Outils

Social engineering : des méthodes toujours plus ludiques

Vous avez déjà certainement vu passer ce genre de tweets ou messages Facebook amusants, sous forme de quiz :

name_surname_0.png

Sous couvert de vous amuser, ces messages sont beaucoup moins innocents qu’ils n’y paraissent.

Quand vous créez un compte sur un réseau social, vous pouvez mettre votre véritable identité ou utiliser un pseudonyme, pour des raisons qui ne regardent que vous. Mais la revente de données personnelles et notamment de profils complets se porte toujours aussi bien et s’il est possible de braconner à peu de frais, pourquoi s’en priver ?

C’est ainsi qu’on retrouve ces différents messages, vous proposant des slogans rigolos ou des messages personnalisés à partir de votre date de naissance, de votre prénom ou de votre numéro de téléphone. Pourquoi ces infos ont-elles un intérêt ? Tout simplement parce qu’elles permettent de réaliser des phishings plus vrais que nature.

date_of_birth.jpg

Prenons cette image :

number_phone.png

Le jeu est simple : à partir des trois derniers chiffres de votre numéro de téléphone portable, on vous indique trois composantes de votre quotidien. Sur Twitter, il suffit de donner un identifiant, de cliquer sur « mot de passe oublié » et on se retrouve devant une page nous proposant deux méthodes de réinitialisation de mot de passe : un SMS où seuls les deux derniers chiffres sont affichés (si vous avez indiqué un numéro de téléphone) ou un email avec la première et deuxième lettre du compte et la première lettre du fournisseur apparaissent. En comptant le nombre d’étoiles cachant les lettres, on voit que cela correspond au nombre exact de caractères du fournisseur. Donc si l’adresse email de la victime est chez Gmail, on aura g****.** ou g****.***.

La suite est simple : on génère une fausse page de connexion à Gmail avec une fausse page de vérification. On envoie un email à la victime, lui demandant de s’identifier et le tour est joué, l’attaquant a accès à la boîte mail et donc potentiellement, à toutes les informations intéressantes sur sa victime.

Évidemment, dans cette démonstration, nous avons pris Twitter comme exemple, mais d’autres techniques sont possibles. Ainsi sur l’image ci-dessous, on nous propose de choisir notre couleur préférée et la première lettre de notre nom. Or, quelle est votre couleur préférée fait partie des questions permettant de récupérer un accès à un compte personnel.

monster_color.png

Tout comme le nom de votre premier animal de compagnie.

christmas_name.png

La dangerosité de ces jeux sur les réseaux sociaux réside surtout dans sa viralité : la plupart des images prises pour illustrer cet article ont été abondement partagées, avec un hashtag en vogue. Évidemment, les personnes à l’origine de ces messages ne sont pas forcément malveillantes, mais les informations que les internautes peuvent laisser, peuvent se retourner contre elle. Outre la viralité, c’est la simplicité de réalisation qui rend ce type d’attaques efficaces. On trouve des générateurs de fausses pages Facebook, Twitter, Gmail ou Hotmail très facilement et d’une utilisation enfantine.

Morale de l’histoire : quand vous voyez ce genre de messages sur votre réseau social préféré, n’y répondez jamais.