vendredi 2 décembre 2011

Social Engineering Toolkit (Partie I: la récolte des mots de passe)

L'objectif de cet article est de découvrir les immenses possibilités du Social Engineering Toolkit (appelé SET) disponible dans Backtrack5.

ScreenShot001

Le cas d'utilisation que nous avons choisi de couvrir consiste à créer un faux site web pour récupérer les noms d'utilisateur et les mots de passe des utilisateurs imprudents.

C'est SET qui prend en charge la création du faux site web et la récupération des identifiants de l'utilisateur.

En plus de SET, il est nécessaire de configurer un MITM (Man In The Middle) basé sur un spoofing DNS du nom de domaine cible. Ce spoofing DNS est permis par Ettercap.

Concrètement:

  • La victime accède comme à l'accoutumée à Facebook
  • Elle est redirigée vers le faux site web généré par SET.
  • L'utilisateur s'authentifie.
  • Son authentification échoue et SET récupère son nom d'utilisateur et son mot de passe
  • La victime est redirigée vers la page de login officiel de Facebook
  • Elle s’authentifie de nouveau, pensant avoir saisi un mauvais mot de passe lors de sa première tentative

Tous les détails de l’attaque dans la vidéo ci-dessous:

Cette attaque est particulièrement imparable si le MITM a pu être mis en place et si l'utilisateur n'est pas paranoïaque.

4 commentaires:

  1. la on part du principe qu'on est connécté sur le meme reseau que la victime non?

    RépondreSupprimer
    Réponses
    1. Dans l'exemple montré dans la video la victime et l'attaquant sont sur le même réseau.
      Mais si l'attaquant peut corrompre un DNS pour rediriger la victime vers notre faux site "facebook" alors c'est gagné pour l'attaquant, et ce quelque soit le réseau.

      Supprimer
  2. Le nombre de fois où j'ai été face à des pages de pishing.., je ne suis jamais tombé dans le panneau.
    Ce n'est pas une technique si imparable, car même en étant parano, si l'on n'ai pas intelligent, on peut se faire avoir. Il faut juste pensé au fait que Faceboook ne demande jamais de ressaisir son mot de passe lors d'une redirection...

    RépondreSupprimer
    Réponses
    1. Bonjour,
      Personnellement je ne suis pas sûr de ne jamais me faire avoir. Ma vigilance n'est pas toujours à son plus haut niveau ;-)
      Philippe

      Supprimer

Partager avec...