Connexion
S'inscrire
Actualités
Quoi de neuf
Activités générales
Auteurs
Forums
Nouveaux messages
Rechercher un forum
Quoi de neuf
Nouveaux messages
Nouveaux messages de profil
Activités générales
Membres
Membres inscrits
Visiteurs actuels
Nouveaux messages de profil
Rechercher dans les messages des profils
Teams
Créé ton équipe
Quoi de neuf ?
Nouveaux messages
Rechercher un forum
Menu
Connexion
S'inscrire
Install the app
Install
Forums
Forums généraux
RealityGaming
Social Fact - Découverte du Social Engineering - Episode 2
JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
Vous utilisez un navigateur non à jour ou ancien. Il ne peut pas afficher ce site ou d'autres sites correctement.
Vous devez le mettre à jour ou utiliser un
navigateur alternatif
.
Répondre à la discussion
Message
<blockquote data-quote="Crowink" data-source="post: 7136900" data-attributes="member: 735618"><p style="text-align: center"><img src="https://image.noelshack.com/fichiers/2017/22/1496582412-mental-fact1.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></p> <p style="text-align: center"><span style="font-size: 26px"><strong><span style="color: #0080ff">[FA]fa-info-circle[/FA] </span></strong></span><span style="color: #000000"><strong>Pour les retardataires et ceux qui ne savent pas en quoi consiste le Social Engineering je vous invite a vous référer au premier épisode de cette série :</strong></span></p> <p style="text-align: center"><a href="https://reality-gaming.fr/threads/introduction-au-social-engineering-episode-1.599306/" target="_blank">https://reality-gaming.fr/threads/introduction-au-social-engineering-episode-1.599306/</a></p> <p style="text-align: center"></p> <p style="text-align: center"><img src="https://image.noelshack.com/fichiers/2017/22/1496582867-se.jpg" alt="" class="fr-fic fr-dii fr-draggable " style="" /></p> <p style="text-align: center"></p> <p style="text-align: center"><strong><span style="font-size: 18px"><span style="color: #ff0000">[FA]fa-exclamation-triangle[/FA]</span></span> Dans ce second épisode je vais vous présenter des exemples d'attaques de social Engineering , dans ces exemples et afin de rester un maximum dans le thème du forum nous allons principalement voir des attaques dans le domaine de l'informatique , je vous invite cependant a ne pas essayer de reproduire d'une quelconque façon ces exemples dans l'objectif d'évité tout problèmes avec la loi . <strong><span style="font-size: 18px"><span style="color: #ff0000">[FA]fa-exclamation-triangle[/FA]</span></span></strong></strong></p> <p style="text-align: center"><strong><strong><span style="font-size: 18px"><span style="color: #ff8000"></span></span></strong></strong></p> <p style="text-align: center"><strong><strong><span style="font-size: 18px"><span style="color: #ff8000"></span></span></strong></strong></p> <p style="text-align: center"><strong><strong><span style="font-size: 18px"></span></strong></strong></p> <p style="text-align: center"><strong><strong><span style="font-size: 18px"><span style="color: #000000">Bon , très bien , pour commencer nous allons donc constater a quel point avec un plan bien ficelé il est facile d'avoir tout sur n'importe qui et pour ce faire nous allons prendre l'exemple de Matt Honan , Le journaliste dont la vie a été piraté</span></span></strong></strong></p> <p style="text-align: center"><strong><strong><span style="font-size: 18px"><span style="color: #000000"></span></span></strong></strong></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000">Cette histoire date de mi-2012 et a fait pas mal de bruit en France.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000">Un journaliste américain s’est vu pirater “de A à Z” tous ses appareils Apple, son compte mail, ses comptes de stockage de données et son compte Amazon. Le piratage à l’origine de l’attaque n’a utilisé aucun moyen “technique” pour parvenir à cela. Comment a-t-il fait ?</span></span></p> <p style="text-align: center"><strong></strong></p> <p style="text-align: center"><strong><span style="font-size: 18px"><span style="color: #0080ff">[FA]fa-cogs[/FA]</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> Première étape</span></span></strong><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> : </span></span><span style="font-size: 18px"><span style="color: #ff8000">appeler</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> le service client </span></span><span style="font-size: 18px"><span style="color: #ff8000">Amazon</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> en se faisant passer pour Mat Honan, le journaliste victime de l’attaque. La stratégie du pirate est</span></span><span style="font-size: 18px"><span style="color: #ff8000"> ingénieuse</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> au possible. Lors de son premier appel à Amazon, il demande à </span></span><span style="font-size: 18px"><span style="color: #ff8000">rajouter une carte de crédit</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> à son compte. C’est une procédure classique qu’Amazon accepte </span></span><span style="font-size: 18px"><span style="color: #ff8000">d’honorer par téléphone</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px">. Il suffit de donner son nom, son adresse et le code de sa carte bancaire.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"><strong><strong><span style="font-size: 18px"><span style="color: #0080ff">[FA]fa-cogs[/FA]</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> </span></span></strong>Deuxième étape</strong> : le hacker</span><span style="color: #ff8000"> rappelle Amazon</span><span style="color: #000000"> mais cette fois, il explique qu’il a </span><span style="color: #ff8000">perdu l’accès</span><span style="color: #000000"> à son compte. Devinez ce que demande Amazon pour vérifier l’identité de l’appelant ? Les </span><span style="color: #ff8000">4 derniers chiffres </span><span style="color: #000000">d’une carte bancaire associée au compte…. le hacker a simplement donné les 4 derniers chiffres de la carte qu’il </span><span style="color: #ff8000">venait d’ajouter</span><span style="color: #000000">. A ce moment précis, le pirate obtenait un </span><span style="color: #ff8000">accès total</span><span style="color: #000000"> au compte Amazon du journaliste.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"><strong><strong><span style="font-size: 18px"><span style="color: #0080ff">[FA]fa-cogs[/FA]</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> </span></span></strong>Troisième étape</strong> :</span><span style="color: #ff8000"> obtenir un accès au compte iCloud</span><span style="color: #000000"> de la victime. L’accès à ce compte donne immédiatement accès à son iPhone, son MacBookAir, son compte Twitter et son compte Gmail . Pour cela, </span><span style="color: #ff8000">rien de plus simple</span><span style="color: #000000">.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000">Lors de la </span><span style="color: #ff8000">réinitialisation</span><span style="color: #000000"> des identifiants d’un compte iCloud, Apple ne demande que 3 informations : </span><span style="color: #ff8000">l’e-mail</span><span style="color: #000000"> du compte, une </span><span style="color: #ff8000">adresse de facturation</span><span style="color: #000000">, et les quatre </span><span style="color: #ff8000">derniers chiffres de la carte bancaire</span><span style="color: #000000"> associée au compte. </span><span style="color: #ff8000">Rappelez-vous : le pirate venait d’obtenir un accès entier au compte Amazon</span><span style="color: #000000"> de sa victime. Il avait donc accès aux 4 derniers chiffres de sa véritable carte bancaire par la même occasion.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"><strong><strong><span style="font-size: 18px"><span style="color: #0080ff">[FA]fa-cogs[/FA]</span></span><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"> </span></span></strong>Quatrième étape</strong> : </span><span style="color: #ff8000">piratage en règle</span><span style="color: #000000"> avec suppression de toutes les données .</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-size: 26px"><span style="color: rgb(255, 128, 0)">[FA]fa-eye[/FA]</span></span> Calme toi petit , ce genre de choses est très lourdement sanctionné par la loi et je te déconseille fortement d'utiliser le SE a des fins illicites . <span style="font-size: 26px"><span style="color: rgb(255, 128, 0)">[FA]fa-eye[/FA]</span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><strong><span style="font-size: 18px"><span style="color: #0080ff">[FA]fa-info-circle[/FA]</span></span> </strong>Si je vous fais part de cet exemple c'est tout simplement pour vous montrer a quel point une stratégie de Social Engineering bien ficelée peut vous permettre d'atteindre ce que vous souhaitez , nous verrons dans l'épisode 3 des méthodes pour utiliser les exemples d'aujourd'hui a des fins légales et utiles</p><p></p><p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000">Exact , je peux donc enchaîner sur l'histoire d'un PDG un peu trop confiant qui affirmait sans aucune pressions ne pas pouvoir être pirater je cite : </span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #808080">"il sera impossible de me pirater"</span></span></p> <p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"><span style="font-size: 22px"><span style="color: #000000"><strong>Le patron trop sûr de lui</strong></span></span></p><p></p><p style="text-align: center"><span style="font-size: 18px"><strong><span style="color: #80ff00">[FA]fa-info-circle[/FA]</span> </strong><span style="color: #000000">cette histoire fait cas d’une société d’audit de sécurité qui a monté un plan génial pour pirater l’entreprise qui l’a embauchée</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #ff8000">Hadnagy, le hacker</span><span style="color: #000000"> en charge de tester la sécurité de la boite, déclara à la presse : “Le patron imaginait que quelqu’un allait lui téléphoner pour lui demander son mot de passe ou quelque chose comme ça… il se préparait à quelque chose dans le genre.”</span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"><strong><span style="color: #000000"><span style="font-size: 18px"><strong><span style="color: #0080ff">[FA]fa-cogs[/FA]</span> </strong></span></span></strong>Pour débuter, Hadnagy se mit à chercher la </span><span style="color: #ff8000">location des serveurs</span><span style="color: #000000"> de l’entreprise, les adresses</span><span style="color: #ff8000"> IP</span><span style="color: #000000"> des serveurs, les </span><span style="color: #ff8000">e-mails</span><span style="color: #000000"> des employés, les </span><span style="color: #ff8000">numéros</span><span style="color: #000000"> de téléphone, le </span><span style="color: #ff8000">nom</span><span style="color: #000000"> des employés et leurs</span><span style="color: #ff8000"> titres</span><span style="color: #000000">, et bien plus. Mais le gros-lot était </span><span style="color: #ff8000">ailleurs</span><span style="color: #000000"> : le hacker découvrit qu’</span><span style="color: #ff8000">un membre de la famille du PDG s’était battu contre le cancer, et avait survécu.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">De par le fait, le </span><span style="color: #ff8000">patron</span><span style="color: rgb(0, 0, 0)"> s’était </span><span style="color: #ff8000">rapproché d’une fondation</span><span style="color: #000000"> participant à la recherche contre le cancer. Parallèlement, le hacker découvrit aussi le</span><span style="color: #ff8000"> restaurant préféré et l’équipe de foot préférée du PDG.</span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">Grâce à toutes ces informations, il était </span><span style="color: #ff8000">prêt à frapper</span><span style="color: #000000">. Il a appelé le patron en se </span><span style="color: #ff8000">faisant passer pour la fondation</span><span style="color: #000000"> à laquelle il s’était intéressé par le passé. Il l’informa que la fondation organisait une loterie en échange de donation et que l’un des prix était une place pour un m</span><span style="color: #ff8000">atch de foot</span><span style="color: #000000"> auquel participait son équipe préférée… Il y avait d’autres lots hypothétiques, comme… une soirée offerte dans </span><span style="color: #ff8000">divers restaurants, dont son préféré !</span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">Le patron semblait très intéressé. Hadnagy lui demanda son </span><span style="color: #ff8000">adresse e-mail </span><span style="color: #000000">pour lui envoyer un </span><span style="color: #ff8000">PDF d’inscription</span><span style="color: #000000">. Tout se passait sans problème. Le hacker pu même demander au PDG la version d’Adobe Reader qu’il utilisait “pour être sûr qu’il voyait bien le document correctement”.</span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">Où est le </span><span style="color: #ff8000">piège</span><span style="color: #000000"> ? Le </span><span style="color: #ff8000">PDF</span><span style="color: #000000"> d’inscription à la loterie était évidemment</span><span style="color: #ff8000"> piégé</span><span style="color: #000000">. Adobe Reader est une véritable passoire . L</span><span style="color: #ff8000">’affaire était dans le sac</span><span style="color: #000000"> : le hacker avait le contrôle du PC du patron.</span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #00ffff">[FA]fa-cog[/FA]</span><span style="color: #000000"> Pour réaliser ce coup de génie , le hacker a du faire un travail approfondi sur sa cible c'est une partie que l'on apprendra dans l'épisode 4 de cette série . </span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: #000000"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"><strong>La souris piégée</strong></span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"></span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"><span style="font-size: 18px"><strong><strong><span style="color: #80ff00">[FA]fa-info-circle[/FA]</span><span style="color: #000000"> La société Netragard est spécialisée dans l’audit de sécurité informatique. En d’autres termes, elle est payée par ses clients pour tenter de les pirater par n’importe quel moyen. Le but : vérifier les failles d’une entreprise.</span></strong></strong></span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: #000000">Lorsque le patron de Netragard s’est fait embaucher par son client cette fois-ci, il savait qu’il allait </span><span style="color: #ff8000">devoir ruser</span><span style="color: #000000"> comme jamais. L’entreprise cliente était</span><span style="color: #ff8000"> très attentive à sa sécurité</span><span style="color: #000000"> depuis des années.</span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: #ff8000">Son idée : bricoler une souris d’ordinateur</span><span style="color: rgb(0, 0, 0)"> pour y intégrer un </span><span style="color: #ff8000">logiciel espion</span><span style="color: #000000"> capable de prendre le contrôle de l’ordinateur sur lequel le périphérique est branché…. à l’insu de l’utilisateur évidemment. Je vous passe les détails techniques ( Que vous pouvez retrouvez en anglais ici </span><a href="http://www.theregister.co.uk/2011/06/27/mission_impossible_mouse_attack/" target="_blank"><span style="color: rgb(0, 0, 0)">http://www.theregister.co.uk/2011/06/27/mission_impossible_mouse_attack/</span></a><span style="color: #000000"> )</span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"></span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">D’un point de vue informatique, l’attaque est </span><span style="color: #ff8000">extrêmement sophistiquée.</span><span style="color: #000000"> Mais sa particularité et son génie repose surtout sur son aspect </span><span style="color: #ff8000">social engineering.</span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"></span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">Pour faire utiliser la souris truquée au sein de l’entreprise cliente, les hackers de Netragard ont du faire des </span><span style="color: #ff8000">recherches poussées</span><span style="color: #000000"> sur chaque employé de la boite. </span><span style="color: #ff8000">Profils Facebook et compagnie : tout a été passé au crible</span><span style="color: #000000">. Finalement, le patron de Netragard s’est décidé à envoyer la souris à un employé en particulier, qui lui semblait</span><span style="color: #ff8000"> plus apte à tomber dans le panneau</span><span style="color: #000000">.</span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: #404040">Quand je ont dis qu’il ne faut pas raconter votre vie sur les réseaux sociaux…</span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)"></span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><span style="color: rgb(0, 0, 0)">Il a fait </span><span style="color: #ff8000">envoyer la souris directement dans le bureau de l’employé</span><span style="color: #000000"> en question en se faisant passer pour un fournisseur qui organisait un évènement promotionnel. Quelques jours plus tard, la souris a été </span><span style="color: #ff8000">branché </span><span style="color: #000000">et le </span><span style="color: #ff8000">virus a fonctionné sans aucun problème</span><span style="color: #000000">.</span></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><strong><strong><span style="color: #0000ff">Nous voilà a la fin de ce sujet , n'hésitez pas a formuler vos critiques tant qu'elles sont construites , je remercie [USER=338843]@Mzx.[/USER] pour son travail sans faille et je vous dis a la prochaine ! </span></strong></strong></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"><span style="font-size: 18px">Comme certains ont pu le souligner , ces exemples proviennent du site Institut-Pandore , l'ayant appris a mes dépends je considère que le minimum est de mettre un lien direct , pour des explications veuillez vous référez aux commentaires. Le sujet reste malgré tout intéressant et permet de mieux comprendre le fonctionnement du SE , je veillerais pour les prochains épisodes a ce qu'aucun problème de ce genre de surviennent . </span></p> <p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"><span style="font-size: 18px">Merci de votre compréhensions <img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" class="smilie smilie--sprite smilie--sprite355" alt=":)" title=":) :)" loading="lazy" data-shortname=":)" /></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><strong><strong><span style="color: #0000ff">[SPOILER="Source :"]<a href="https://cercle.institut-pandore.com/hacking/3-attaques-social-engineering/" target="_blank">https://cercle.institut-pandore.com/hacking/3-attaques-social-engineering/</a>[/SPOILER]</span></strong></strong></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><strong><strong><span style="color: rgb(0, 0, 0)">Amicalement,</span></strong></strong></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"><strong><strong><span style="color: #ff8000">iCrew_</span></strong></strong></span></span></p> <p style="text-align: center"><span style="font-size: 18px"><span style="font-size: 18px"></span></span></p> <p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"><span style="font-size: 18px"></span></p> <p style="text-align: center"></p></blockquote><p></p>
[QUOTE="Crowink, post: 7136900, member: 735618"] [CENTER][IMG]https://image.noelshack.com/fichiers/2017/22/1496582412-mental-fact1.jpg[/IMG] [SIZE=7][B][COLOR=#0080ff][FA]fa-info-circle[/FA] [/COLOR][/B][/SIZE][COLOR=#000000][B]Pour les retardataires et ceux qui ne savent pas en quoi consiste le Social Engineering je vous invite a vous référer au premier épisode de cette série :[/B][/COLOR] [URL]https://reality-gaming.fr/threads/introduction-au-social-engineering-episode-1.599306/[/URL] [IMG]https://image.noelshack.com/fichiers/2017/22/1496582867-se.jpg[/IMG] [B][SIZE=5][COLOR=#ff0000][FA]fa-exclamation-triangle[/FA][/COLOR][/SIZE] Dans ce second épisode je vais vous présenter des exemples d'attaques de social Engineering , dans ces exemples et afin de rester un maximum dans le thème du forum nous allons principalement voir des attaques dans le domaine de l'informatique , je vous invite cependant a ne pas essayer de reproduire d'une quelconque façon ces exemples dans l'objectif d'évité tout problèmes avec la loi . [B][SIZE=5][COLOR=#ff0000][FA]fa-exclamation-triangle[/FA][/COLOR] [COLOR=#ff8000] [/COLOR] [COLOR=#000000]Bon , très bien , pour commencer nous allons donc constater a quel point avec un plan bien ficelé il est facile d'avoir tout sur n'importe qui et pour ce faire nous allons prendre l'exemple de Matt Honan , Le journaliste dont la vie a été piraté [/COLOR][/SIZE][/B][/B] [SIZE=5][COLOR=#000000]Cette histoire date de mi-2012 et a fait pas mal de bruit en France. Un journaliste américain s’est vu pirater “de A à Z” tous ses appareils Apple, son compte mail, ses comptes de stockage de données et son compte Amazon. Le piratage à l’origine de l’attaque n’a utilisé aucun moyen “technique” pour parvenir à cela. Comment a-t-il fait ?[/COLOR][/SIZE] [B] [SIZE=5][COLOR=#0080ff][FA]fa-cogs[/FA][/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] Première étape[/SIZE][/COLOR][/B][COLOR=rgb(0, 0, 0)][SIZE=5] : [/SIZE][/COLOR][SIZE=5][COLOR=#ff8000]appeler[/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] le service client [/SIZE][/COLOR][SIZE=5][COLOR=#ff8000]Amazon[/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] en se faisant passer pour Mat Honan, le journaliste victime de l’attaque. La stratégie du pirate est[/SIZE][/COLOR][SIZE=5][COLOR=#ff8000] ingénieuse[/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] au possible. Lors de son premier appel à Amazon, il demande à [/SIZE][/COLOR][SIZE=5][COLOR=#ff8000]rajouter une carte de crédit[/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] à son compte. C’est une procédure classique qu’Amazon accepte [/SIZE][/COLOR][SIZE=5][COLOR=#ff8000]d’honorer par téléphone[/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5]. Il suffit de donner son nom, son adresse et le code de sa carte bancaire.[/SIZE][/COLOR] [SIZE=5][COLOR=#000000] [B][B][SIZE=5][COLOR=#0080ff][FA]fa-cogs[/FA][/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] [/SIZE][/COLOR][/B]Deuxième étape[/B] : le hacker[/COLOR][COLOR=#ff8000] rappelle Amazon[/COLOR][COLOR=#000000] mais cette fois, il explique qu’il a [/COLOR][COLOR=#ff8000]perdu l’accès[/COLOR][COLOR=#000000] à son compte. Devinez ce que demande Amazon pour vérifier l’identité de l’appelant ? Les [/COLOR][COLOR=#ff8000]4 derniers chiffres [/COLOR][COLOR=#000000]d’une carte bancaire associée au compte…. le hacker a simplement donné les 4 derniers chiffres de la carte qu’il [/COLOR][COLOR=#ff8000]venait d’ajouter[/COLOR][COLOR=#000000]. A ce moment précis, le pirate obtenait un [/COLOR][COLOR=#ff8000]accès total[/COLOR][COLOR=#000000] au compte Amazon du journaliste. [B][B][SIZE=5][COLOR=#0080ff][FA]fa-cogs[/FA][/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] [/SIZE][/COLOR][/B]Troisième étape[/B] :[/COLOR][COLOR=#ff8000] obtenir un accès au compte iCloud[/COLOR][COLOR=#000000] de la victime. L’accès à ce compte donne immédiatement accès à son iPhone, son MacBookAir, son compte Twitter et son compte Gmail . Pour cela, [/COLOR][COLOR=#ff8000]rien de plus simple[/COLOR][COLOR=#000000]. Lors de la [/COLOR][COLOR=#ff8000]réinitialisation[/COLOR][COLOR=#000000] des identifiants d’un compte iCloud, Apple ne demande que 3 informations : [/COLOR][COLOR=#ff8000]l’e-mail[/COLOR][COLOR=#000000] du compte, une [/COLOR][COLOR=#ff8000]adresse de facturation[/COLOR][COLOR=#000000], et les quatre [/COLOR][COLOR=#ff8000]derniers chiffres de la carte bancaire[/COLOR][COLOR=#000000] associée au compte. [/COLOR][COLOR=#ff8000]Rappelez-vous : le pirate venait d’obtenir un accès entier au compte Amazon[/COLOR][COLOR=#000000] de sa victime. Il avait donc accès aux 4 derniers chiffres de sa véritable carte bancaire par la même occasion. [B][B][SIZE=5][COLOR=#0080ff][FA]fa-cogs[/FA][/COLOR][/SIZE][COLOR=rgb(0, 0, 0)][SIZE=5] [/SIZE][/COLOR][/B]Quatrième étape[/B] : [/COLOR][COLOR=#ff8000]piratage en règle[/COLOR][COLOR=#000000] avec suppression de toutes les données . [B][/B][/COLOR][/SIZE] [SIZE=7][COLOR=rgb(255, 128, 0)][FA]fa-eye[/FA][/COLOR][/SIZE] Calme toi petit , ce genre de choses est très lourdement sanctionné par la loi et je te déconseille fortement d'utiliser le SE a des fins illicites . [SIZE=7][COLOR=rgb(255, 128, 0)][FA]fa-eye[/FA][/COLOR][/SIZE] [B][SIZE=5][COLOR=#0080ff][FA]fa-info-circle[/FA][/COLOR][/SIZE] [/B]Si je vous fais part de cet exemple c'est tout simplement pour vous montrer a quel point une stratégie de Social Engineering bien ficelée peut vous permettre d'atteindre ce que vous souhaitez , nous verrons dans l'épisode 3 des méthodes pour utiliser les exemples d'aujourd'hui a des fins légales et utiles[/CENTER] [CENTER][SIZE=5][COLOR=#000000][B][/B][/COLOR] [COLOR=#000000]Exact , je peux donc enchaîner sur l'histoire d'un PDG un peu trop confiant qui affirmait sans aucune pressions ne pas pouvoir être pirater je cite : [/COLOR] [COLOR=#808080]"il sera impossible de me pirater"[/COLOR] [/SIZE] [SIZE=6][COLOR=#000000][B]Le patron trop sûr de lui[/B][/COLOR][/SIZE][/CENTER] [CENTER][SIZE=5][B][COLOR=#80ff00][FA]fa-info-circle[/FA][/COLOR] [/B][COLOR=#000000]cette histoire fait cas d’une société d’audit de sécurité qui a monté un plan génial pour pirater l’entreprise qui l’a embauchée[/COLOR] [COLOR=#ff8000]Hadnagy, le hacker[/COLOR][COLOR=#000000] en charge de tester la sécurité de la boite, déclara à la presse : “Le patron imaginait que quelqu’un allait lui téléphoner pour lui demander son mot de passe ou quelque chose comme ça… il se préparait à quelque chose dans le genre.”[/COLOR][/SIZE] [SIZE=5][COLOR=rgb(0, 0, 0)][B][COLOR=#000000][SIZE=5][B][COLOR=#0080ff][FA]fa-cogs[/FA][/COLOR] [/B][/SIZE][/COLOR][/B]Pour débuter, Hadnagy se mit à chercher la [/COLOR][COLOR=#ff8000]location des serveurs[/COLOR][COLOR=#000000] de l’entreprise, les adresses[/COLOR][COLOR=#ff8000] IP[/COLOR][COLOR=#000000] des serveurs, les [/COLOR][COLOR=#ff8000]e-mails[/COLOR][COLOR=#000000] des employés, les [/COLOR][COLOR=#ff8000]numéros[/COLOR][COLOR=#000000] de téléphone, le [/COLOR][COLOR=#ff8000]nom[/COLOR][COLOR=#000000] des employés et leurs[/COLOR][COLOR=#ff8000] titres[/COLOR][COLOR=#000000], et bien plus. Mais le gros-lot était [/COLOR][COLOR=#ff8000]ailleurs[/COLOR][COLOR=#000000] : le hacker découvrit qu’[/COLOR][COLOR=#ff8000]un membre de la famille du PDG s’était battu contre le cancer, et avait survécu.[/COLOR] [COLOR=rgb(0, 0, 0)]De par le fait, le [/COLOR][COLOR=#ff8000]patron[/COLOR][COLOR=rgb(0, 0, 0)] s’était [/COLOR][COLOR=#ff8000]rapproché d’une fondation[/COLOR][COLOR=#000000] participant à la recherche contre le cancer. Parallèlement, le hacker découvrit aussi le[/COLOR][COLOR=#ff8000] restaurant préféré et l’équipe de foot préférée du PDG.[/COLOR][/SIZE] [SIZE=5][COLOR=rgb(0, 0, 0)]Grâce à toutes ces informations, il était [/COLOR][COLOR=#ff8000]prêt à frapper[/COLOR][COLOR=#000000]. Il a appelé le patron en se [/COLOR][COLOR=#ff8000]faisant passer pour la fondation[/COLOR][COLOR=#000000] à laquelle il s’était intéressé par le passé. Il l’informa que la fondation organisait une loterie en échange de donation et que l’un des prix était une place pour un m[/COLOR][COLOR=#ff8000]atch de foot[/COLOR][COLOR=#000000] auquel participait son équipe préférée… Il y avait d’autres lots hypothétiques, comme… une soirée offerte dans [/COLOR][COLOR=#ff8000]divers restaurants, dont son préféré ![/COLOR][/SIZE] [SIZE=5][COLOR=rgb(0, 0, 0)]Le patron semblait très intéressé. Hadnagy lui demanda son [/COLOR][COLOR=#ff8000]adresse e-mail [/COLOR][COLOR=#000000]pour lui envoyer un [/COLOR][COLOR=#ff8000]PDF d’inscription[/COLOR][COLOR=#000000]. Tout se passait sans problème. Le hacker pu même demander au PDG la version d’Adobe Reader qu’il utilisait “pour être sûr qu’il voyait bien le document correctement”.[/COLOR][/SIZE] [SIZE=5][COLOR=rgb(0, 0, 0)]Où est le [/COLOR][COLOR=#ff8000]piège[/COLOR][COLOR=#000000] ? Le [/COLOR][COLOR=#ff8000]PDF[/COLOR][COLOR=#000000] d’inscription à la loterie était évidemment[/COLOR][COLOR=#ff8000] piégé[/COLOR][COLOR=#000000]. Adobe Reader est une véritable passoire . L[/COLOR][COLOR=#ff8000]’affaire était dans le sac[/COLOR][COLOR=#000000] : le hacker avait le contrôle du PC du patron. [/COLOR] [COLOR=#00ffff][FA]fa-cog[/FA][/COLOR][COLOR=#000000] Pour réaliser ce coup de génie , le hacker a du faire un travail approfondi sur sa cible c'est une partie que l'on apprendra dans l'épisode 4 de cette série . [/COLOR] [COLOR=rgb(0, 0, 0)][SIZE=5][B]La souris piégée[/B] [B][B][COLOR=#80ff00][FA]fa-info-circle[/FA][/COLOR][COLOR=#000000] La société Netragard est spécialisée dans l’audit de sécurité informatique. En d’autres termes, elle est payée par ses clients pour tenter de les pirater par n’importe quel moyen. Le but : vérifier les failles d’une entreprise.[/COLOR][/B][/B][/SIZE][/COLOR] [SIZE=5][COLOR=#000000]Lorsque le patron de Netragard s’est fait embaucher par son client cette fois-ci, il savait qu’il allait [/COLOR][COLOR=#ff8000]devoir ruser[/COLOR][COLOR=#000000] comme jamais. L’entreprise cliente était[/COLOR][COLOR=#ff8000] très attentive à sa sécurité[/COLOR][COLOR=#000000] depuis des années.[/COLOR] [COLOR=#ff8000]Son idée : bricoler une souris d’ordinateur[/COLOR][COLOR=rgb(0, 0, 0)] pour y intégrer un [/COLOR][COLOR=#ff8000]logiciel espion[/COLOR][COLOR=#000000] capable de prendre le contrôle de l’ordinateur sur lequel le périphérique est branché…. à l’insu de l’utilisateur évidemment. Je vous passe les détails techniques ( Que vous pouvez retrouvez en anglais ici [/COLOR][URL='http://www.theregister.co.uk/2011/06/27/mission_impossible_mouse_attack/'][COLOR=rgb(0, 0, 0)]http://www.theregister.co.uk/2011/06/27/mission_impossible_mouse_attack/[/COLOR][/URL][COLOR=#000000] )[/COLOR] [COLOR=rgb(0, 0, 0)] D’un point de vue informatique, l’attaque est [/COLOR][COLOR=#ff8000]extrêmement sophistiquée.[/COLOR][COLOR=#000000] Mais sa particularité et son génie repose surtout sur son aspect [/COLOR][COLOR=#ff8000]social engineering.[/COLOR] [COLOR=rgb(0, 0, 0)] Pour faire utiliser la souris truquée au sein de l’entreprise cliente, les hackers de Netragard ont du faire des [/COLOR][COLOR=#ff8000]recherches poussées[/COLOR][COLOR=#000000] sur chaque employé de la boite. [/COLOR][COLOR=#ff8000]Profils Facebook et compagnie : tout a été passé au crible[/COLOR][COLOR=#000000]. Finalement, le patron de Netragard s’est décidé à envoyer la souris à un employé en particulier, qui lui semblait[/COLOR][COLOR=#ff8000] plus apte à tomber dans le panneau[/COLOR][COLOR=#000000].[/COLOR] [COLOR=#404040]Quand je ont dis qu’il ne faut pas raconter votre vie sur les réseaux sociaux…[/COLOR] [COLOR=rgb(0, 0, 0)] Il a fait [/COLOR][COLOR=#ff8000]envoyer la souris directement dans le bureau de l’employé[/COLOR][COLOR=#000000] en question en se faisant passer pour un fournisseur qui organisait un évènement promotionnel. Quelques jours plus tard, la souris a été [/COLOR][COLOR=#ff8000]branché [/COLOR][COLOR=#000000]et le [/COLOR][COLOR=#ff8000]virus a fonctionné sans aucun problème[/COLOR][COLOR=#000000].[/COLOR] [B][B][COLOR=#0000ff]Nous voilà a la fin de ce sujet , n'hésitez pas a formuler vos critiques tant qu'elles sont construites , je remercie [USER=338843]@Mzx.[/USER] pour son travail sans faille et je vous dis a la prochaine ! [/COLOR][/B][/B] [/SIZE] Comme certains ont pu le souligner , ces exemples proviennent du site Institut-Pandore , l'ayant appris a mes dépends je considère que le minimum est de mettre un lien direct , pour des explications veuillez vous référez aux commentaires. Le sujet reste malgré tout intéressant et permet de mieux comprendre le fonctionnement du SE , je veillerais pour les prochains épisodes a ce qu'aucun problème de ce genre de surviennent . Merci de votre compréhensions :) [SIZE=5][B][B][COLOR=#0000ff][SPOILER="Source :"][URL]https://cercle.institut-pandore.com/hacking/3-attaques-social-engineering/[/URL][/SPOILER][/COLOR][/B][/B] [/SIZE][/SIZE] [SIZE=5][SIZE=5][B][B][COLOR=rgb(0, 0, 0)]Amicalement,[/COLOR][/B][/B] [B][B][COLOR=#ff8000]iCrew_[/COLOR][/B][/B] [/SIZE] [/SIZE] [/CENTER] [/QUOTE]
Insérer les citations…
Vérification
Publier la réponse
Forums
Forums généraux
RealityGaming
Social Fact - Découverte du Social Engineering - Episode 2
Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
Acceptez
En savoir plus.…
Haut