Tools: Social Engineering Toolkit (SET)

From OnnoWiki
Revision as of 17:09, 2 December 2024 by Onnowpurbo (talk | contribs) (→‎Contoh Penggunaan SET di Kali Linux 24.03:)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search

Penjelaskan tentang Social Engineering Toolkit (SET) di Kali Linux 24.03 untuk keperluan kuliah ethical hacking.

Apa itu Social Engineering Toolkit (SET)?

SET adalah sebuah perangkat lunak open-source yang dirancang khusus untuk melakukan pengujian penetrasi dengan memanfaatkan teknik-teknik social engineering. Sederhananya, SET memungkinkan seorang pentester untuk mensimulasikan serangan yang mengeksploitasi kelemahan manusia dalam sistem keamanan.

Social Engineering Toolkit (SET) adalah tool open-source di Kali Linux yang dirancang khusus untuk menguji kerentanan sistem melalui teknik rekayasa sosial. SET sering digunakan dalam ethical hacking untuk mensimulasikan serangan berbasis manusia, seperti phishing, spear phishing, atau serangan berbasis klien.


Mengapa SET Penting untuk Ethical Hacking?

  • Realitas Dunia Nyata: Serangan siber yang paling sukses seringkali memanfaatkan faktor manusia. Dengan SET, Anda dapat memahami bagaimana serangan-serangan ini bekerja dan bagaimana cara mencegahnya.
  • Beragam Vektor Serangan: SET menyediakan berbagai modul untuk mensimulasikan berbagai jenis serangan, mulai dari phishing email hingga serangan berbasis SMS.
  • Mudah Digunakan: Meskipun memiliki kemampuan yang kuat, SET dirancang dengan antarmuka yang user-friendly, sehingga mudah digunakan oleh para pemula maupun profesional.

Fitur Utama SET:

  • Phishing: Membuat halaman login palsu yang mirip dengan situs asli untuk mencuri kredensial pengguna.
  • Spear Phishing: Membuat serangan phishing yang lebih personal dengan menargetkan individu tertentu.
  • SMS Spoofing: Mengirim pesan SMS palsu yang seolah-olah berasal dari nomor telepon yang dikenal.
  • Credential Harvesting: Mengumpulkan kredensial pengguna melalui berbagai metode, seperti keylogger dan formulir login palsu.
  • Artifak: Membuat artefak palsu untuk mendukung serangan, seperti dokumen Word atau PDF yang berisi malware.

Contoh Penggunaan SET di Kali Linux 24.03:

Instalasi:

  • SET sudah tersedia secara default di Kali Linux. Namun, jika Anda perlu menginstal atau memperbarui SET, gunakan perintah berikut di terminal:
sudo apt update
sudo apt install set

Memulai SET:

  • Setelah selesai, jalankan SET dengan mengetik:
sudo setoolkit
  • Anda akan melihat antarmuka utama SET.

Memilih Modul:

    • Pilih modul yang ingin Anda gunakan, misalnya "Social Engineering Attacks".
    • Selanjutnya, pilih submodul yang sesuai, seperti "Website Attack Vectors".

Kustomisasi Serangan: Konfigurasikan serangan sesuai dengan target Anda. Misalnya, tentukan URL target, jenis phishing, dan pesan yang akan ditampilkan.

Meluncurkan Serangan: Jalankan serangan. SET akan membuat halaman phishing atau mengirimkan pesan SMS palsu.

Phishing Attack dengan SET

Salah satu skenario yang umum adalah simulasi serangan phishing. Kita akan membuat halaman login palsu untuk mendapatkan kredensial pengguna.

Contoh: Simulasi Serangan Phishing

  • Setelah membuka SET, pilih opsi 1) Social-Engineering Attacks.
  • Pilih 2) Website Attack Vectors untuk membuat serangan berbasis situs web.
  • Pilih 3) Credential Harvester Attack Method. Metode ini memungkinkan Anda untuk menangkap kredensial yang dimasukkan pengguna di halaman web palsu.
  • Pilih 2) Site Cloner. Fitur ini memungkinkan Anda untuk menggandakan (clone) situs web yang ingin Anda gunakan sebagai umpan.
  • Masukkan alamat IP lokal atau public IP dari server Anda (misalnya, untuk pengujian lokal pada jaringan Anda):
Enter the IP address for the POST back in Harvester/Tabnabbing: [IP Address]
  • Masukkan URL situs web yang ingin Anda clone, misalnya halaman login Facebook:
Enter the URL to clone: https://www.facebook.com
  • SET akan menggandakan situs tersebut, membuat halaman login palsu, dan mulai mendengarkan aktivitas pada alamat IP yang Anda masukkan. Ketika korban mengunjungi URL dan mencoba login, kredensial mereka akan terekam di terminal SET.
  • Untuk melihat kredensial yang berhasil Anda peroleh, cukup kembali ke terminal SET yang sedang berjalan. Setiap login yang dilakukan oleh korban akan muncul dengan detail username dan password.

Spear Phishing Attack

Contoh lainnya adalah serangan spear phishing. Dengan metode ini, Anda bisa mengirim email berisi link atau file berbahaya ke target spesifik.

Contoh: Spear Phishing Email Attack

  • Pilih opsi 1) Social-Engineering Attacks.
  • Pilih 5) Mass Mailer Attack.
  • Pilih 1) E-Mail Attack Single Email jika ingin mengirim ke satu target, atau 2) E-Mail Attack Mass Email untuk mengirim ke banyak target.
  • SET akan meminta konfigurasi SMTP. Jika Anda memiliki server SMTP, masukkan detailnya. Atau, Anda dapat menggunakan layanan SMTP gratis seperti Gmail (dengan hati-hati karena beberapa layanan mungkin memblokir penggunaan ini untuk mengirim email berbahaya).
  • Masukkan alamat email pengirim, subjek, dan isi pesan yang berisi link phishing atau lampiran berbahaya yang ingin Anda kirim.
  • Jika menggunakan file lampiran, SET juga menyediakan opsi untuk memasukkan payload atau exploit yang dapat dijalankan saat korban membuka file.

Pengujian dan Hasil

  • Setelah menyiapkan phishing atau spear phishing attack, Anda bisa melakukan pengujian di lingkungan lab untuk melihat bagaimana target bereaksi terhadap serangan yang dilakukan.
  • Analisis log: Log akan dicatat di terminal dan folder yang ditentukan untuk mencatat detail serangan, termasuk kredensial yang berhasil diperoleh.

Contoh Praktis:

Untuk skenario kelas, Anda dapat meminta mahasiswa mengimplementasikan halaman login palsu sederhana untuk simulasi serangan phishing. Mereka dapat mengamati bagaimana interaksi target dapat disimulasikan dan bagaimana kredensial dikumpulkan dalam log.

Tool SET ini sangat powerful dalam simulasi serangan rekayasa sosial. Dalam ethical hacking, praktik ini bertujuan untuk memahami teknik penyerang dan memperkuat sistem dari serangan berbasis manusia.


Contoh Skenario Serangan:

Anda ingin mensimulasikan serangan phishing terhadap karyawan di perusahaan Anda. Dengan SET, Anda bisa:

  • Membuat halaman login palsu yang mirip dengan halaman login email perusahaan.
  • Mengirim email phishing kepada karyawan dengan tautan ke halaman login palsu tersebut.
  • Ketika karyawan memasukkan kredensial mereka, SET akan merekam data tersebut.

Penting untuk Diingat:

  • Gunakan SET dengan Bijak: SET adalah alat yang sangat kuat. Gunakanlah hanya untuk tujuan pendidikan dan pengujian penetrasi yang telah mendapatkan izin.
  • Etika: Selalu patuhi hukum dan etika dalam melakukan pengujian penetrasi. Jangan pernah menargetkan sistem atau data yang tidak memiliki izin.
  • Pelajari Lebih Lanjut: SET memiliki banyak fitur dan modul yang kompleks. Luangkan waktu untuk mempelajari dokumentasi resmi SET untuk memaksimalkan potensi alat ini.

Kesimpulan:

SET adalah alat yang sangat berharga bagi para praktisi keamanan siber. Dengan memahami cara kerja SET, Anda dapat meningkatkan kemampuan Anda dalam mengidentifikasi dan mencegah serangan social engineering.

Pranala Menarik

  • Ethical Hacking
  • Latihan Terus-Menerus: Praktikkan penggunaan SET secara rutin untuk meningkatkan keterampilan Anda.
  • Ikuti perkembangan SET: SET terus dikembangkan dengan fitur-fitur baru. Selalu perbarui pengetahuan Anda tentang versi terbaru SET.
  • Bergabung dengan Komunitas: Bergabunglah dengan komunitas ethical hacking untuk berbagi pengetahuan dan pengalaman dengan orang lain.