{"id":356,"date":"2015-02-09T19:23:43","date_gmt":"2015-02-09T17:23:43","guid":{"rendered":"http:\/\/calypt.com\/blog\/?p=356"},"modified":"2015-02-09T19:31:00","modified_gmt":"2015-02-09T17:31:00","slug":"phishing-vol-de-mot-de-passe-sur-gmail","status":"publish","type":"post","link":"https:\/\/www.calypt.com\/blog\/index.php\/phishing-vol-de-mot-de-passe-sur-gmail\/","title":{"rendered":"[Phishing] Vol de mot de passe sur Gmail"},"content":{"rendered":"

Le vol de mot de passe par phishing est surement la m\u00e9thode avec le\u00a0meilleur ratio simplicit\u00e9 \/ efficacit\u00e9. Certaines attaques peuvent \u00eatre relativement \u00e9volu\u00e9es, et il est ais\u00e9 pour une\u00a0victime non parano\u00efaque de se faire pi\u00e9ger. Voici un exemple.<\/p>\n

Cr\u00e9ation du site de phishing<\/h1>\n

Google Site<\/h3>\n

Google est surement l’une des entreprise les\u00a0mieux s\u00e9curis\u00e9es du monde. Mais\u00a0elle propose aussi une multitude de services qui vont permettre \u00e0 un attaquant d’exploiter non pas des failles techniques mais plut\u00f4t humaines.\u00a0Un outil\u00a0particuli\u00e8rement int\u00e9ressant pour r\u00e9aliser une attaque de phishing est\u00a0Google Site<\/a>. Il est en effet possible de cr\u00e9er son propre site web, avec une URL en\u00a0google.com<\/em>.<\/p>\n

En cr\u00e9ant son site Google, il est possible de choisir son URL, par exemple\u00a0https:\/\/sites.google.com\/site\/authofficial<\/a> est une URL valide. Il ne reste plus qu’\u00e0 inclure une fausse page d’identification qui pourra servir \u00e0 pi\u00e9ger le malheureux ayant cliqu\u00e9 sur ce lien. Google site ne permet pas de cr\u00e9er directement du contenu dynamique… mais permet d’inclure un autre site dans la page (de mani\u00e8re transparente) gr\u00e2ce \u00e0 un iFrame<\/a>\u00a0(dans le module d’\u00e9dition : Insertion \/ Autre gadgets \/\u00a0Include gadget).<\/p>\n

Voici \u00e0 quoi pourrait ressembler une page de Phishing disponible sur un Google Site :<\/p>\n

\u00a0\"google_phishing2\"<\/p>\n

Un oeil averti remarquera la derni\u00e8re ligne, un peu \u00e9tonnante. Mais si l’attaque est cibl\u00e9e, l’attaquant pourra aller jusqu\u2019\u00e0 pr\u00e9-remplir l’adresse mail et \u00e9ventuellement la photo du compte G+ de sa victime, afin que cette derni\u00e8re se sente confortablement dans un environnement connu et de confiance.<\/p>\n

Heroku<\/h3>\n

Comme nous l’avons rapidement abord\u00e9, le formulaire de connexion n’est pas h\u00e9berg\u00e9 par Google Site mais sur un site externe de l’attaquant (servi par Heroku<\/a> dans cet exemple). Il suffira de recr\u00e9er le design de la page de login de Google comme dans l’image au dessus et enregistrer les login\/mot de passe quelque part ou de se les envoyer par mail. Il sera de bon ton ensuite de remercier la victime pour sa saisie correcte et de\u00a0la rediriger vers gmail.com<\/em>.<\/p>\n

Amener la victime sur le site de phishing<\/h2>\n

Maintenant que le site est en place, il faut faire en sorte que la victime ait une bonne raison de rentrer son mot de passe sur un site qu’elle ne conna\u00eet pas. Les meilleures attaques sont les plus simples, avec simplement un soup\u00e7on\u00a0de pression. Un exemple :<\/p>\n

\"gmail<\/p>\n

Et pour que cela fasse encore plus vrai, l’attaquant aura surement pris le soin de se cr\u00e9er une adresse Gmail\u00a0authofficial@gmail.com<\/em> et de renseigner sa photo de profil google+ avec le logo de Google !<\/p>\n

Protip<\/strong> : Parfois, certains sites comme Google demandent un num\u00e9ro de t\u00e9l\u00e9phone afin de valider la cr\u00e9ation d’un compte. Il est possible d’utiliser des\u00a0services en ligne de SMS, ou bien de demander \u00e0 se faire appeler \u00e0 un num\u00e9ro\u00a0http:\/\/k7.net\/<\/a>\u00a0et ensuite d\u2019\u00e9couter le message contenant le code de validation sur le site de k7 !<\/p>\n

<\/h1>\n

Se prot\u00e9ger des attaques de phishing<\/h1>\n

Comme dit en pr\u00e9ambule, Google est une entreprise permettant un bon niveau de s\u00e9curit\u00e9. Souvent, l’unique connaissance du mot de passe ne sera pas suffisant pour se connecter au compte d’une autre personne. En effet d’autres crit\u00e8res sont analys\u00e9s lors de l’authentification,\u00a0comme la localisation g\u00e9ographique et les technologies utilis\u00e9es.<\/p>\n

Cependant ces mesures sont contournables par un attaquant et nous conseillons tr\u00e8s fortement d’utiliser le m\u00e9canisme de double authentification<\/a>. La double authentification est aussi disponible sur Facebook, Twitter, et tout autre service qui se respecte en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":"

Le vol de mot de passe par phishing est surement la m\u00e9thode avec le\u00a0meilleur ratio simplicit\u00e9 \/ efficacit\u00e9. Certaines attaques peuvent \u00eatre relativement \u00e9volu\u00e9es, et il est ais\u00e9 pour une\u00a0victime non parano\u00efaque de se faire pi\u00e9ger. Voici un exemple. Cr\u00e9ation du site de phishing Google Site Google est surement l’une des entreprise les\u00a0mieux s\u00e9curis\u00e9es du […]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false},"categories":[1],"tags":[51],"yoast_head":"\n\n\n\n\n\n\n\n\n\n\n\n\n\t\n