Les attaques de phishing clone expliquées
Le phishing des clones est peut-être la technique la plus connue des attaques de piratage basées sur l'ingénierie sociale. L'un des exemples les plus connus de ce type d'attaque est la livraison massive de messagerie de messages prétendant être un service ou un réseau social. Le message encourage la victime à appuyer sur un lien pointant vers un faux formulaire de connexion, un clone visuel de la page de connexion réelle.
La victime de ce type d'attaque clique sur le lien et ouvre généralement une fausse page de connexion et remplit le formulaire avec ses informations d'identification. L'attaquant récolte les titres de compétences et redirige la victime vers la page réelle du service ou du réseau social sans que la victime sachait qu'il a été piraté.
Ce type d'attaque était auparavant efficace pour les attaquants qui ont lancé des campagnes massives dans la collecte de grandes quantités d'identification des utilisateurs négligents.
Heureusement, les systèmes de vérification en deux étapes neutralisent les menaces de phishing des clones, mais de nombreux utilisateurs restent inconscients et non protégés.
Caractéristiques des attaques de phishing des clones
- Les attaques de phishing clone sont dirigées contre plusieurs cibles, si l'attaque est dirigée contre un individu spécifique, alors nous sommes sous une attaque de phishing de lance.
- Un véritable site Web ou application est cloné pour faire croire à la victime qu'il se connecte sous une forme authentique.
- Après l'attaque, la victime est redirigée vers le site Web authentique pour éviter les soupçons.
- La vulnérabilité exploitée dans ces attaques est l'utilisateur.
Comment être protégé avant les attaques de phishing cloné
Il est important de comprendre que les attaques de phishing ne ciblent pas les vulnérabilités des appareils, mais l'ingéniosité des utilisateurs. Bien qu'il existe des implémentations technologiques pour lutter contre le phishing, la sécurité dépend des utilisateurs.
La première mesure préventive consiste à configurer une vérification en deux étapes dans les services et les sites Web que nous utilisons, en mettant en œuvre cette mesure, les pirates ne parviendront pas à accéder aux informations de la victime même si l'attaque réussit.
La deuxième mesure consiste à se faire éduquer sur la façon dont les attaques sont exécutées. Les utilisateurs doivent toujours vérifier l'intégrité des adresses de messagerie de l'expéditeur. Les utilisateurs doivent prêter attention aux tentatives d'imitation (E.g., En remplaçant un O pour un 0 ou en utilisant des caractères générés par combinaison de clés).
L'évaluation la plus importante doit être sur le domaine auquel nous sommes liés à partir du message nécessitant une action spécifique de notre part. Les utilisateurs doivent confirmer ou rejeter l'authenticité du site Web en lisant simplement le nom de domaine. La plupart des utilisateurs ne prêtent pas attention aux noms de domaine. Les utilisateurs expérimentés soupçonnent généralement immédiatement avant une tentative de phishing.
Les images suivantes montrent comment identifier une attaque de phishing en voyant la barre d'adresse URL. Certains pirates n'essaient même pas d'imiter le nom de domaine du site cloné.
Site authentique:
Attaque de phishing clone:
Comme vous pouvez le voir, le nom de domaine a été truqué, attendant les utilisateurs inconscients.
De plus, il existe des services défensifs pour traiter le phishing. Ces options combinent l'analyse du courrier et l'intelligence artificielle pour signaler les tentatives de phishing. Certaines de ces solutions sont Phishfort et Hornet Security Antiphhishing.
Comment les pirates exécutent les attaques de phishing des clones
Setoolkit est l'un des outils les plus propagés pour exécuter différents types d'attaques de phishing. Cet outil est inclus par défaut dans les distributions Linux axées sur le piratage comme Kali Linux.
Cette section montre comment un pirate peut exécuter une attaque de phishing de clone en une minute.
Pour démarrer, installons Setoolkit en exécutant la commande suivante:
[Encode] Git Clone https: // github.com / TrustEdSec / Social-ingénieur-Toolkit / Set / [/ Encode]Ensuite, entrez le répertoire set à l'aide du CD de commande (modifier le répertoire) et exécutez la commande suivante:
[Encode] CD Set [/ Encode][Encoder] Configuration de Python.py-exigences.txt [/ encoder]
Pour démarrer Setoolkit, exécuter:
[Encode] Setoolkit [/ Encode]Accepter les conditions de service en appuyant Y.
Setoolkit est un outil complet pour les pirates pour effectuer des attaques d'ingénierie sociale. Le menu principal affichera différents types d'attaques disponibles:
Les éléments du menu principal comprennent:
Attaques d'ingénierie sociale: Cette section de menu comprend des outils pour les vecteurs d'attaque de phisseur de lance, les vecteurs d'attaque de site Web, le générateur de médias infectieux, la charge utile et l'auditeur, l'attaque de Mass Mailer, le vecteur d'attaque basé sur Arduino, le vecteur d'attaque de point d'accès sans fil, le vecteur d'attaque du générateur QRCODE, les vecteurs d'attaque PowerShell , Modules tiers.
TESTS DE PÉNÉTRATION: Ici, vous pouvez trouver Microsoft SQL Bruter, Exploits personnalisés, Vector d'attaque SCCM, vérificateur par défaut Dell Drac / Chassis, RID_ENUM - Attaque de l'énumération de l'utilisateur, Psexec PowerShell Injection.
Modules tiers: Les pirates peuvent écrire leurs modules, il existe un module disponible pour pirater Google Analytics.
Pour continuer avec le processus de phishing des clones, sélectionnez la première option en appuyant sur 1 comme indiqué ci-dessous:
Sélectionnez la troisième option Méthode d'attaque de la récolte d'identification en appuyant 3. Cette option permet de cloner facilement des sites Web ou de configurer de faux formulaires pour le phishing.
Maintenant, Setoolkit demande l'adresse IP ou le nom de domaine de l'appareil dans lequel le site cloné sera hébergé. Dans mon cas, j'utilise mon appareil, je définis mon IP interne (192.168.1.105) Donc, personne hors de mon réseau local ne pourra accéder au faux site Web.
Ensuite, Setoolkit demandera quel site Web souhaitez-vous cloner, dans l'exemple ci-dessous, j'ai choisi Facebook.com.
Comme vous pouvez le voir maintenant, quiconque accède à 192.168.0.105 sera dirigé vers un faux formulaire de connexion Facebook. En achetant un domaine similaire, les pirates peuvent remplacer l'adresse IP pour un nom de domaine comme F4Cebook.com, faceb00k.com, etc.
Lorsque la victime essaie de se connecter, Setoolkit récolte le nom d'utilisateur et le mot de passe. Il est important de se rappeler au cas où la victime aurait une protection à deux étapes, l'attaque sera inutile même si la victime a tapé son nom d'utilisateur et son mot de passe.
Ensuite, la victime est redirigée vers le vrai site Web, il pensera qu'il n'a pas réussi à se connecter, se réessayera avec succès sans soupçonner qu'il a été piraté.
Le processus décrit ci-dessus est un processus de 2 minutes. La configuration de l'environnement (serveur offshore, nom de domaine similaire) est plus difficile pour les attaquants que d'exécuter l'attaque elle-même. Apprendre comment les pirates exécutent ce type d'attaque est la meilleure façon d'être conscient du danger.
Conclusion
Comme décrit ci-dessus, les attaques de phishing clone sont faciles et rapides à exécuter. Les attaquants n'ont pas besoin de sécurité informatique ou de connaissances pour lancer ce type d'attaque contre de grandes quantités de victimes potentielles récoltant leurs références.
Heureusement, la solution est accessible à quiconque en permettant simplement une vérification en deux étapes dans tous les services utilisés. Les utilisateurs doivent également accorder une attention particulière aux éléments visuels comme les noms de domaine ou les adresses d'expéditeur.
Se promener contre les attaques de phishing de clones est également un moyen d'empêcher d'autres techniques d'attaque de phishing comme le phishing de lance ou le phishing des baleines, des attaques qui peuvent inclure des techniques de phishing clone.