Nous avons couvert les attaques de phishing, leur fonctionnement, les composants d'un e-mail de phishing, les composants de l'infrastructure de phishing, les outils d'évaluation du phishing tels que Gophish et SET et comment rester surveillé et protégé contre les attaques de phishing. Cette vidéo a utilisé le matériel de laboratoire de Salle TryHackMe nommée phishing et une partie de la piste de l'équipe rouge.

Nous avons également couvert des scénarios pratiques d’analyse des e-mails de phishing à l’aide de PhishTool et Any.run. Le premier scénario, nous avons analysé un e-mail prétendant provenir de Netflix et les deux autres scénarios contenaient des pièces jointes malveillantes qui effectuaient des appels vers des serveurs et des noms DNS malveillants. Cela faisait partie de Outils d'analyse du phishing TryHackMe.

Nous avons également examiné un scénario pratique d’analyse du phishing par courrier électronique à l’aide de Thunderbird. Nous avons mis en évidence des domaines spécifiques à analyser tels que l'e-mail de l'expéditeur, le chemin de retour, le domaine de l'expéditeur, les enregistrements SPF, l'adresse IP d'origine et la pièce jointe de l'e-mail. Nous avons constaté que la pièce jointe de l'e-mail était malveillante en l'analysant à l'aide de VirusTotal. De plus, l'e-mail contenait des erreurs grammaticales et était adressé à un destinataire général. Cela faisait partie de TryHackMe Greenholt Phish.

Obtenir les notes du certificat OSCP

Le cours pratique complet sur les tests d’intrusion d’applications Web

Faits saillants de la vidéo

Le phishing est une forme d'ingénierie sociale diffusée par courrier électronique pour inciter quelqu'un à révéler des informations personnelles, des informations d'identification ou même à exécuter un code malveillant sur son ordinateur. Ces e-mails semblent généralement provenir d’une source fiable, qu’il s’agisse d’une personne ou d’une entreprise. Ils incluent du contenu qui tente ou incite les gens à télécharger des logiciels, à ouvrir des pièces jointes ou à suivre des liens vers un faux site Web.

Nous devons travailler sur trois éléments concernant les e-mails de phishing : l'adresse e-mail de l'expéditeur, l'objet et le contenu.

Différents types d’e-mails malveillants peuvent être classés comme suit :

  • Courrier indésirable – des courriers indésirables non sollicités envoyés en masse à un grand nombre de destinataires. La variante la plus malveillante du spam est connue sous le nom de Spam malveillant.
  • Hameçonnage –  e-mails envoyés à une ou plusieurs cibles prétendant appartenir à une entité de confiance pour inciter les individus à fournir des informations sensibles.
  • Hameçonnage – va encore plus loin dans le phishing en ciblant une ou plusieurs personnes ou organisations spécifiques à la recherche d'informations sensibles.  
  • Pêche à la baleine – est similaire au spear phishing, mais il cible spécifiquement les personnes de haut niveau (PDG, CFO, etc.), et l'objectif est le même.
  • Smishing – amène le phishing vers les appareils mobiles en ciblant les utilisateurs mobiles avec des messages texte spécialement conçus.
  • Vishing – est similaire au smishing, mais au lieu d’utiliser des messages texte pour l’attaque d’ingénierie sociale, les attaques sont basées sur des appels vocaux.

En matière de phishing, le modus operandi est généralement le même selon l’objectif de l’e-mail.

Par exemple, l’objectif peut être de récolter des informations d’identification, et un autre objectif est d’accéder à l’ordinateur.

Vous trouverez ci-dessous les caractéristiques communes que les e-mails de phishing ont en commun :

  • Le nom/adresse e-mail de l'expéditeur se fera passer pour une entité de confiance (usurpation d'e-mail)
  • La ligne d'objet et/ou le corps (texte) de l'e-mail est rédigé avec un sentiment d'urgence ou utilise certains mots-clés tels que FactureSuspendu, etc.
  • Le corps de l'e-mail (HTML) est conçu pour correspondre à une entité de confiance (telle qu'Amazon)
  • Le corps du mail (HTML) est mal formaté ou mal rédigé (contrairement au point précédent)
  • Le corps de l'e-mail utilise un contenu générique, tel que Cher Monsieur/Madame.
  • Liens hypertextes (utilise souvent des services de raccourcissement d'URL pour cacher sa véritable origine)
  • UN pièce jointe malveillante se faisant passer pour un document légitime

GoPhish – (Open Source Hameçonnage Cadre) - getgophish.com

GoPhish est un framework Web permettant de faciliter la mise en place de campagnes de phishing. GoPhish vous permet de stocker votre SMTP paramètres du serveur pour l'envoi d'e-mails, dispose d'un outil Web permettant de créer des modèles d'e-mails à l'aide d'un simple éditeur WYSIWYG (What You See Is What You Get). Vous pouvez également planifier l'envoi des e-mails et disposer d'un tableau de bord analytique qui indique combien d'e-mails ont été envoyés, ouverts ou cliqués.

SET – (Boîte à outils d’ingénierie sociale) – trustsec.com

La boîte à outils d'ingénierie sociale contient une multitude d'outils, mais certains des plus importants pour le phishing sont la possibilité de créer hameçonnage attaques et déployer de fausses versions de sites Web courants pour inciter les victimes à saisir leurs informations d’identification.

Les droppers sont des logiciels que les victimes de phishing ont tendance à inciter à télécharger et à exécuter sur leur système. Le compte-gouttes peut se présenter comme quelque chose d'utile ou de légitime, comme un codec pour visualiser une certaine vidéo ou un logiciel pour ouvrir un fichier spécifique.

Les droppers ne sont généralement pas malveillants eux-mêmes, ils ont donc tendance à passer les contrôles antivirus. Une fois installé, le logiciel malveillant prévu est soit décompressé, soit téléchargé depuis un serveur et installé sur l'ordinateur de la victime. Le logiciel malveillant se reconnecte généralement à l'infrastructure de l'attaquant. L'attaquant peut prendre le contrôle de l'ordinateur de la victime, qui peut ainsi explorer et exploiter davantage le réseau local.

Choisir le bon Hameçonnage Le domaine à partir duquel lancer votre attaque est essentiel pour vous assurer d'avoir l'avantage psychologique sur votre cible. Un engagement d'équipe rouge peut utiliser certaines des méthodes ci-dessous pour choisir le nom de domaine parfait.

Domaines expirés :

Bien que cela ne soit pas essentiel, l'achat d'un nom de domaine avec un certain historique peut conduire à un meilleur score de votre domaine en matière de filtres anti-spam. Les filtres anti-spam ont tendance à ne pas faire confiance aux nouveaux noms de domaine par rapport à ceux ayant un certain historique.

Typosquattage :

Le typosquattage se produit lorsqu'un domaine enregistré ressemble beaucoup au domaine cible que vous essayez d'usurper l'identité. Voici quelques-unes des méthodes courantes :

Faute d'orthographe : goggle.com contre google.com

Période supplémentaire : go.ogle.com contre google.com

Changer de chiffres pour les lettres : g00gle.com contre google.com

Phrase : googles.com contre google.com

Mot supplémentaire : googleresults.com contre google.com

Ces changements peuvent paraître irréalistes, mais en un coup d'œil, le cerveau humain a tendance à remplir les blancs et à voir ce qu'il veut voir, c'est-à-dire le nom de domaine correct.

Réponses de la salle | EssayezHackMe Phishing

De quel type de manipulation psychologique le phishing fait-il partie ?

Dans quel type de campagne de phishing les équipes rouges sont-elles impliquées ?

Quelle tactique peut-on utiliser pour trouver des marques ou des personnes avec lesquelles une victime interagit ?

Que faut-il changer sur une balise d'ancrage HTML pour masquer un lien ?

Quelle partie de l’infrastructure d’une équipe rouge peut rendre un site Web plus authentique ?

Quel protocole possède des enregistrements TXT qui peuvent améliorer la délivrabilité des e-mails ?

Quel outil peut automatiser une campagne de phishing et inclure des analyses ?

Quel est le mot de passe de Brian ?
Les compte-gouttes ont-ils tendance à être malveillants ?
Quoi de mieux, utiliser un domaine expiré ou nouveau ? (ancien nouveau)

Quel est le terme utilisé pour décrire l’enregistrement d’un nom de domaine similaire avec une faute d’orthographe ?

Que peuvent contenir les documents Microsoft Office qui, une fois exécutés, peuvent exécuter des commandes informatiques ?
Quel CVE récent a provoqué l'exécution de code à distance ?
Quel est le drapeau du défi ?

Réponses de la salle | Principes fondamentaux de l'analyse du phishing TryHackMe

L'e-mail date de quelle époque ?
Quel port est classé comme Secure Transport pour SMTP ?

Quel port est classé comme Secure Transport pour IMAP ?

Quel port est classé comme Secure Transport pour POP3 ?

Quel en-tête d'e-mail est identique à « Répondre à » ?

Une fois que vous avez trouvé l’adresse IP de l’expéditeur de l’e-mail, où pouvez-vous récupérer plus d’informations sur l’adresse IP ?

Dans les captures d'écran ci-dessus, quel est l'URI de l'image bloquée ?

Dans les captures d'écran ci-dessus, quel est le nom de la pièce jointe PDF ?

Dans la machine virtuelle ci-jointe, affichez les informations dans email2.txt et reconstruisez le PDF à l'aide des données base64. Quel est le texte dans le PDF ?

De quelle entité de confiance cet e-mail se fait-il passer ?

Quel est l'email de l'expéditeur ?

Quelle est la ligne d'objet ?

A quoi sert le lien URL - CLIQUEZ ICI? (Entrez l'URL défangée)

Qu’est-ce que le BEC ?

Réponses de la salle | Outils d'analyse du phishing TryHackMe

Quel est le nom du site officiel de la banque à laquelle capitai-one.com a essayé de ressembler ?

Comment obtenir manuellement l'emplacement d'un lien hypertexte ?
Regardez la sortie Strings. Quel est le nom du fichier EXE ?

Pour quelle marque cet e-mail a-t-il été conçu ?

Quelle est l'adresse e-mail de l'expéditeur ?

Quelle est l'adresse IP d'origine ? Supprimez l'adresse IP.

D’après ce que vous pouvez comprendre, quel sera, selon vous, un domaine d’intérêt ? Défangez le domaine.

Quelle est l'URL raccourcie ? Défangez l'URL.

Comment AnyRun classe-t-il cet e-mail ?

Quel est le nom du fichier PDF ?

Quel est le hachage SHA 256 du fichier PDF ?

Quelles sont les deux adresses IP classées comme malveillantes ? Défendez les adresses IP. (répondre: IP_ADDR,IP_ADDR)

Quel processus Windows a été signalé comme Trafic potentiellement mauvais?

Comment classe-t-on cette analyse ?

Quel est le nom du fichier Excel ?

Quel est le hachage SHA 256 du fichier ?

Quels domaines sont répertoriés comme malveillants ? Supprimez les URL et soumettez les réponses par ordre alphabétique. (répondre: URL1,URL2,URL3)

Quelles adresses IP sont répertoriées comme malveillantes ? Supprimez les adresses IP et soumettez les réponses du plus bas au plus élevé. (répondre: IP1,IP2,IP3)

Quelle vulnérabilité cette pièce jointe malveillante tente-t-elle d'exploiter ?

Réponses de la salle | Les e-mails de phishing TryHackMe en action

Par quelle phrase commence l’e-mail charabia de l’expéditeur ?
pas de réponse
Quel est le domaine racine de chaque URL ? Défangez l'URL.
devret[.]xyz
Cet exemple d'e-mail utilisait les noms de quelques grandes entreprises, leurs produits et leurs logos tels que OneDrive et Adobe. Quel autre nom de société a été utilisé dans cet e-mail de phishing ?
Citrix
Que doivent faire les utilisateurs s’ils reçoivent un e-mail ou un SMS suspect prétendant provenir de Netflix ?
transférez le message à phishing@netflix.com
Que signifie BCC ?
Copie carbone invisible
Quelle technique a été utilisée pour persuader la victime de ne pas ignorer l’e-mail et d’agir rapidement ?
Urgence
Quel est le nom de l'exécutable que la pièce jointe Excel tente d'exécuter ?
regasms.exe

Réponses de la salle | Prévention du phishing TryHackMe

En faisant référence au table de syntaxe dmarcienne SPF, quel caractère de préfixe peut être ajouté au mécanisme « all » pour garantir un résultat « softfail » ?

~

Quelle est la signification du -tous étiqueter?

échouer
Quel en-tête d'e-mail indique si le DKIM a réussi ou échoué ?
Résultats d'authentification
Quelle politique DMARC utiliseriez-vous pour ne pas accepter un e-mail si le message échoue à la vérification DMARC ?
p=rejeter
Qu’est-ce que la non-répudiation ? (La réponse est une phrase complète, incluant le « . »)
Le caractère unique d'une signature empêche son propriétaire de la renier.

Quel filtre Wireshark pouvez-vous utiliser pour affiner la sortie des paquets à l'aide des codes d'état SMTP ?

Bonne réponse : smtp.response.code

D'après le trafic réseau, quel était le message pour le code d'état 220 ? (N'incluez pas le code de statut (220) dans la réponse)

Bonne réponse: service prêt

Un paquet montre une réponse indiquant qu'un e-mail a été bloqué en utilisant spamhaus.org. Quels étaient le numéro de paquet et le code d'état ? (pas d'espaces dans votre réponse)

Bonne réponse : 156 553

D'après le paquet de la question précédente, quel était le message concernant la boîte aux lettres ?

Bonne réponse : le nom de la boîte aux lettres n'est pas autorisé

Quel est le code d'état qui précède généralement une commande SMTP DATA ?

Bonne réponse : 354

Quel port le trafic SMTP utilise-t-il ?

Bonne réponse : 25

Combien de paquets sont spécifiquement SMTP ?

Bonne réponse : 512

Quelle est l’adresse IP source de tout le trafic SMTP ?

Bonne réponse : 10.12.19.101

Quel est le nom de fichier de la troisième pièce jointe ?

Bonne réponse : pièce jointe.scr

Qu'en est-il de la dernière pièce jointe ?

Bonne réponse : .zip

Selon MITRE ATT&CK, quel logiciel est associé à l'utilisation de SMTP et POP3 pour les communications C2 ?

Bonne réponse : Zébrocy

Réponses de la salle | Prévention du phishing TryHackMe

Quel est le Numéro de référence du transfert répertorié dans l'e-mail Sujet?

De qui provient ce courrier électronique?

Quelle est son adresse email ?

À quelle adresse e-mail recevra une réponse à cet e-mail ?

Quelle est l’adresse IP d’origine ?

Qui est le propriétaire de l’IP d’origine ? (N'incluez pas le « . » dans votre réponse.)

Qu'est-ce que l'enregistrement SPF pour le domaine Return-Path ?

Qu'est-ce que l'enregistrement DMARC pour le domaine Return-Path ?

Quel est le nom de la pièce jointe ?

Quel est le hachage SHA256 de la pièce jointe ?

Quelle est la taille du fichier joint ? (N'oubliez pas d'ajouter « KB » à votre réponse, NUM Ko)

Quelle est l'extension réelle du fichier de la pièce jointe ?

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles