Le phishing est un outil intéressant dans l’arsenal d’un pentester. Une campagne de phishing vise à sensibiliser les employés d’une entreprise aux cyber-attaques, ou alors, elle peut être réalisée au cours d’un audit plus conséquent tel qu’un audit Red Team. Le but de cette dernière sera alors de récupérer des informations de connexion ou d’infecter un utilisateur pour compromettre sa machine et s’introduire dans le réseau interne.
Pour pouvoir lancer une campagne de phishing, il est nécessaire de posséder des cibles. Dépendamment du type de phishing mené, le nombre et le vecteur d’obtention des informations diffère. Par exemple, pour du
spear-phishing, on va plutôt cibler une unique personne ou un pôle particulier d’une entreprise et créer une campagne très spécifique, à l’opposée d’un phishing classique ou l’on essaye de créer une campagne un peu plus générale pour qu’elle fonctionne sur un maximum de monde.
Dans le cas d’une campagne de sensibilisation, la liste des cibles est généralement fournie par le client. Elle est donnée sous la forme d’un tableau contenant nom, prénom et adresse email. Cette liste sera ensuite utilisée pour lancer la campagne et faire un retour des statistiques de la campagne au client.
Pour un audit plus conséquent, le phishing est utilisé comme outil et n’est plus une fin en soi. La récupération des emails est donc laissée à l’auditeur. Ces emails seront généralement récupérés à l’aide d’« Open-Source Intelligence » (OSINT). L’OSINT est une technique de récolte de donnée utilisant exclusivement ce qui est accessible publiquement (en source ouverte). On utilise souvent ce terme pour décrire une recherche d’information utilisant Internet, mais il peut être possible d’utiliser des sources réelles comme une liste d’employés qui seraient affichée à l’entrée d’un bâtiment et utilisée pour déduire des adresses email. Sur Internet, des offres d’emploi, des profils LinkedIn ou même des CVs peuvent être utilisés. Si on possède un premier accès au réseau interne d’une entreprise, on peut également récupérer des emails ici, par exemple à l’intérieur de l’annuaire Active Directory s’il existe.
L’élément le plus important faisant toute la dangerosité de Pegasus est sans doute les modes d’infection qu’il utilise. En effet, très peu d’interactions utilisateur, voire aucune dans certains cas, suffisent pour infecter un appareil.
Le TLD correspond à la fin d’un nom de domaine : pour kamea-security.com, le TLD est .com. Cette partie sert à décrire l’activité du site en question : .com pour une utilisation commerciale, .gov pour un site gouvernemental, .fr pour un site français… D’un point de vue phishing, il est possible de louer un nom de domaine possédant un TLD différent du site pour lequel on essaye de se faire passer.
Ex : kamea-security.fr
On peut également utiliser un sous-domaine pour se faire passer pour un autre site. Un sous-domaine correspond à la partie avant le domaine, et séparée de ce dernier par un point. On pourrait donc louer un nom de domaine correspondant à la fin du domaine légitime, et créer un sous-domaine correspondant au début du domaine légitime.
Ex : kamea.security.com
- Césure
Ici, on va changer le nom du domaine légitime en ajoutant ou retirant une césure.
Ex : kameasecurity.com
Le typosquatting est une pratique consistant à remplacer une ou plusieurs lettres du nom de domaine par une ou plusieurs autres leur ressemblant. Ex : karnea-security.com
-Répétition
Pour cette technique, on va louer un nom de domaine en dupliquant une des lettres du domaine légitime. A noter que cela fonctionne mieux avec des lettres de petite taille. Ex : kamea-securiity.com
- Omission
Cette technique, à l’opposé de la précédente, retire une lettre du domaine légitime. Elle fonctionne également mieux sur une lettre de petite taille.Ex : kamea-securty.com
- Transposition
Enfin, cette technique utilise un biais de lecture du cerveau humain pour tromper la vigilance. Lorsque l’on lit, on ne décortique pas les mots lettre par lettre mais on fait une empreinte mentale du mot complet et notre cerveau le déduit pour nous. Il est de ce fait possible de transposer deux lettres d’un mot, à condition qu’elles ne soient ni la première ni la dernière, sans que le sens du mot soit perdu. Ex : kamea-secuirty.com
Les campagnes basées sur une pièce-jointe, elles, vont plutôt chercher à exécuter du code malveillant sur l’ordinateur de la victime, encore une fois, dans le but d’obtenir un accès au réseau interne de l’entreprise. La plupart du temps, c’est un fichier Word contenant une Macro qui est utilisé, mais il est également possible d’utiliser d’autres types de pièces-jointes telles que des fichiers .exe ou .bat, voir même utiliser une vulnérabilité dans un logiciel de la cible si on remarque une mise à jour qui n’a pas été faite. Ce type de campagne est cependant beaucoup plus dur à mettre en place car il faut contourner différents antivirus, que ce soit sur les serveurs de messagerie mail, ou sur les ordinateurs sur lequel le fichier sera exécuter.
.png)
.png)
.png)
.png)
.png)
.png)