🎣Campagne de Phishing

Découvrir les types de phishing

  • Phishing traditionnel : Des emails ou des messages qui imitent des entreprises légitimes pour voler des informations personnelles.

  • Spear phishing : Cible des individus ou des organisations spécifiques avec des emails personnalisés pour maximiser les chances de succès.

  • Whaling : Cible des individus de haut niveau comme des PDG ou des dirigeants d'entreprise pour des attaques de phishing sophistiquées.

  • Smishing : Utilisation de SMS ou de messages texte pour mener des attaques de phishing.

  • Vishing : Utilisation de techniques de phishing via des appels téléphoniques.

Cas d'attaque par Spear phishing (ciblé):

  • L'attaquant localise l’entreprise et recherche des restaurant a proximité.

  • Il trouve le resto du buffet !

  • Créer un mail : RestoduBuffet_ville@... et envoi un mail aux employés de l'entreprise en leur promettant un repas offert après la création d'un compte en cliquant sur le liens de promotions.

  • Il est fort probable que l'utilisateur utilise le même mot de passe pour tous ces comptes ou des mot de passe très similaire.

  • L'attaquant a maintenant l'adresse e-mail et le mot de passe de la victime et peut se connecter au compte de la victime compte de messagerie de l'entreprise. L'attaquant pourrait désormais avoir accès à des informations privées informations sur l'entreprise et pourrait lancer un autre phishing attaque contre d'autres employés.

RECONNAISSANCE - trouver des emails :

Visiter ma documentation sur la recherche d'email

💿 Origine de l'e-mail :

Envoi d'e-mails depuis localhost : Utiliser un script pour envoyer des e-mails depuis votre ordinateur portable ou votre serveur local.

Réputation IP dans les en-têtes : Assurez-vous que l'adresse IP à partir de laquelle vous envoyez les e-mails n'est pas associée à des activités suspectes ou à du spam.

Nouveau VPS sans historique d'expéditeur : Si vous utilisez un serveur virtuel privé récemment mis en service, assurez-vous de créer une réputation positive pour votre adresse IP en envoyant des e-mails de manière légitime.

Réputation du domaine expéditeur et âge du domaine : Plus le domaine utilisé pour envoyer des e-mails est ancien et possède une bonne réputation, mieux c'est. Assurez-vous que le domaine est vérifié et bien établi.

Réputation des liens et âge du domaine : Les liens inclus dans vos e-mails doivent être issus de domaines de confiance et ne pas être associés à des activités malveillantes.

Utilisation d'un expéditeur à haute réputation : Utilisez des services comme Mailchimp ou Sendgrid, qui ont une réputation élevée en matière d'envoi d'e-mails. Vérifiez votre domaine avec ces fournisseurs pour envoyer des e-mails en utilisant votre propre domaine.

Correspondance du Return-path pour les e-mails ciblés : Assurez-vous que le Return-path dans les en-têtes d'e-mail est correctement configuré pour recevoir les réponses et les erreurs de livraison.

Configuration SPF, DKIM et DMARC : Ces protocoles doivent être configurés correctement pour garantir l'authenticité et la légitimité de vos e-mails.

Timing et fréquence :

Certificats SSL valides : Assurez-vous que les domaines utilisés pour envoyer des e-mails ainsi que les liens inclus dans les e-mails disposent de certificats SSL valides pour garantir la sécurité et la légitimité.

Quantité de contenu HTML : Limitez la quantité de contenu HTML dans vos e-mails pour éviter d'être considéré comme du spam.

🚫 Éviter les listes noires :

Protection contre les moteurs de scan automatisés : Utilisez des techniques pour détecter et éviter la détection par les scanners automatiques et les passerelles de messagerie sécurisées (SEGs). -

  • Obfuscation des liens

  • Utilisation de services de redirection tiers : Utilisez des services de redirection tiers comme Bitly ou TinyURL pour masquer les URL réelles et rendre plus difficile la détection par les scanners automatisés.

Hébergement des pièces jointes malveillantes : Si vous devez inclure des pièces jointes, assurez-vous de les héberger sur des domaines à haute réputation (Google Drive, Dropbox ou Microsoft OneDrive) ou sur votre propre domaine personnalisé(certificat SSL valide, https) et envoyé le lien du fichier.

Redirections 301/302 vers des domaines à haute réputation : Si vous utilisez des redirections, assurez-vous qu'elles pointent vers des domaines légitimes et de confiance.

🌍 Conseil sur le domaine

Les domaines expirés sont souvent utilisés pour le phishing car ils peuvent sembler légitimes aux victimes en raison de leur historique et de leur ancienneté

✒️ (Typo squatting

  • alternative TLD : les TLD sont les .com ect..., choisir un TLD different du site que l'on veut usurper peut être interressant pour ressemble au vrai nom de domaine.

  • Utiliser des caractères spéciale

Voici un outil qui aide à faire du Typo squatting en utilisant les methodes d'alternative TLD et d'homographie :

LogoGitHub - elceef/dnstwist: Domain name permutation engine for detecting homograph phishing attacks, typo squatting, and brand impersonationGitHub

📧 Rédaction du mail :

Adresse de l'Expéditeur :

  • Idéalement, utilisez une adresse de domaine qui imite une grande marque, un contact connu ou un collègue. Utilisez l'OSINT pour trouver des informations sur les marques ou les contacts avec lesquels la victime interagit.

Objet du Mail :

  • Choisissez un sujet urgent, inquiétant ou intriguant pour inciter la victime à ouvrir le mail rapidement. Par exemple : "Votre compte a été compromis" ou "Vos photos ont été publiées".

Contenu du Mail :

  • Si vous imitez une marque ou un fournisseur, recherchez leurs modèles d'e-mail standard et leur identité visuelle (style, logo, images, etc.) pour rendre votre contenu similaire. Si vous imitez un contact ou un collègue, étudiez leur style d'écriture et leur signature d'e-mail pour une meilleure imitation.

Liens Malveillants :

  • Si vous utilisez un site web frauduleux pour collecter des données ou distribuer des logiciels malveillants, masquez les liens en utilisant un texte d'ancrage tel que "Cliquez ici" ou en le rendant semblable à un lien légitime. Par exemple :

  • <a href="http://sitetransformé.hck">Cliquez ici</a>

  • <a href="http://sitetransformé.hck">https://banqueenligne.thm</a>

💌 Exemple de campagne de phishing résumé

LogoRed Team Techniques: Gaining access on an external engagement through spear-phishingSublime Thoughts
PreviousLivraisonNextGoPhish

Last updated