未だによく耳にする「〇〇を装ってIDとパスワードを盗む」手口。これ、経営層とか上の立場の人が思っているほど見破るの簡単じゃないんですよね。サイトなんて見た目全く同じだし。これに引っかかる人に対して「リテラシーが〜」「危機管理が〜」って唱える人に是非今回の検証結果を見てもらいたい。 今回検証に使用するのは「Social Engineering Toolkit」というツール。読んで字の如くソーシャル・エンジニアリングに使えるツールで、情報を搾取するためのツールがぎっしり詰まっている。また、簡単な設定でペネトレーションテストも実施できる。 この「Social Engineering Toolkit」を使用して、勉強会などの登録でおなじみの「connpass」さんのログインページを複製したサイトを作成し、そこへ被害者となるユーザを誘導しログインを施行させた場合の挙動を検証してみる。 なお、ここで取