻擊的關鍵特徵！許多新手黑客過於專注於掌握黑客的技術方面，以至於他們忽視了社會工程學的力量，這會給他們帶來危險。當俄羅斯的 Sandworm 黑客團隊（技術最先進的黑客組織之一）等民族國家行為者使用社會工程學來攻擊烏克蘭的電網和美國 2016 年總統大選時，這應該表明社會工程學在您的黑客工具箱中是不正確的。

在電視節目中，Mr. Robot、Elliot 和 f/society 使用社會工程學黑入了 Evil Corporation 存放備份磁帶的 Steel Mountain。該社會工程的一部分是一條 SMS 消息（從社會工程工具包 (SET) 中現已過時的功能發送）給經理，這會分散她的注意力並使 Elliot 能夠在設施中自由漫遊，最終將他帶到公司的 HVAC 系統存儲磁帶的保管庫。這是一個複雜而困難的黑客攻擊，但如果沒有社會工程學，這一切都是不可能的。

SMS 消息或通常稱為文本消息的協議最初於 1980-1980 年代開發，並於 1990-1990 年代首次在歐洲移動標準 GSM 上實施，此後幾乎在所有移動通信協議中實施。它允許用戶通過移動網絡從一個人向另一個人發送少於 160 個字符的短消息（SMS 是短消息服務的首字母縮寫）。它已成為21世紀移動通信的普遍特徵。

讓我們來看看如何發送虛假短信。

步驟 #1 下載並安裝假短信

如果我們想從 git 中心上可用的 Kali 發送假短信，我們可以下載並安裝 Fake-SMS。

kali > sudo git clone https://github.com/machine1337/fake-sms

下載後，導航到新目錄；

kali > cd 假短信

現在，給自己 run.sh 的執行權限

kali > sudo chmod 755 runs.r uns

現在，執行腳本

卡利 > 須藤 ./run.sh

正如您在上面看到的，Fake-SMS 打開一個類似上面的屏幕，其中有一個簡單的菜單。要發送 SMan 消息，只需輸入 2。

現在將提示您輸入電話號碼和消息，如下所示。我在目前通過短信進行的眾多騙局中發現了這個號碼。這個承諾寬恕你的學生貸款。

我輸入了電話號碼，按回車鍵，然後系統提示我輸入一條消息。然後我輸入“是的！我想要學生貸款寬恕！”

如您所見，我能夠向詐騙者發送虛假短信！使用這個腳本，我們可以每天發送一條假短信

我們可以使用任何文本編輯器查看 Fake-SMS 腳本。在這種情況下，我用鼠標墊打開它。當我們看到它是一個簡單的 BASH 腳本時，我們向下滾動到第 119-120 行，我們可以看到一個指向textbelt.com 的 curl 命令。AppaThisipt 僅使用此 SMS 站點發送文本消息。

讓我們看看我們是否可以繞過這個腳本並直接使用這個站點。

步驟 #2：使用 curl 命令發送假短信

首先，我們需要在textbelt.com 上開設一個帳戶。當我們開設一個賬戶時，我們可以每天發送一條虛假的 SMS 消息，或者我們可以購買積分並獲得一個 API 密鑰來使用他們的服務。

現在我們可以通過在 Linux 中創建一個 curl 命令直接生成我們的消息而無需 Fake-SMS 腳本（一旦你有了 API，你就可以使用各種腳本語言，但我發現這個 curl 命令是最簡單的）。該命令的語法如下：

curl -X POST https://textbelt.com/text — data-urlencode phone='帶國家代碼的電話號碼'

— data-urlencode= message='短信'

-d key=你的 API Key

然後，我可以構建一個命令來發送一條偽造的文本消息，如下所示，使用來自上面的相同信息並包括我的 API 密鑰（塗黑）。

該服務以一條消息作為響應，詳細說明我的消息發送成功以及我的配額中剩餘的消息數。

概括

雖然每個黑客都想要一個類似於 EternalBlue 的漂亮、乾淨、技術先進的 hack，但除了少數情況外，這通常是不可能的。實際上，當今幾乎所有的黑客攻擊都需要社會工程學的元素。如上所述，即使是最老練的黑客組織（如俄羅斯的 Sandworm）也曾在其歷史上一些最重要的黑客攻擊中使用社會工程學元素。能夠發送虛假的 SMS 消息可能是您破解的關鍵要素！