Fermer

novembre 12, 2019

Attaques par hameçonnage – Comment vos anciens mots de passe peuvent revenir pour vous mordre19 minutes de lecture

Configuration de SAML SSO avec Azure AD et Oracle EPBCS / PBCS


En tant que professionnel de la sécurité, je passe beaucoup de temps à faire prendre conscience de la nécessité d’une bonne hygiène des mots de passe et je commence à voir des progrès dans les efforts déployés pour déplacer les utilisateurs des mots de passe courts aux phrases secrètes plus longues. Cependant, même si nous nous orientons vers une meilleure sélection des mots de passe, la plupart des gens ne savent pas que leurs anciens mots de passe peuvent toujours constituer une menace, même après qu’ils ne sont plus utilisés. Dans cet article, je vais vous donner un aperçu détaillé d'une attaque par phishing que quelqu'un a utilisée contre moi – une attaque qui utilisait l'un de mes anciens mots de passe pour essayer de me déséquilibrer, créant ainsi le sentiment d'urgence nécessaire pour me tromper. tomber pour une arnaque. Je vais également déterminer le succès de cette campagne de phishing pour l'escroc.

En fin de soirée, à Halloween (sympa!), Un courrier électronique envoyé à l'un de mes comptes a attiré mon attention. La ligne d'objet de l'e-mail contenait une chaîne de caractères que je reconnaissais comme mon mot de passe actuel! Lorsque j'ai ouvert l'e-mail, j'ai également vu une pièce jointe au format PDF avec le même mot de passe incorporé dans le nom du fichier! Rien ne provoque plus d’adrénaline que de voir votre propre mot de passe en texte clair vous être envoyé par quelqu'un que vous ne connaissez pas.

 Capture d'écran d'un courrier électronique de phishing

Il est temps de faire preuve d'esprit critique. Oui, était mon mot de passe mais c’était aussi un ancien mot de passe – j’ai reconnu qu’il avait changé depuis longtemps. Étant donné que je ne réutilise pas les mots de passe sur tous mes comptes (et que vous ne devriez pas non plus, d'ailleurs), je savais de quel compte le mot de passe était issu. Pour vous aider à comprendre ce qui se passe ici, commençons par une petite histoire.

Tout le monde sait pertinemment qu'une multitude de grands sites Web ont été brisés au fil des ans, mais il ne s'agit que d'une abstraction pour la plupart des gens – vous pouvez sachez qu'un site a été «percé», mais qu'est-ce que cela signifie réellement?

Souvent, une «violation» signifie que des informations personnelles enregistrées sur un compte ont été volées, ce qui inclut souvent des informations sur les mots de passe, qu'il s'agisse des mots de passe eux-mêmes ou de mot de passe “ hashes ”qui peut être fissuré avec le temps. Dans de nombreux cas, les voleurs de données stockent les données volées, y compris vos mots de passe, sur un site Web non protégé ou une base de données en ligne. Celles-ci s'appellent décharges de mot de passe. Vous pouvez lire une bonne discussion sur les vidages de mot de passe dans cet article CSO Online .

Les vidages de mot de passe se produisent assez souvent pour que les consultants en sécurité aient collecté ces vidages et créé des outils de vérification du mot de passe autour d'eux. L'un de ces outils est « ont été inventés » par Troy Hunt. Avec cet outil, vous pouvez vérifier si votre nom d'utilisateur ou votre adresse électronique ont été trouvés quelque part dans un cliché du mot de passe. Vérifions cela.

 capture d'écran de haveibeenpwned.com

Oui, selon le site "haveibeenpwned", les comptes associés à mon adresse e-mail ont été “ pwned ”à plusieurs reprises dans diverses violations du site. En fait, on m'a demandé onze fois. Rappelez-vous cependant que nous réutilisons souvent la même adresse électronique pour de nombreux comptes. Alors de quel compte mon mot de passe a-t-il été volé? Ce site ne vous le dit pas directement, mais j’ai une très bonne idée basée sur le mot de passe contenu dans le courrier électronique. Faites défiler vers le bas pour voir si nous pouvons le trouver dans la liste.

 capture d’écran de haveibeenpwned.com

Voilà – LinkedIn est le coupable. Pas de problème pour moi cependant – LinkedIn a corrigé leur site web depuis longtemps, j'ai changé de mot de passe depuis longtemps et j'ai également ajouté une authentification à deux facteurs à mon compte (vous devriez aussi).

notre attaque – à ce stade, je suis assez confiant dans le fait qu'il s'agit d'une attaque de phishing personnalisée qui utilise mon ancien mot de passe pour m'effrayer et devenir vulnérable face à la partie ingénierie sociale de l'hameçonnage. Pensez-y simplement: si vous utilisiez toujours le même mot de passe pour un ou plusieurs de vos autres comptes, votre adrénaline serait toujours intense, n'est-ce pas? Examinons de plus près l’attaque.

Toutes les formations de sensibilisation au phishing se concentrent sur une liste de drapeaux rouges à rechercher lorsque vous ouvrez et lisez de nouveaux courriels. Mais contrairement à la formation de sensibilisation générique, j’ai un véritable courriel de phishing que nous pouvons sélectionner et analyser. Jetons un coup d'œil à cet e-mail pour voir si nous pouvons identifier l'un de ces drapeaux rouges.

 capture d'écran annotée d'un courriel de phishing

En regardant le courriel, je peux voir. un certain nombre de drapeaux rouges:

  • La partie du nom descriptif de l'adresse de courrier électronique «De», «Nanette Buka», ne correspond pas à l'adresse de messagerie réelle figurant dans le champ «De» du courrier électronique. Bien que cela ne soit pas tout à fait inhabituel pour un courrier électronique personnel, cela est rare dans les contextes professionnels. Par exemple, si le nom de votre directeur financier est «John Smithson», je m'attendrais à voir «john.smithson @ mycompany.com» dans le champ De, et non «rdaxxxyyzz @ unrelated.fakesite.com».
  • My old but Le mot de passe actuel est dans la ligne d'objet, avec un nom d'utilisateur potentiellement réel. C’est là un drapeau rouge effrayant. Notez également que la ligne d’objet n’a pas vraiment de signification ni de relation contextuelle avec ce que je pourrais faire ou savoir. De plus, assurez-vous toujours que l'objet contient le sujet de l'email lorsque vous envoyez un e-mail. N'utilisez pas de phrases ambiguës brèves telles que «suivi» ou «facture jointe». Traitez la ligne d'objet comme un très court tweet – donnez-lui un sens.
  • Il y a une faute d'orthographe évidente («mot de passe») dans un mot bien en évidence, et «mot de passe» n'est presque jamais orthographié de manière incorrecte dans un vrai courrier électronique. 19659017] Il y a une citation de Mark Twain dans le corps du courrier électronique. Cette citation n’est pas fausse du point de vue de la langue anglaise, mais elle est complètement hors contexte ici. J'imagine qu'il est conçu pour aider le courrier électronique à vaincre le spam et d'autres filtres de protection.
  • Enfin, il existe une pièce jointe conçue pour que l'ingénieur social m'ouvre afin de l'ouvrir. C’est un PDF, cela n’est pas mentionné dans le corps de l’e-mail, et le nom du fichier contient mon mot de passe, bon sang!

Pour l’instant, cela ressemble vraiment à un e-mail de phishing. Cependant, il manque la seule chose essentielle à un phishing typique: un appel urgent à l’action. Un appel urgent à l'action est un message ou une déclaration dans lequel l'auteur souhaite que vous fassiez quelque chose, mais vous n'avez pas beaucoup de temps pour le faire, et quelque chose de mal va vous arriver si vous ne le faites pas rapidement.

l'e-mail contient cette pièce jointe au format PDF, et nous ne l'avons pas encore explorée. Mon mot de passe est dans le nom du fichier, j’ai été socialement conçu et je veux vraiment vraiment l’ouvrir. Est-ce une bonne idée?

L’ouverture d’un fichier PDF non approuvé n’est jamais une bonne idée. Pourquoi exactement?

De par sa conception, le format de fichier PDF est conçu pour prendre en charge le comportement interactif. Outre les images et le texte que vous voyez normalement, les structures internes d'un PDF peuvent également inclure du javascript qui peut être exécuté lorsqu'il est déclenché par diverses actions définies par l'auteur. Dans la pièce jointe de mon courrier électronique, il est certainement possible que le fichier contienne du code javascript qui sera exécuté une fois que je l’aurai ouvert et parcouru, et que le code javascript contienne des logiciels malveillants. Pour cette raison, je ne souhaite absolument pas ouvrir le fichier normalement, j’ai besoin de l’analyser d’une autre manière.

Utilisons l’utilitaire linux peepdf pour examiner en toute sécurité les éléments internes du fichier PDF. Je vais exécuter l'utilitaire peepdf en mode interactif pour pouvoir parcourir l'intérieur du fichier.

 capture d'écran de la ligne de commande peepdf

La première fois que j'ouvre le fichier avec l'utilitaire peepdf, cela me donne un message d'erreur indiquant que le contenu du fichier PDF est crypté et que le mot de passe par défaut utilisé par l'utilitaire ne fonctionne pas avec mon fichier. L'auteur utilisait probablement le cryptage pour empêcher les filtres anti-spam et l'antivirus de fichiers de capturer et de bloquer le fichier. Pas de soucis, c'est probablement pour cette raison que l'email contient un «mot de passe»!

Puisque nous sommes toujours dans l'utilitaire peepdf, utilisons la commande decrypt avec le mot de passe fourni dans le corps de l'email.

 capture d'écran de la ligne de commande peepdf

Bien. Nous pouvons maintenant parcourir facilement les structures de données PDF pour voir ce qui s'y trouve. Utilisons la commande tree pour lister «l'arborescence» des structures de données de contenu.

 capture d'écran de la ligne de commande peepdf

La commande tree nous montre qu'il y a cinq contenus différents. ruisseaux. Les flux 12 et 15 contiennent des packages de polices et les flux 8, 9 et 7 sont des flux de contenu au niveau de la page qui nécessitent un examen plus approfondi. Examinons chacun de ces trois flux.

 capture d'écran de la ligne de commande peepdf

La commande "stream" vide le contenu interprété pour le numéro de flux souhaité. examiner. Comme vu ci-dessus, le flux 8 contient de nombreux blocs de flux de commandes postscript décrivant comment les blocs de texte codés doivent être restitués. Ces commandes postscript seront rendues sous forme de texte lisible sur la page par votre application de lecteur de PDF. Cela indique donc que notre fichier PDF comportera des sections de texte que nous pourrons lire. Continuons et jetons un coup d’œil au flux 9.

 capture d’écran de la ligne de commande peepdf

Le flux 9 semble être un flux vide – la longueur du flux est égale à zéro. Regardons notre flux final.

 capture d'écran de la ligne de commande peepdf

Le flux 7 contient une sorte de données binaires, mais nous ne pouvons pas savoir ce que le flux contient. sans regarder des métadonnées supplémentaires. Utilisons la commande “info” pour nous aider à comprendre cela. La commande info examine les métadonnées au niveau de l'objet descriptif pour l'objet stream. Nous allons donc utiliser cette commande pour vider les métadonnées du flux 7.

 capture d'écran de la ligne de commande peepdf

La sortie de la commande info nous indique que le flux 7 contient une image. Utilisons donc la commande "object" pour afficher des informations descriptives supplémentaires sur l'image.

 capture d'écran de la ligne de commande peepdf

Selon le résultat de la commande object, le L'image est une image en niveaux de gris non interpolée 200 × 200 avec un bit par pixel. En d’autres termes, une image très simple 200 x 200 en noir et blanc. Utilisons un autre utilitaire – pdfimages – pour l'extraire.

Je commencerai par l'option «liste» de pdfimages pour générer une liste de toutes les images qu'il peut trouver dans le fichier PDF. J'utiliserai également l'option «upw» pour fournir le mot de passe de l'utilisateur nécessaire pour décrypter le fichier. D'après notre précédent travail avec l'utilitaire peepdf, je ne m'attends qu'à voir la seule image que nous avons vue dans le flux 7.

 capture d'écran de la ligne de commande pdfimages

Effectivement, l’option «liste» de pdfimages a confirmé que nous possédions une seule image 200 × 200 et elle a été trouvée dans l’objet 7. Je me suis immédiatement tourné de nouveau vers l’utilitaire pdfimages sans l’option «list» pour extraire l’image. Il s'avère que l'image est une image de type PBM, qui est un format d'image tramée indépendant de la plate-forme.

Maintenant que j'ai l'image extraite dans un fichier image séparé, vous pouvez l'ouvrir en toute sécurité dans une visionneuse d'images. voyez ce que c'est (j'espère que c'est «sûr pour le travail»).

 capture d'écran de l'image du code QR extraite

Aha! L'image est un code QR standard. Oui, je suis curieux de connaître les données contenues dans le code QR, mais il n’ya aucun moyen que je l’ouvre avec l’appareil photo de mon téléphone pour "voir où il se trouve". Le moyen le plus sûr d’analyser les codes QR consiste à utiliser un utilitaire local ou en ligne pour décoder le code QR sans autre action automatique. Dans ce cas, je vais télécharger le fichier image de code QR dans le décodeur ZXing en ligne pour voir ce qu’il contient.

 capture d’écran du site ZXing Decoder Online

Après avoir téléchargé le fichier image, le décodeur en ligne ZXing renvoie les résultats suivants:

 capture d'écran du code QR décodé

Ainsi, les données du code QR le code n'est pas une URL pour un site Web – c'est une simple chaîne de texte alphanumérique.

Que savons-nous jusqu'à présent?

  • Le fichier PDF contient du texte et un code QR autre que l'URL
  • . tout élément interactif, tel que javascript, susceptible de contenir des logiciels malveillants avec des déclencheurs et des actions permettant de l'exécuter

. Ce fichier PDF devrait être protégé sans danger. Je vais le faire sur ma machine virtuelle pour éviter toute surprise. Voici une capture d'écran du fichier PDF rendu:

 capture d'écran de l'hameçonnage PDF

Nous avons donc maintenant notre appel urgent à l'action de phishing – Si je n'envoie pas 1 000 $ dans bitcoin à l'adresse bitcoin fournie, alors quelque chose de grave va m'arriver. Bien sûr, aucune des affirmations du fichier PDF n’est vraie, aussi je peux donc ignorer et supprimer le fichier en toute sécurité.

Maintenant, normalement, on peut se demander comment les personnes intelligentes pourraient tomber pour ce type d’escroquerie – c’est juste trop scandaleux, non? Eh bien, il s'avère que les gens peuvent vraiment tomber amoureux de cela.

La «blockchain» est une implémentation logicielle d'un grand livre comptable. Une blockchain présente ces caractéristiques approximatives selon le département américain de la Sécurité intérieure :

  • Le registre est transparent et vérifiable par la communauté dans une base de données ouverte et partagée
  • . Chaque entrée dans le registre (pensez aux dépôts, retraits, etc.) .) forme un nouveau bloc dans le registre
  • En tant que base de données partagée, synchronisée et géographiquement distribuée, sans stockage de données centralisé, le système est conçu pour supprimer le risque de «point de défaillance unique» (y compris un dysfonctionnement technique et une modification malveillante) présente dans de nombreux autres systèmes
  • Les transactions historiques d'une unité spécifique de monnaie (ou de données) depuis son introduction dans le système jusqu'à une date précise, pouvant être effectuées et vérifiées par plusieurs utilisateurs indépendants
  • une «chaîne» ininterrompue qui fait office de piste de papier numérique visible

Le bitcoin, comme la plupart des monnaies virtuelles, utilise une chaine de blocs pour maintenir la comptabilisation des bitcoins eux-mêmes, Etant donné la nature ouverte, visible et transparente de la blockchain bitcoin, tout le monde peut voir l’historique des transactions pour n’importe quelle adresse bitcoin!

Profitons-en pour voir le compte bitcoin de l’escroc utilisant un outil de recherche en ligne. Si quelqu'un craque pour cette arnaque, nous devrions voir les dépôts de bitcoins correspondants dans le grand livre.

Commencez par comprendre quelle doit être la taille de chaque transaction de phishing dans cette campagne. À l'époque où j'ai effectué cette recherche, le calculateur de monnaie de Google a révélé que 1 000 dollars US équivaut approximativement à 0,11 bitcoin. Toute personne qui tomberait pour l’escroquerie ferait des dépôts d’environ 0,11 bitcoin.

 capture d’écran montrant la conversion de 1 000 $ en bitcoin

Les transactions de tout compte en bitcoins sont publiques Il existe plusieurs sites Web avec des outils en ligne qui peuvent être utilisés pour les afficher. Utilisons le site de BitRef.com pour afficher les transactions effectuées pour le compte de notre arnaqueur.

 capture d'écran du solde du compte bitcoin

Il existe quatre dépôts pour le compte. Trois des gisements se situant dans les environs de 0,11 bitcoin, il semble donc que trois âmes malheureuses aient été victimes de l’escroquerie. Il y a un quatrième dépôt d'environ la moitié des 0,11 bitcoins requis, donc peut-être une quatrième personne a-t-elle été escroquée, et cette personne se croise les doigts en espérant que 500 $ US suffiront.

Tout compte fait, le solde du compte s'élève à 0,37760798 bitcoin . reconvertissons cette somme en dollars américains pour voir combien d'argent le fraudeur a gagné dans sa campagne d'hameçonnage.

[captured'écrandelaconversiondusoldeenbitcoinsendollars » width= »624″ height= »318″ data-recalc-dims= »1″/>

À partir du 4 novembre, notre fraudeur a gagné environ 3 566 dollars grâce à cette campagne de phishing. Après vérification, le 10 novembre, aucune autre transaction n'avait été enregistrée. Le nombre de bitcoins dans le compte était donc toujours le même. La valeur du bitcoin par rapport au dollar américain a légèrement diminué au cours de ces quelques jours, de sorte que la valeur du bitcoin du compte est tombée à 3 427 $.

Cette attaque par hameçonnage rappelait bien l'environnement de menace complexe que représente Internet, et il n'y a pas de solution miracle qui puisse vous protéger. Voici quelques moyens d'éviter les ennuis:

  • Ne réutilisez jamais les mots de passe. Assurez-vous que vous utilisez un mot de passe unique pour chaque compte qui en nécessite un. Si vous ne le faites pas, une infraction sur le «site Web A» peut mettre votre mot de passe à la disposition des criminels qui le tenteront sur d'autres comptes. Par exemple, si vous réutilisez un mot de passe particulier dans un magasin en ligne qui est par la suite enfreint, un criminel peut essayer le même mot de passe sur votre compte bancaire en ligne, votre compte professionnel, votre compte de commerce électronique, etc. Embrassez votre argent au revoir si vous avez réutilisé votre mot de passe
  • Définissez votre mot de passe court mais aléatoire pour une longue phrase secrète de quatre mots ou plus. Les mots de passe courts, disons 12 caractères ou moins, peuvent être déchiffrés assez rapidement, même s’ils ne sont que des chaînes de caractères aléatoires non intelligibles. Les mots de passe longs, disons 20 caractères ou plus, sont beaucoup plus difficiles à déchiffrer.
  • Pour appuyer les deux premiers points ci-dessus, utilisez une application appelée " password safe ". Vous laissez l'application gérer tous vos mots de passe. Vous devez donc vous souvenir du mot de passe du coffre-fort. Les mots de passe résident dans une banque de données cryptée qui peut être synchronisée sur tous vos appareils.
  • Utilisez l'authentification à deux facteurs (2FA) pour chaque compte Web qui la propose.
  • Faites attention à votre entreprise formation obligatoire sur la sensibilisation au phishing! Si vous recevez l'un de ces courriels, résistez à l'envie d'ouvrir les pièces jointes et informez votre centre d'assistance informatique. Ne vous inquiétez pas – ils apprécieront le fait que vous soyez attentif.
  • Si vous recevez un courrier électronique de votre PDG de votre directeur financier ou de toute autre personne de la direction, et que cette personne vous demande de transférer votre poste. grandes sommes d’argent, modification des informations de compte ou toute autre action ayant des conséquences financières, veuillez confirmer votre demande par un appel personnel avant de faire quoi que ce soit. Et rappelez-vous, dans la réalité, votre PDG ne vous demandera probablement jamais d'acheter une série de cartes-cadeaux dans les deux heures à venir pour cet important client…
  • Si quelqu'un vous demande de payer pour quelque chose avec de la monnaie numérique, des cartes-cadeaux, ou d’autres méthodes de paiement non traditionnelles, réfléchissez-y à deux fois. À moins que cela ne soit normal pour vous, cela est probablement associé à une arnaque.
  • Assurez-vous d'utiliser un programme antivirus sur votre ordinateur personnel (y compris les Mac) et maintenez-le à jour.

Comment éviter d'être piraté après les données violations: https://www.intego.com/mac-security-blog/how-to-avoid-getting-hacked-after-data-breaches/

Sensibilisation au phishing par SANS: https://www.sans.org/security-awareness-training/ouch-newsletter/2015/phishing[19459007HER/19659006RHApplicationdesactionsetdesscriptsauxfichiersPDF: https://helpx.adobe.com/acrobat /using/applying-actions-scripts-pdfs.html

PDF Format de fichier: Structure de base: https://resources.infosecinstitute.com/pdf-file-format-basic-structure/

Institut national des normes et de la technologie – Présentation de la technologie de la blockchain: https://nvlpubs.nist.gov/nistpubs/ir/2018/NIST.IR.8202.pdf



Source link