Vidéo: Exploiter la faille humaine ! (On code une page de phishing) [Tuto Hacking & Code FR] (Novembre 2024)
Le phishing devient de plus en plus facile pour les criminels qui tentent de créer des attaques d'ingénierie sociale, et tout cela grâce aux données que vous publiez vous-même en ligne, ont déclaré des chercheurs lors d'une session tenue à la conférence sur la sécurité Black Hat à Las Vegas.
Les pirates exploitent les publications sur Twitter, Facebook, Instagram, Foursquare et d'autres sites en ligne pour trouver des informations que les gens fournissent sur eux-mêmes, mais aussi pour imiter le style d'écriture des personnes, tels que les mots fréquemment utilisés, ont déclaré les chercheurs de Trustwave Joaquim Espinhara et Ulisses Albuquerque au cours de leur présentation jeudi. Toutes ces informations sont utilisées pour élaborer un message qui ressemble réellement à une personne que la victime connaîtrait.
De nombreux e-mails d’attaque sont en réalité reconnaissables comme malveillants précisément parce qu’ils ne ressemblent pas à une personne réelle que la victime sait dire. Mais si les assaillants peuvent affiner le ton du message, ils risquent alors de piéger cette victime, ont déclaré Espinhara et Alburquerque.
Microphisher
Pour prouver leur point de vue, les chercheurs de Trustwave ont publié lors de la conférence un nouvel outil qui analyse les publications publiques et crée une "empreinte digitale" pour le style de communication de chaque personne. Microphisher utilise le traitement du langage naturel pour analyser les publications publiques sur les réseaux sociaux et autres sites en ligne. Même la façon dont vous utilisez les hashtags sur Twitter, la longueur de votre phrase type et les sujets sur lesquels vous écrivez en général peuvent tous être utilisés pour déterminer votre empreinte digitale, a déclaré Alburquerque.
Microphisher est destiné à aider les organisations à améliorer leur sécurité informatique, a déclaré Alburquerque. Trustwave SpiderLabs organise fréquemment des tests d'intrusion et d'autres tests d'ingénierie sociale pour déterminer l'efficacité d'une organisation en matière de lutte contre le harponnage. Microphisher peut être utilisé pour élaborer des messages dont le style et le contenu sont similaires à ceux qu'un individu spécifique écrirait. Avec un message plus naturel et d'actualité, Trustwave pourrait tester de manière beaucoup plus efficace l'état de préparation de l'entreprise en matière de sécurité, a déclaré Alburquerque.
Imaginez si les attaquants analysent le contenu du fil Twitter d'un chef de la direction avec Microphisher. Ils peuvent ensuite créer un message qui imite son style et l'envoyer à d'autres employés, qui cliqueraient probablement sur un lien dans l'e-mail ou ouvriraient la pièce jointe, car cela ressemblerait à quelque chose que le PDG écrirait normalement, ont-ils déclaré.
L'inverse est également possible, où l'outil peut être utilisé pour déterminer quels messages ont été légitimement écrits par quelqu'un et lesquels ont été falsifiés. "Les mêmes astuces peuvent être utilisées pour évaluer si les courriels sont réalistes, si vous connaissez le compte Twitter de l'expéditeur", a déclaré Alburquerque.
Microphisher s'appuie sur une analyse statistique pour déterminer la distance entre un message en cours d'écriture et un profil de messagerie. Il ne peut donc pas être utilisé pour générer automatiquement des messages de phishing crédibles.
Rester en sécurité
Comme toujours, les utilisateurs ne doivent pas cliquer sur des liens aléatoires inconnus ou des pièces jointes ouvertes, quelle que soit leur source. Il n'importe pas que vous sachiez qui est la personne qui envoie les informations - car il est de plus en plus clair que de nombreuses informations sont disponibles en ligne pour créer des contrefaçons convaincantes.
