Полный обзор Social‑Engineer Toolkit: возможности, установка, практическое применение

SET Social‑Engineer Toolkit социальная инженерия фишинг
Полный обзор Social‑Engineer Toolkit: возможности, установка, практическое применение

Social‑Engineer Toolkit (SET) давно стал культовым инструментом в арсенале специалистов по информационной безопасности. Он появился еще в 2009 году, но с тех пор пережил десятки крупных доработок и сейчас остается актуальным благодаря активному сообществу и регулярным коммитам в репозитории GitHub. Ниже — полный, живой и практический обзор: от истории создания до юридических нюансов.

Откуда взялся SET и почему о нем до сих пор говорят

Автором набора является Дэйв Кеннеди (Dave Kennedy), основатель консалтинговой компании TrustedSec . Изначальная цель — дать пентестерам «швейцарский нож» для моделирования человеческого фактора: фишинговых рассылок, поддельных сайтов и других методов соц‑инженерии, которые невозможно проверить обычными сканерами ✔ В феврале 2020 года вышла последняя помеченная версия 8.0.3, однако код развивается и сегодня; на GitHub уже более 15 800 коммитов. Такая модель «rolling‑release» означает, что свежие исправления попадают в мастер‑ветку быстрее релизных тегов

Архитектура и основные модули

SET написан на Python 3 и работает в CLI‑режиме. После запуска пользователь попадает в меню с нумерованными разделами. Рассмотрим наиболее востребованные.

Spear‑Phishing Attack Vector

Классический фишинг, но с уклоном в качество: генерация писем, подмена «From», автоприкрепление вредоносных документов. Есть шаблоны под Word/Excel с макросами, PDF‑эксплойты и HTA‑файлы, которые не видят многие антивирусы. Для массовых кампаний предусмотрен встроенный SMTP‑клиент и понятный мастер настройки.

Web Attack Vector

Коллекция поддельных сайтов и методов кражи учётных данных — от «Browser Exploitation Framework» до почтового «Credential Harvester». SET автоматически клонирует целевую страницу, внедряет скрипт‑ловушку и перехватывает логины в реальном времени.

Infectious Media Generator

Создает ISO‑, USB‑ и охотно забытые «автозапуск»‑образы с препатченными исполняемыми файлами. Сценарий под флешку по‑прежнему работает в офисах, где отключение USB‑портов кажется «слишком радикальной» мерой.

Multi‑Attack и комбинации

Позволяет связать несколько техник: например, фишинг‑письмо ➔ переход на клонированный сайт ➔ автоматический PowerShell‑payload. Простой скрипт превращается в real‑world цепочку, приближенную к действиям реального злоумышленника.

Дополнительные утилиты

  • QRCode Generator — быстрая генерация QR‑кодов с ссылкой на фейковый портал;
  • SMS Spoofing — подмена номера отправителя для регионов, где это законно;
  • Arduino‑/Teensy‑Payloads — автоматический код под HID‑эмуляторы;
  • Wireless — точка доступа Evil Twin с порталом авторизации.

Полный список находится в справочном пункте «Help, Credits and About» меню SET.

Установка и первый запуск

Kali Linux (рекомендуемый путь)

Kali поставляется с предустановленным пакетом set. Если вы используете минимальный образ или WSL‑версию Kali, просто выполните: 

sudo  apt  update && sudo apt install set ‑y

Система подтянет зависимости и создаст ярлык в каталоге /usr/share/setoolkit.

Linux‑дистрибутивы без репозитория

  1. Клонируем мастер‑ветку:
    git clone https://github.com/trustedsec/social-engineer-toolkit.git
  2. Устанавливаем зависимости:
    pip3 install -r requirements.txt
  3. Запускаем инсталлятор:
    sudo python3 setup.py

Windows 10/11 через WSL 2

Поскольку SET зависит от Linux‑утилит, самый простой способ — тот же пакет set внутри Kali WSL. Будет работать и Ubuntu WSL, если заранее поставить metasploit‑framework и libpcap‑dev.

Docker‑контейнер

В репозитории есть Dockerfile; соберите образ командой docker build -t set .. Такой вариант удобен, если нужно быстро развернуть лабораторию на CI‑сервере или изолировать инструментарий.

Мини‑лаборатория: пример атаки «Фишинг + Browser Exploit»

Разберём упрощённый кейс: тестирование отдела продаж.

  1. Подготовка письма. В меню Spear‑Phishing выбираем шаблон «PDF Embedded EXE» и редактируем корпоративный стиль.
  2. Запуск Web Attack. Клонируем портал CRM компании, активируем Credential Collector.
  3. Комбинация. В Multi‑Attack соединяем рассылку с перенаправлением на клонированный портал. При клике на ссылку запускается JavaScript‑апплет, который проверяет браузер на уязвимость CVE‑2024‑XYZ и в случае успеха кидает обратный shell.
  4. Отчёт. Сохраняем лог‑файл с учётными данными и shell‑сессиями, формируем таблицу «попавшихся» адресатов. Логи удобно экспортировать в CSV и прикрепить к официальному отчёту.

Весь сценарий занимает 15–20 минут: большая часть времени уходит на дизайн шаблона, а не на код.

Полезные советы по повседневной работе

  • Используйте опцию «Update SET configuration», чтобы задать собственный SMTP‑relay и path к Metasploit RPC. Это избавит от лишних вопросов firewall‑а.
  • Храните индивидуальные «профили кампаний» в отдельной папке — SET подгрузит их через аргумент ‑‑profile.
  • Для быстрого rollback после демо‑сессии запускайте SET в Docker‑контейнере и удаляйте контейнер командой --rm.

Этика и закон

Разработчики чётко предупреждают: инструмент только для легального тестирования. В России и многих странах Европы рассылка «суррогатного» СПАМ без согласия — административное правонарушение. Обязательно фиксируйте письменное разрешение руководства компании‑клиента, а для тестов почтовых систем используйте выделенный домен в зоне .test.

Альтернативы и дополняющие фреймворки

SET не единственный игрок на рынке, но он закрывает 90 % потребностей новичка. Тем не менее, иногда полезно объединять:

  • Evilginx 2 — проксирование реальных логинов для обхода MFA;
  • CrackMapExec — пост‑эксплуатация в сети Windows;
  • MermaidPhish — лендинг‑пейджи на статическом хостинге.

Выбор зависит от целей: если нужен исключительно «фронт» (лэндинг + лог‑коллектор), SET может быть «слишком тяжёлым». Зато при комплексном пентесте он ценен как единый интерфейс.

Будущее проекта

Хотя релизных тегов давно не было, коммиты появляются еженедельно. По словам разработчиков в Issues GitHub, подготавливается крупное обновление ядра с переездом на asynchronous I/O и расширенным API для плагинов. Уже тестируется поддержка ARM64‑платформ, что позволит запускать SET прямо на Raspberry Pi, превращая её в мобильный SOC‑набор.

Заключение

Social‑Engineer Toolkit за шестнадцать лет доказал, что удобство и гибкость побеждают модные «one‑click»‑сканеры. Он не заменяет здравый смысл пентестера, но даёт прочный фундамент, на котором строятся изящные цепочки атак. Если вы только начинаете путь в социальной инженерии — освоение SET будет лучшей инвестицией времени. А ветеранам инструмент остаётся полезен как многофункциональный «комбайн», экономящий часы рутинных задач.

SET Social‑Engineer Toolkit социальная инженерия фишинг
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Твой код — безопасный?

Расскажи, что знаешь о DevSecOps.
Пройди опрос и получи свежий отчет State of DevOps Russia 2025.

Участвовать

article-title

Николай Нечепуренков

Я – ваш цифровой телохранитель и гид по джунглям интернета. Устал видеть, как хорошие люди попадаются на уловки кибермошенников, поэтому решил действовать. Здесь я делюсь своими секретами безопасности без занудства и сложных терминов. Неважно, считаешь ты себя гуру технологий или только учишься включать компьютер – у меня найдутся советы для каждого. Моя миссия? Сделать цифровой мир безопаснее, а тебя – увереннее в сети.