De nombreux hacks réussis commencent par une publication sans méfiance sur les réseaux sociaux.
Il est courant que les gens publient des photos et des vidéos de leur vie quotidienne sur leurs profils de médias sociaux, mais un tel contenu généré par les utilisateurs peut poser des problèmes de sécurité majeurs. Les médias sociaux sont parfaits pour recueillir des informations sur les gens. Voici comment les pirates recueillent et exploitent précisément ces informations.
La collecte de renseignements est la première étape du piratage
La première chose que font les pirates avant d'attaquer un système est de recueillir des informations. Parfois, ce processus peut prendre des minutes, des heures, des mois ou des années. Cette période varie en fonction de la capacité du système cible, du nombre d'employés, de la taille de l'attaque et des mesures défensives. Le but ici est d'identifier toutes les faiblesses du système cible et de créer une stratégie d'attaque.
Par exemple, imaginez une personne dont le nom d'utilisateur Instagram est
utilisateurvictime a un e-mail d'entreprise avec l'extension exemple.com, et ils ont acheté un billet d'avion pour partir en voyage d'affaires à l'étranger. Il s'avère que victimuser est très excité à ce sujet et décide de télécharger une photo pour partager l'excitation avec ses abonnés et ses amis sur Instagram. Sur cette photo téléchargée par l'utilisateur victime, on peut voir une certaine partie du billet d'avion. Oh oh. C'est une information très utile pour un pirate informatique.Bien que l'intégralité du billet d'avion ne soit pas visible sur la photo partagée par l'utilisateur victime, puisque le billet de chaque compagnie est différent, le pirate peut comprendre à quelle compagnie appartient ce billet. Ensuite, le pirate lira la description sous la photo. Si victimuser a partagé la date et l'heure du vol, le travail du pirate sera plus facile. Mais même si ces informations ne sont pas accessibles au public, le pirate peut se faire passer pour un client, accéder au site Web officiel de la compagnie aérienne et examiner les plans de vol. Cela signifie que les pirates peuvent prédire le jour et l'heure du vol appartenant à l'utilisateur victime.
À ce stade, le pirate commence à réfléchir aux vecteurs d'attaque tandis que l'utilisateur victime continue de penser qu'il publie un message innocent.
En utilisant la puissance de Google, le pirate commence à rechercher les billets de la compagnie aérienne appris de l'utilisateur victime. Ensuite, la première étape que le pirate prendra est faire Google doking.
Avec Google Dorking, vous pouvez rechercher des extensions de fichiers spécifiques sur un site donné. Dans ce cas, le pirate recherche les fichiers PDF de la compagnie aérienne de l'utilisateur victime. Le pirate télécharge ce fichier PDF et le manipule pour répondre à ses besoins.
Certains pirates trompent et escroquent les utilisateurs cibles par un processus connu sous le nom d'ingénierie sociale. À ce stade, le pirate créera une adresse e-mail réaliste et le corps du texte qui l'accompagne. Ils peuvent ensuite joindre un fichier PDF modifié contenant des logiciels malveillants. Si l'utilisateur victime ouvre cet e-mail, le pirate a atteint son objectif.
Si le pirate connaît l'heure et le jour du vol de l'utilisateur victime, bien sûr, le faux e-mail sera beaucoup plus réaliste, mais la plupart du temps, cela peut même ne pas être nécessaire. S'il existe un système d'adhésion sur le site de la compagnie aérienne, le pirate peut devenir membre et recevoir un e-mail de la compagnie aérienne. Cela aidera le pirate à apprendre la mise en page et le style HTML de l'e-mail utilisé par la compagnie aérienne.
Après avoir préparé le faux e-mail, le pirate devra maintenant obtenir une adresse e-mail avec un domaine appartenant à la compagnie aérienne, mais cela est presque impossible à faire. C'est pourquoi le pirate prépare une fausse adresse e-mail de la compagnie aérienne. Ils peuvent mettre une adresse e-mail différente devant un compte de messagerie normal pour le masquer, et à moins que l'utilisateur cible ne clique sur cette adresse, ils ne voient pas la véritable adresse e-mail derrière. C'est une astuce facile à tomber.
Une fois que le pirate informatique a préparé une fausse adresse e-mail, il ne reste plus qu'une étape: trouver l'adresse e-mail de l'utilisateur victime. Le pirate peut se tourner vers l'option de mot de passe oublié pour cela.
Après l'option de mot de passe oublié, le pirate peut découvrir le nom de domaine de messagerie de l'utilisateur ciblé. Dans cet exemple, victimuser a un domaine nommé example.com et semble avoir une adresse e-mail comme v******[email protected]. Bien sûr, le pirate peut immédiatement comprendre que la partie marquée avec * est le nom d'utilisateur de l'utilisateur victime. Si ce n'était pas si simple, le pirate aurait pu chercher avec Google Dorking pour voir s'il existe d'autres adresses e-mail avec le domaine example.com. Cependant, le pirate dispose désormais de l'e-mail de l'utilisateur victime.
À quoi ressemblent les choses du point de vue de la victime
Un e-mail urgent arrive à victimuser, et cet e-mail est si convaincant que victimuser tombe dans ce piège. Après tout, cet e-mail contient le billet d'avion, les informations de vol et les politiques de vol importantes. De plus, l'adresse e-mail ressemble à l'adresse e-mail de la compagnie aérienne. Tout semble légitime.
De plus, étant donné que l'utilisateur victime effectuera ce vol pour un voyage d'affaires, il prend cet e-mail au sérieux. Au bas de l'e-mail, il y a un lien du type "documents à remplir pour effectuer vos procédures de vol". Dès que l'utilisateur victime clique sur ce lien, le pirate obtient ce qu'il recherche.
Que nous dit cette histoire?
La plupart d'entre nous ne sont pas différents de victimuser, et il est important d'en être conscient. L'erreur que l'utilisateur victime a commise dans cet exemple de scénario était de partager publiquement les informations du ticket, qui sont des informations personnelles et privées. Et voilà le truc: c'était une histoire vraie. Réfléchissez donc à deux fois avant de partager des informations liées à votre vie professionnelle ou personnelle.