社会工程学

• SET 工具包大量依赖Metasploit
• 基于浏览器等客户端软件漏洞实现对客户端计算机的攻击

四个阶段

• 研究：信息收集（WEB、媒体、垃圾桶、物理），确定并研究目标人
• 钩子：与目标建立第一次交谈（Hook、下套）
• 下手：与目标建立信任并获取信息
• 退场：不引起目标怀疑的离开攻击现场

类型

• 基于人的社工
  • 搭载
  • 伪造身份
  • 偷听、窃肩
  • 反社工
  • 垃圾桶工程
• 基于计算机的社工
  • 弹出窗口
  • 内部网络攻击
  • 钓鱼邮件
  • 419尼日利亚骗局
  • 短信诈骗

SET

• 站点克隆：1232
• 发送钓鱼邮件：112
• web站点攻击向量：1212
• 中间文件全部存在 ~/.set目录中