SET, ovvero Social Engineering Toolkit, è un programma in command line usato per creare diversi tipi di attacchi di ingegneria sociale.

SET è in grado di ingannare utenti poco esperti imitando pagine di login di diversi siti molto usati, al fine di “rubare” login e password della vittima. Ricordiamo che l’uso sconsiderato di queste tecniche puó costituire un reato perseguibile penalmente, con reclusione fino a quattro anni.

Prima di approfondire l’argomento vorremmo consigliarvi due libri di Kevin Mitnick, maestro del social engineering e hacker di fama internazionale:
Ghost in the wires (agosto 2011)
The art of deception, di Kevin Mitnick e William L Simon


Il social engineering fa eseguire all’utente meno esperto determinate azioni, al fine di sfruttarlo per ottenere l’accesso ai suoi sistemi. È un exploit che utilizza quindi la parte più debole di un sistema informatico: la persona umana che lo utilizza.

L’essere umano si fida per natura, l’uomo ben pensante neanche si immagina di poter essere vulnerabile.

Provate a pensare quante volte si scansiona un QR code semplicemente perché visto su un adesivo attaccato al palo di un semaforo. Sarebbe una cosa da non fare mai. Eppure moltissima gente (tra cui io) l’ha fatto almeno una volta.

Come scritto in intro, SET crea pagine di login, identiche a quelle dei siti originali... ma non solo: è in grado anche di creare QR code che ci reindirizzano ad un sito infetto. Inoltre è in grado di creare file multimediali infetti, mail spam di massa, attacchi tipo phishing e molto molto altro ancora.

E’ dunque un potentissimo tool creato da David Kennedy, fondatore e responsabile di sicurezza della trustedsec, azienda Americana di sicurezza informatica. Ma passiamo ai fatti.

Avviamo SET attraverso Backbox oppure Kali, in quest’ultimo è nativo cioè lo troviamo di default una volta che scarichiamo e installiamo il SO. L’interfaccia è in command line, molto bella e colorata. Nella prima schermata sono elencate le prime funzionalità di SET.

Premendo 1 entriamo nel menù di attacco. Volendo creare una copia di un sito premiano 2.

Possiamo rubare le password che verranno digitate in un finto sito.
Alcuni template dei siti più famosi sono già presenti di default… Come facebook … E questo ci facilita le cose. Ci chiede l’IP a cui inviare le informazioni che la vittima inserirà. Il framework infatti attraverso PHP farà una richiesta POST di invio dati e invierà delle credenziali all’IP inserito. A questo punto SET ha creato una pagina web identica sia nel nome che nella grafica.

Quando l’utente utilizzerà la pagina da noi creata, il programma, che è già in ascolto sulla pagina creata, ci invierà i dati inseriti. L’unica differenza è la mancanza del lucchetto verde nella barra degli indirizzi. 

Quando l’utente inserisce le credenziali, SET le comunica a noi e reindirizza la vittima sul sito vero, così l’utente è portato a pensare ad un errore nella digitazione oppure un problema del server, ma non penserà di certo che gli siano state sottratte le credenziali. Quindi è importante che controlliate sempre di star inserendo le vostre credenziali nel sito giusto. Verificate sempre nome del sito e presenza dei certificati SSL.