Le phishing a encore de belles heures devant lui

Le phishing ou hameçonnage est une technique utilisé par des personnes malveillantes envers d’autres personnes en leur envoyer de faux e-mails afin de leur soutirer des informations personnelles pouvant être réutilisées par la suite.

Un grand groupe européen a demandé à hackfridays de trouver un moyen pour récupérer les logins et mots de passe de ses employés. Les résultats seraient présentés lors d’une réunion de gestion informatique globale.
Voici leur méthode qui se résume en 4 étapes assez faciles à mettre en place:
1) Création d’un nom de domaine pouvant facilement se faire passer pour l’un du grand groupe européen. Les faux mails seraient envoyés depuis ce nom de domaine et le faux site web serait également hébergé sur ce nom de domaine. 7 minutes et 10$ plus tard, un serveur était créé en Allemagne. (Minimisant ainsi d’éventuelles détections de pare-feu et autres systèmes de protection).

2) La création d’une page de connexion identique à celle de l’entreprise. Comme la demande venait de l’entreprise elle-même, la copie de la page était encore plus facile à réalisée, et en deux heure elle était prête.

3) Ils ont envoyé un e-mail avec deux liens renvoyant vers la fausse page d’authentification. La liste des personnes destinataires du mail était très ciblé et fournie par la direction de l’entreprise. Les personnes étaient invitées à répondre à une enquête où soit disant beaucoup de monde avait déjà participé et que ceux qui ne l’avait toujours pas fait étaient invités à le faire rapidement.

4) il suffisait ensuite d’attendre tranquillement que les personnes réagissent au mail. Et le résultat est incroyable comme le montre l’image suivante:

phishing - test result En 72 heures 79% des personnes avaient tenté de se connecter au faux site web et avaient donc donné leur login et mot de passe.

L’ensemble des données récupérées ont été automatiquement chiffrées afin qu’elle ne puissent être exploitées. C’est d’ailleurs sur cette dernière fonctionnalité que l’équipe a passé le plus de temps.

 

Le plus incroyable est que personne n’a jamais accédé au questionnaire puisqu’il n’existait pas. Une simple page d’erreur s’affichait.phishing - warm page
Elle indiquait même clairement que les personnes étaient victimes de phishing….mais comme personne ne lit les messages d’erreur….

Sébastien

Ingénieur pour l'aviation civile. Passionné d'informatique. Curieux des nouvelles technologies et de la cyber-sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *