Je n'avais jamais réalisé à quel point il était facile d'obtenir un nom d'utilisateur et un mot de passe pour un compte de messagerie jusqu'à ce que ma mère soit piratée. En l'écoutant expliquer ce qui s'est passé, j'ai réalisé que l'attaque était assez simple… elle s'est connectée à son compte Google via un e-mail lui demandant de confirmer son nom d'utilisateur et son mot de passe. Pourquoi remettrait-elle en question la demande ?

Lorsque j'ai eu accès à son ordinateur portable, j'ai soupçonné que l'attaque contre ses informations d'identification était beaucoup plus importante et avait migré vers son ordinateur. Elle m'a parlé d'achats Amazon non autorisés pendant que je regardais des messages contextuels aléatoires apparaître sur son ordinateur portable. J'ai fermé son ordinateur, lui ai dit de ne plus jamais s'y connecter, lui ai acheté un iPad et changé tous ses mots de passe. Ensuite, nous avons eu une longue discussion sur les liens malveillants et les personnes de soutien aléatoires qui l'appelaient pour «l'aider».

J'ai essayé de comprendre comment elle en était arrivée à ce point de comptes compromis et j'ai découvert que c'était assez simple.

Attaque de phishing par e-mail

L'hameçonnage est un type d'escroquerie en ligne où les criminels se font passer pour des organisations légitimes par e-mail, SMS ou publicités pour voler des noms d'utilisateur et des mots de passe. Cela se produit en incluant un lien qui apparaîtra pour vous diriger vers le site Web de l'entreprise pour remplir vos informations - mais le site Web est un faux intelligent et les informations que vous fournissez vont directement aux pirates à l'origine de l'arnaque.

Il s'est passé quelque chose comme ça :

1. L'agresseur a envoyé un e-mail de phishing à ma mère. Dans ce cas, un document soigneusement rédigé pour cliquer sur un lien qui la connectera à son compte Google.com. Si elle ne répondait pas immédiatement, son compte serait verrouillé.
2. Ma mère a cliqué sur le lien et est arrivée sur une page Web qui ressemble à une page de connexion Google.com.
3. Elle s'est connectée au faux site Google.com. Elle voit des pages Google normales et pense qu'elle s'est connectée avec succès à Google.com et a empêché le verrouillage de son compte.
4. Les informations de nom d'utilisateur/mot de passe sont envoyées au pirate qui collecte les données d'identification et passe à l'étape suivante de l'attaque.

E-mail d'hameçonnage

Un e-mail de phishing soigneusement rédigé sans fautes de frappe ni grammaire bizarre est important pour le succès de la campagne de phishing. L'e-mail qu'elle a reçu était similaire à celui-ci avec pour objet : Vérifiez votre compte Google.

E-mail d'hameçonnage

Cette méthode particulière utilise deux outils d'ingénierie sociale courants utilisés par les acteurs malveillants : la confiance et l'urgence.

Ironiquement, quelques jours après m'être envoyé cet e-mail de test de phishing, je l'ai vu dans ma boîte de réception et je l'ai ouvert en oubliant que j'avais créé cette alerte pour cet article. Il est facile de se faire avoir si vous êtes distrait !

Comment un pirate a volé les informations de connexion de ma mère

Nous allons utiliser Kali Linux pour cette procédure pas à pas, mais plusieurs outils sont disponibles pour la collecte des informations d'identification. Cette attaque est incroyablement simple, je suis surpris qu'elle soit si facile à mettre en œuvre.

Commencer

1. À partir de la ligne de commande, lancez le Social Engineering Toolkit (SET) en tant que root.

# setoolkit

La boîte à outils de l'ingénieur social est un ensemble d'outils fournis par trustsec.com pour les tests d'intrusion et le piratage éthique.

1. Dans le menu principal, sélectionnez l' option 1 , Attaques d'ingénierie sociale .

   
   

Dans le menu Attaques d'ingénierie sociale, sélectionnez l' option 2 , Vecteurs d'attaque de site Web.

1. Dans le sous-menu Social-Engineering Attacks, sélectionnez l' option 2, Website Attack Vectors .

   
   

Dans le menu Website Attack Vectors, sélectionnez l' option 3 , Credential Harvester Attack Method . À l'aide de modèles intégrés, cette option nous permet d'utiliser des sites Web populaires, tels que Google, Yahoo, Twitter et Facebook.

Pour la méthode Credential Harvester Attack, sélectionnez l' option 1, Web Templates

Le Credential Harvester commence à créer le site de collecte. Si vous utilisez la même machine pour collecter vos informations, utilisez l' adresse IP par défaut pour le POST dans Harvester/Tabnapping [192.168.1.183] : sélection. Modifiez cette adresse sur votre machine.

Dans la liste des modèles Web, sélectionnez l' option 2 . Google .

Menu Modèles Web

La boîte à outils de l'ingénieur social - Credential Harvester Attack crée un site Web temporaire en clonant une copie de google.com. Il démarrera un serveur Web à l'adresse que vous avez spécifiée et démarrera un écouteur sur le port 80. Toutes les connexions à ce port sont enregistrées dans la console.

Console de collecte d'informations d'identification

Vous pouvez tester cet exploit en faisant pointer votre navigateur vers l'adresse IP que vous avez fournie dans la section Harvester/Tabnapping ou en incorporant ce lien dans votre e-mail de phishing soigneusement conçu. http://192.168.1.183

L'exploit est terminé. Tout ce que le pirate a à faire est d'attendre que quelqu'un charge la page.

Les utilisateurs occasionnels ne remarqueront pas l'URL non conventionnelle et le verrou non sécurisé surlignés en rouge dans la barre d'emplacement du navigateur Web.

Capture d'informations d'identification réussie

Pendant ce temps, l'attaquant attend le message suivant.

Remplir la fausse page de connexion au compte Google capture les informations d'identification et les envoie à la console de l'ordinateur de l'attaquant. Dans notre exemple, un nom d'utilisateur possible est [email protected] tandis que son mot de passe semble être Ilikecats .

Un peu de confiance et une histoire crédible suffisent pour récolter des lettres de noblesse. Imaginez lancer cette attaque contre plusieurs milliers d'adresses e-mail ?

Comment protéger maman

Il n'y a rien de nouveau dans la prévention de ce type d'attaque. Les pratiques de sécurité quotidiennes habituelles s'appliquent : ne cliquez pas sur les liens de quelqu'un en qui vous n'avez pas confiance. Si vous ressentez le besoin de cliquer sur le lien, confirmez que l'URL provient de la même source fiable, qu'il n'y a pas de fautes de frappe et qu'elle ne provient pas d'une adresse IP.

Elle adore son nouvel iPad.

Également publié ici