De l’usurpation d’identité à l’hameçonnage avec un SSL valide : Un fait normal dans la vie exceptionnelle d’un Pentester LMPS !

L’attaque est programmée pour lundi matin à 10h … Liaison impossible entre le site SSL et le site de Hosting. Le site est simplement down. Il est précisément 3h45, la pression monte et il ne semble pas exister dans la littérature une solution prête à l’emploi, que je tente de parcourir rapidement pour rétablir la liaison. Un travail acharné de 4 jours semble tomber à l’eau … On est si près du but !

Réveiller EH 002 ? Repousser l’attaque ? Pour l’instant, je suis livré à moi-même, face à une page dont Google a interdit l’accès ou blacklisté …  Et soudain, un documentaire que j’avais regardé sur Youtube (passionné de sécurité que je suis et friand de toute nouveauté) me revient à l’esprit … À propos d’un logiciel ultra performant qui permettrait la synchronisation, à vérifier !

Revenons au tout début :

J-5 Une mission d’audit de sécurité des Systèmes d’Information d’une grande organisation nous est assignée, EH 002 et moi. L’objectif est de compromettre l’organisme à tout prix, exfiltrer les données sensibles (scénario d’attaque réel).

Afin de démontrer la vulnérabilité à son niveau maximal, nous décidons de prendre en cible un des Big Heads du Département SI, ceux qui génèrent au sein des collaborateurs le capital confiance le plus important. Après s’être concertés et avoir établi le plan d’actions, nous décidons d’opérer comme suit :

Étapes liées à l’exercice de Phishing

1. Effectuer un OSINT (Open Source Intelligence Gathering)  pour l’ensemble des collaborateurs de l’organisme. Consiste à savoir: où ils mangent? dorment? à qui ils parlent? Qu’est ce qu’ils aiment? Leurs fréquentations? Leurs compagnons? Leurs passions les plus extrêmes?
2. Identifier l’appât que nous appellerons X (de préférence un collaborateur détenant un certain pouvoir/ haut placé au sein de l’organisation) , pour l’usurpation de son adresse e-mail. Comment? (shut! c’est un secret)

Astuce : cela permet de générer un effet ou une réaction immédiate, et donc objectif de l’intervention assuré ;

1. Identifier la formule de création des adresses e-mails en interne, ainsi que la syntaxe de création des noms de domaines ; passage obligé par un tour d’horizon en mode Spy sur les réseaux sociaux, pour n’en nommer aucun …
2. Créer une reproduction de la signature e-mail de X
3. Créer une page Web factice avec un nom de domaine qui s’apparente au thème de l’e-mail de phishing
4. Échantillonner la population à cibler

Pourquoi ? Éviter tout soupçon et détourner l’attention des responsables de la communication interne …

1. Last but not least ! : Architecture d’un site Web avec certificat SSL ( création d’un nom de domaine, ajout d’un certificat SSL valide)

L’objet du Bluff n’était autre que la réorganisation des Systèmes d’Information et la communication à propos d’un nouveau portail de reporting pour la déclaration d’incidents. Pour être des plus convaincants, il nous fallait le certificat SSL qui attesterait que notre site est fiable auprès des cibles. Le défi à relever 🙂 🙂

“”” En matière de cyber attaque, il faut anticiper et contrôler l’esprit de la cible à distance, prendre les décisions à sa place, être lui et ne le laisser être que l’ombre de lui-même.””” Cough cough, je crois que c’était un secret 🙂 🙂 🙂

Comme on le dit bien chez nous: “Notre métier, protéger le vôtre”. Nous avions donc pour plan de convaincre les collaborateurs aussi bien sensibilisés et conscients des attaques de phishing à tomber dans le piège.

J-4  Le niveau du challenge était colossal vu que X ne devait pas s’en rendre compte… d’autant plus qu’il serait requis de renseigner son nom d’utilisateur ainsi que son mot de passe d’un service [CONFIDENTIEL].

Une fois le scan environnemental effectué et la personne clef identifiée, nous pouvons nous atteler au spoof de l’adresse e-mail de X …  Le contenu de l’e-mail permettait déjà de limiter les choix de la cible, le contraindre à l’action.

Après un point ( petite réunion sur la situation). On décide de rentrer et de continuer le lendemain.

J-3 Nous sommes Jeudi et tout se passe comme sur des roulettes, opération phishing prête à être lancée …

L’architecture Web se révèle être un exercice Fun et plein d’imagination : choix d’images, recadrage des icônes au millimètre près, charte graphique identique au détail près… Tout semble concourir à la perfection. À l’œil nu, rien de repérable, aucune anomalie.

Surtout que le DNS est retranscrit copie conforme à l’original, même en recherchant la source du site.

Contenu de l’e-mail rédigé, mise en forme du bluff selon le code d’écriture en interne, signature d’email identique, nous rentrons tranquillement.

Encore quelques détails à prévoir. Il ne faut surtout rien négliger. Le monde de la sécurité c’est que… Tout peut arriver à quiconque, n’importe où, n’importe quand ! Nos différentes missions nous l’ont bien appris…

J-2 Nous fêtons ensemble après avoir été reconnus pour nos efforts, l’exploit d’avoir mis en place un site Web factice avec un certificat valide ! Célébrer les victoires en groupe est un must des pratiques à LMPS Group, et inutile de le cacher, nous n’en sommes que plus fiers …

C’est bien mérité il faut dire… Aucune trace de cette réalisation sur le Net auparavant, MISSION INÉDITE !

L’attaque est lancée une première fois avec un taux de succès faible. Nous ne récupérons que 15 comptes. Et comme à l’accoutumée des organisations, on se doit de réfléchir et réagir en conséquence. On décide donc de patienter et de renvoyer un e-mail de relance le lundi matin. Là on était sûr de mettre la cible en confiance et sous pression.

J-1 Petit imprévu donc… En pleine nuit, le DNS est modifié ! Panique à bord ? Non, pas vraiment. Un consultant Cybersécurité doit se montrer proactif et gérer le stress même lorsqu’il atteint son paroxysme. Il faut enclencher l’obtention du certificat dans l’immédiat et tout refaire à la perfection.

EH 001 se rappelle donc le fameux documentaire qui parlait de [REDACTED], un logiciel qui permet d’envoyer les mails de façon synchronisée. La technique utilisée reste confidentielle :), cela éviterait le bouche-à-oreille qui peut faire tomber certaines missions à l’eau !

L’inspiration est de retour dans les rangs, après un état des lieux et une réflexion sur la situation, nous parvenons à nous remettre sur les rails.

le Jour J Nous sommes Lundi matin, la nuit fût longue mais nous sommes parvenus à contrôler la situation.

Loin d’être fini, le challenge sera de récupérer un maximum de comptes avant que l’opération ne soit démasquée. Nous lançons à travers [REDACTED] l’e-mail relance qui constitue l’attaque.

L’attaque est lancée peu avant l’horaire de début de journée de travail. Il nous faut au moins le tiers, voire la moitié de la population ciblée pour maximiser l’impact de l’intervention. Mais sans oublier les délais d’exécution et l’efficience dont nous devons faire preuve.

Il faut être rapide et faire le nettoyage avant de se faire repérer. Deux heures après l’e-mail de relance, les objectifs sont atteints. Un maximum d’utilisateurs compromis, et nous pouvons donc accéder aux systèmes d’information de l’entreprise.  

Le nom de domaine est révoqué, les données collectées. Cette fois c’est la bonne et nous pouvons sortir le jus d’orange, et célébrer notre travail d’équipe 🙂 🙂

#cybersecurite #ethicalhacking #whitehat #secuaddict #vulnerabilite #systeme #info #phishing #sécurité #ingenieriesociale #socialhack #hacking #pentest #emailhacking #osint #cible #mailspoofing #spoof #usurpation #identite #passion #cyberattaque #clientsideattack #siteweb #SSL #DNS #PHP #CSS #nuitblanche #operation #secrete #inedit #news #nouveaute #blacklist #challenge #consultant #consulting #conseil #spy #espionnage #certificatssl #webdesign #pagewebdesign #phishingpage #webphishing #architectureweb #motdepasse #ID #confidentialite #teamspirit #espritdequipe #binomedattaque #duodenfer #synchro #hosting #network #maroc