Le mail est le moyen de communication le plus utilisé, cela reste un moyen d'échange relativement bien sécurisé si l'on rajoute le chiffrement PGP, et surtout il est amené à quelques controverses ; il peut faire l'objet de manipulation de détournement grace à des jeux techniques très maitrisés.
La RED TEAM LGHM réalise régulièrement des tests de phishing en entreprise. Les clients souhaitent avoir des statistiques par exemple sur 10000 emails envoyés aux utilisateurs, combien ouvrent l'email, et combien ouvrent le PDF vérolé joint car on y injecte des malware innofensifs de tests en javascript. Pour que les victimes ouvrent l'email, il faut se faire passer pour un collègue à elle, ou un ami. Il faut "forger" l'email pour qu'il semble venir d'une source sure.
Une question? Posez-la ici
Testons si vos employés sont vunlérables au fishing! Contactez-nous
Phishing avec Mailcrafter
Je ne rentrerais pas trop dans chaque détails de la compilation du mail et des différents atouts que cela peut engendrer ; mais voici quelques exemples vu en entreprise , d'un forensic email ; que j'ai personnellement préparé.
Le message est dans la boîte de récéption du client, avant qu'eil atteigne le Postfix, le serveur d'email, ou MTA, Postfix par exemple.
La technologie moderne avance à pas de géant , et les anciennes trouvailles permettent toujours de faire ces petits tours de passe passe ( en ayant suffisament d'imagination)
Il faut l' Original du mail
Forensic email: analyse du code source , code review
Grace à l'analyse de code source, nous allons obtenir beaucoup d'informations. Des fois nous y découvrons des virus, malwares...
From - Sat Jan 13 13:54:50 2007
X-UIDL: 124.1168692871
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Received: from smtp12.orange.fr (smtp12.orange.fr [193.252.22.20]) <--- ????
by relay-8v.club-internet.fr (Postfix) with ESMTP id E4F8325616
for <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;; Sat, 13 Jan 2007 13:54:30 +0100 (CET)
Received: from John (ATuileries-152-1-3-27.w82-123.abo.wanadoo.fr [82.123.34.27])
by mwinf1209.orange.fr (SMTP Server) with SMTP id 417681C00096
for <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;; Sat, 13 Jan 2007 13:54:29 +0100 (CET)
X-ME-UUID: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Date: 13 Dec 2004 13:54:34
From: John Doe <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.; ok
Reply-To: <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.; <--- marrant non ;))
Subject:
To: sebi <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
User-Agent: Microsoft Exchange
X-Mailer: Outlook Express 6.0
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
X-Priority: 3
Message-Id: <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
Status:
X-Mmail: \Recent
X-M-Uid: 124.1168692871
X-Antivirus: AVG for E-mail 7.1.410 [268.16.9/622]
Mime-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=iso-8859-1
re coucou
Les headers :
Subject:
From : John Doe <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
Reply-To: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
To :sebi <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
J'en passe quelques uns
Received: from John (ATuileries-152-1-3-27.w82-123.abo.wanadoo.fr[82.123.34.27])by mwinf1209.orange.fr(SMTP Server)
with SMTP id 417681C00096 for <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;;Sat, 13 Jan 2007 13:54:29 +0100(CET)
X-ME-UUID:Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Message-Id: <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
De : Service clientèle XXX <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
Envoyé : mardi 2 août 2005 15:24:07
À : <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.;
Objet : Redéfinissez votre mot de passe Microsoft Passport Network
Bonjour Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.,
Vous avez récemment demandé de redéfinir votre mot de passe Microsoft Passport
Network par messagerie électronique. Suivez les instructions ci-dessous pour
redéfinir votre mot de passe ou annuler votre demande de redéfinition.
POUR REDÉFINIR VOTRE MOT DE PASSE :
1. Sélectionnez et copiez l'adresse Internet suivante.
2. Ouvrez un navigateur, collez le lien dans la barre d'adresses, puis appuyez
sur la touche Entrée ou Retour de votre clavier.
SI VOUS N'AVEZ PAS DEMANDÉ À REDÉFINIR VOTRE MOT DE PASSE :
1. Sélectionnez et copiez l'adresse Internet suivante.
2. Ouvrez un navigateur, collez le lien dans la barre d'adresses, puis appuyez
sur la touche Entrée ou Retour de votre clavier.
Merci.
Service clientèle Microsoft Passport Network
REMARQUE :
Ne répondez pas à ce message. Il a été envoyé à partir d'une adresse de
messagerie non contrôlée. Les messages envoyés à cette adresse resteront sans
réponse.
Une question? Posez-la ici
Testons si vos employés sont vunlérables au fishing! Contactez-nous
Phishing: quelques exemples d'emails forgés avec un script ruby tester
( c'est ancien mais kali fait des miracles maintenant)
# A Ruby script for spoofing mail directly to the destination's SMTP server.
# https://defuse.ca/email-spoofing-in-ruby.htm
Le SPF (Sender Policy Framework) et le DKIM sont un passage obligé.
# This code is in the public domain. Do whatever you want with it.
#
# Usage: mailspoof.rb <options>
# -t, --to ADDRESS Send mail to this email address
# -f, --from ADDRESS Send mail from this email address
# -s, --subject SUBJECT Mail subject
# -m, --mail FILE File containing email message
# -i, --ignore-spf Ignore SPF records
# -u, --user-agent AGENT User agent string
# -o, --organization ORG From organization name
# -n, --human-name NAME From human name
# -h, --help Display this screen
#
# Example:
# ruby mailspoof.rb --to Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.' --from 'Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.' \
# --subject 'Test spoofed email' \
# --organization 'Federal Bureau of Investigation' \
# --human-name 'FBI' --mail email_body.txt
Phishing d'emails avec sendemail tool et Smtp2go
à partir d'une machine Kali ou de n'importe quelle machine linux après avoir installer sendemail package, utiliser l'outil sendemail :
# sendemail
# sendemail -f Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. -t Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. -u Votre mot de passe a été compromis -m Suite à une tentative frauduleuse, votre mot de passe a été compromis. Afin de respecter la reglementation de notre site, vous êtes invité à changer votre mot de passe, sinon, pour des raisons de sécurité votre compte sera cloturé. ici le lien pour la réinitialisation de mot de passe. Cordialement -s mail.smtp2go.com:2525 -xu mailUtiliséPourCréCette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. -xp motDePasseSmtp2go
Entreprises, besoin de tester si vos employés sont vunlérables au fishing? Contactez-nous