Les attaques d'ingénierie sociale (du point de vue du piratage) sont assez similaires à la réalisation d'un spectacle de magie. La différence est que, dans les attaques d'ingénierie sociale, il s'agit d'un tour de magie où le résultat est un compte bancaire, des médias sociaux, un courrier électronique, voire un accès à un ordinateur cible. Qui a créé le système ? UN HUMAIN. Faire une attaque d'ingénierie sociale est facile, croyez-moi, c'est vraiment facile. Aucun système n'est sûr. Les humains sont la meilleure ressource et le point final des vulnérabilités de sécurité de tous les temps.
Dans le dernier article, j'ai fait une démo du ciblage de compte Google, Kali Linux : boîte à outils d'ingénierie sociale , ceci est une autre leçon pour vous.
Avons-nous besoin de certains systèmes d'exploitation de test d'intrusion pour effectuer une attaque d'ingénierie sociale ? En fait non, Social Engineering Attack est flexible, les outils, tels que Kali Linux ne sont que des outils. Le point principal de l'attaque d'ingénierie sociale est de concevoir le flux d'attaque.
Dans le dernier article sur l'attaque d'ingénierie sociale, nous avons appris l'attaque d'ingénierie sociale en utilisant TRUST. Et dans cet article, nous allons en apprendre davantage sur l'ATTENTION. J'ai reçu cette leçon d'un roi des voleurs Apollon Robbins . Son parcours est magicien qualifié, magicien de rue. Vous pouvez voir son émission sur YouTube. Il a déjà expliqué dans une conférence TED comment voler des choses. Sa capacité est principalement de jouer avec l'attention de la victime pour voler ses affaires, telles que montres, portefeuille, argent, carte, tout ce qui se trouve dans la poche de la victime, sans reconnaissance. Je vais vous montrer comment mener une attaque d'ingénierie sociale pour pirater le compte Facebook de quelqu'un en utilisant la CONFIANCE et l'ATTENTION. La clé avec ATTENTION est de continuer à parler vite et de poser des questions. Vous êtes le pilote de la conversation.
Le scénario d'attaque par ingénierie sociale
Ce scénario implique 2 acteurs, John en attaquant et Bima en victime. John définira Bima comme cible. L'objectif de Social Engineering Attack ici est d'accéder au compte Facebook de la victime. Le flux d'attaque utilisera une approche et une méthode différentes. John et Bima sont amis, ils se retrouvent souvent à la cantine à l'heure du déjeuner pendant les temps de repos dans leur bureau. John et Bima travaillent dans des départements différents, la seule occasion où ils se rencontrent est lorsqu'ils déjeunent à la cantine. Ils se rencontrent souvent et se parlent jusqu'à ce qu'ils soient amis.
Un jour, John méchant, est déterminé à pratiquer l'attaque d'ingénierie sociale en utilisant le jeu ATTENTION, que j'ai mentionné plus tôt, il s'est inspiré du roi des voleurs Apollo Robbins. Dans l'une de ses présentations, Robbins a déclaré que nous avons deux yeux, mais que notre cerveau ne peut se concentrer que sur une seule chose. Nous pouvons faire du multitâche, mais ce n'est pas faire les différentes tâches ensemble en même temps, au lieu de cela, nous portons simplement notre attention sur chaque tâche rapidement.
Au début de la journée, le lundi, au bureau, comme d'habitude John est dans sa chambre assis à son bureau. Il envisage de mettre en place la stratégie pour pirater le compte facebook de son ami. Il devrait être prêt avant le déjeuner. Il réfléchit et se demande alors qu'il est assis à son bureau.
Puis il prend une feuille de papier, s'assoit sur sa chaise, qui fait face à son ordinateur. Il visite la page Facebook pour trouver un moyen de pirater le compte de quelqu'un.
ÉTAPE 1 : TROUVER LA FENÊTRE DE DÉMARRAGE alias TROU
Sur l'écran de connexion, il remarque un lien nommé compte oublié, ici John utilisera le bénéfice de compte oublié ( récupération de mot de passe). Facebook a déjà servi notre fenêtre de démarrage à : https://www.facebook.com/login/identify?ctx=recover.
La page devrait ressembler à ceci :
Sur le terrain Trouvez votre compte section, il y a une phrase qui dit, Veuillez entrer votre adresse e-mail ou votre numéro de téléphone pour rechercher votre compte . De là, nous obtenons un autre ensemble de fenêtres : l'adresse e-mail fait référence à Compte email et le numéro de téléphone fait référence à Mobile Téléphone . Ainsi, John a une hypothèse selon laquelle, s'il avait le compte de messagerie ou le téléphone portable de la victime, il aurait alors accès au compte Facebook de la victime.
ÉTAPE 2 : REMPLISSEZ LE FORMULAIRE POUR IDENTIFIER LE COMPTE
D'accord, à partir de là, John commence à réfléchir profondément. Il ne sait pas quelle est l'adresse e-mail de Bima, mais il a enregistré le numéro de téléphone de Bima sur son téléphone portable. Il attrape ensuite son téléphone et cherche le numéro de téléphone de Bima. Et voilà, il l'a trouvé. Il commence à taper le numéro de téléphone de Bima dans ce champ. Après cela, il appuie sur le bouton Rechercher. L'image devrait ressembler à ceci :
Il l'a eu, il a découvert que le numéro de téléphone de Bima est connecté à son compte Facebook. De là, il tient juste et n'appuie pas sur le Continuer bouton. Pour l'instant, il s'est juste assuré que ce numéro de téléphone est connecté au compte Facebook de la victime, ce qui se rapproche de son hypothèse.
Ce que John a fait en fait, c'est faire de la reconnaissance ou de la collecte d'informations sur la victime. À partir de là, John dispose de suffisamment d'informations et est prêt à exécuter. Mais, John rencontrera Bima à la cantine, il est impossible pour John d'apporter son ordinateur, non ? Pas de problème, il a une solution pratique, qui est son propre téléphone portable. Ainsi, avant de rencontrer Bima, il répète le ÉTAPE 1 et 2 sur le navigateur Chrome de son téléphone mobile Android. Cela ressemblerait à ceci:
ÉTAPE 3 : RENCONTREZ LA VICTIME
Bon, maintenant tout est configuré et prêt. Tout ce que John a à faire est de saisir le téléphone de Bima, de cliquer sur le bouton Continuer sur son téléphone, lire le message SMS envoyé par Facebook (le code de réinitialisation) sur le téléphone de Bima, s'en souvenir et supprimer le message en une fraction de temps, rapidement.
Ce plan lui vient à l'esprit alors qu'il se dirige maintenant vers la cantine. John mit son téléphone dans sa poche. Il est entré dans la zone de la cantine, à la recherche de Bima. Il tourna la tête de gauche à droite pour déterminer où diable est Bima. Comme d'habitude, il est assis dans le coin, faisant un signe de la main à John, il était prêt avec son repas.
Immédiatement John prend une petite portion de repas ce midi, et s'approche de la table avec Bima. Il dit bonjour à Bima, puis ils mangent ensemble. En mangeant, John regarde autour de lui, il remarque que le téléphone de Bima est sur la table.
Après avoir fini de déjeuner, ils se parlent tous les jours. Comme d'habitude, jusqu'à ce que, à un moment donné, John ouvre un nouveau sujet sur les téléphones. John lui dit que John a besoin d'un nouveau téléphone et John a besoin de son avis sur le téléphone qui convient à John. Puis il a posé des questions sur le téléphone de Bima, il a tout demandé, le modèle, les spécifications, tout. Et puis John lui demande d'essayer son téléphone, John agit comme s'il était vraiment un client à la recherche d'un téléphone. La main gauche de John attrape son téléphone avec sa permission, tandis que sa main droite est sous la table, se préparant à ouvrir son propre téléphone. John fixe son attention sur sa main gauche, son téléphone, John a tellement parlé de son téléphone, de son poids, de sa vitesse et ainsi de suite.
Maintenant, John commence l'attaque en coupant le volume de la sonnerie du téléphone de Bima à zéro, pour l'empêcher de reconnaître si une nouvelle notification arrive. La main gauche de John a toujours son attention, tandis que sa main droite appuie en fait sur le Continuer bouton. Dès que John a appuyé sur le bouton, le message arrive.
Ding.. Pas de sons. Bima n'a pas reconnu le message entrant car le moniteur fait face à John. John ouvre immédiatement le message, lit et se souvient du Broche à 6 chiffres dans le SMS, puis le supprime bientôt. Maintenant qu'il en a fini avec le téléphone de Bima, John lui rend le téléphone de Bima tandis que la main droite de John sort son propre téléphone et commence à taper immédiatement le Broche à 6 chiffres il vient de se souvenir.
Puis John presse Continuer. La nouvelle page apparaît, elle lui demande s'il veut créer un nouveau mot de passe ou non.
John ne changera pas le mot de passe car il n'est pas méchant. Mais, il a maintenant le compte facebook de Bima. Et il a réussi sa mission.
Comme vous pouvez le voir, le scénario semble si simple, mais bon, avec quelle facilité pourriez-vous saisir et emprunter le téléphone de vos amis ? Si vous faites une corrélation avec l'hypothèse en ayant le téléphone de vos amis, vous pouvez obtenir tout ce que vous voulez, mal.