Comment les cyber-criminels préparent le phishing sur vos organisations en toute légalité

Le phishing est le vecteur initial à la base de 90% des attaques informatiques. C'est bien connu: sans information pas d'opération possible. Les cyber-criminels ont des méthodes biens particulières pour récupérer des informations sur vos organisations, vos collaborateurs et vos clients afin de mener des opérations de phishing ciblé.

Qu'est-ce que le phishing ?

Le phishing est une pratique malveillante visant à piéger une personne, clients ou collaborateurs, afin qu'il réalise une action précise: ouverture d'une pièce jointe, réalisation d'un virement, divulgation de mots de passe, etc.) afin de compromettre généralement un compte utilisateur. Avant de mener une attaque par phishing, les cyber-criminels ont besoin de collecter des informations sur les collaborateurs, clients et organisations afin d'améliorer la crédibilité de leur ruse.

Découverte de l'exposition des services et du réseau

Les premières phases débutent toujours par une découverte des éléments visibles du réseau et des serveurs en ligne. Le cyber-criminel va commencer par identifier les services SaaS, projets web, plateformes web exposés sur internet. Il va identifier leurs technologies en analysant par exemple:

  • les en-têtes HTTP,
  • les certificats TLS,
  • les fichiers types robots.txt et sitemap.xml,
  • les resources javascript, css, etc.

Les informations liées aux noms de domaines vont aussi être passées en revue par le cyber-criminel. Celles-ci permettent généralement d'identifier les informations ayant un rôle important sur le service, d'éventuels prestataires, leurs points de contacts. Ces informations permettent aussi d'identifier les services annexes comme les back-offices ou interfaces de gestion de données.

Le service WhoXY est en mesure de délivrer des informations pertinentes. Le cyber-criminel va savoir si des domaines liés à l'organisation sont à vendre, parked, etc. En effet, racheter un domaine précédemment utilisé par l'organisation est un facteur important pour un cyber-criminel. Il va pouvoir améliorer la légitimité de ses opérations de phishing auprès des partenaires de la cible.

La recherche de sous-domaines et informations sur les certifcats TLS, avec des outils comme Censys.io, DNS Dumpster, Netcraft permet au cyber-criminel de découvrir les services annexes: interfaces de gestion de données, back-offices. Ces éléments sont généralement plus attractifs et moins robustes que le service principal. (RDAP)[https://www.arin.net/resources/rdap.html) et (Shodan)[https://shodan.io/] permettent de découvrir des informations sur les IP appartenant à l'organisation et des hostnames.

Découverte de la communauté humaine derrière les services

Pour un cyber-criminel il est important d'identifier les personnes travaillant sur les technologies derrières le service. Il va chercher à répondre à plusieurs questions: qu'elles sont les personnes les plus sensibles ? Y-a-t-il des stagiaires ? Y-a-t-il des prestataires ? Des départs de l'organisation ont-ils eu lieu ? Comment travaillent-ils ? etc.

Des outils de scraping sur linkedin, facebook permettent de faciliter la collecte de ce type de données.

Le cyber-criminel peut simplement utiliser les moteurs de recherche classique: Google, Bing, Yahoo, etc. L'utilisation de ces moteurs proposent des techniques de recherche avancées: par domain, exclusions, etc. On nomme habituellement cette pratique du Google Hacking. Par exemple, il est possible de rechercher, par l'intermédiaire de Google, des informations présentes uniquement sur linkedin au moyen de cette recherche avancées: site:linkedin.com <nom-de-l-organisation>. L'utilisation des API, quelque soit leurs limites, facilite l'automatisation des recherches.

On peut aussi citer l'outil hunter.io facilitant la découverte d'email liées à des organisations.

Recherche d'information sur le Cloud

Avec le développement du Cloud les organisations ont de plus en plus de mal à maitriser la diffusion des informations la concernant. Il n'est pas rare que des PDF, fichiers excel contenant des informations sensibles se retrouvent exposés sur le Cloud. Un moyen facile de trouver ces informations repose sur l'utilisation d'une requête avancée: site:<domaine-d-un-partenaire> filetype:pdf. Généralement les résultats de cette requête exposent des informations interessantes pour les cyber-criminels. La recherche d'informations sur les buckets AWS/S3 ou de DigitalOcean est souvent fructueuse.

Les cyber-criminels vont aussi regarder sur les dépôts de codes sources. Il est souvent possible de trouver des clés et autres credentials. L'outil GitGot facilite ce genre d'investigation.

Conclusion

Nous avons essayé de montrer que pour un cyber-criminel il est assez facile de trouver des informations, souvent sensibles, des fois confidentielles, sur les activités des organisations. Ces informations permettent de crédibiliser des opérations de phishing en mesure de voler des informations des utilisateurs de vos plateformes et services web.

Peu d'utilisateurs de services en ligne font preuve de vigilance. Ils communiquent leurs mots de passe assez facilement lorsque les emails de phishing sont crédibles.

La solution consiste à partir du principe que les comptes des utilisateurs de vos applications et services vont être volés à un moment ou un autre. Le service de cyber-sécurité LittleBlueFox.io permet de prévenir ce type d'attaque quelque soit l'exposition de votre organisation.

LittleBlueFox.io est la cyber-solution qui a un impact considérable sur la sécurité de toutes les activités: e-commerce, santé, immobilier, grands comptes, etc.

Sécurisez gratuitement