Aller au contenu

Aller plus loin dans le phishing

Pour rendre une attaque plus crédible, une habitude des hackers est d’utiliser l’ingénierie sociale afin d’usurper l’identité d’un expéditeur de confiance. Dans mon exemple, je vais montrer comment imiter une alerte de connexion bloquée au compte Google.

Dans un premier temps je vais extraire l’HTML du mail de Google pour déterminer où sont les liens, pour les remplacer par mes liens phishing.

Voici à quoi ressemble le mail dans sa forme finale, et son HTML.

Capture décran 2021 11 24 à 08.50.43

À partir d’une visionneuse d’HTML en ligne, on peut voir ce que l’on modifie en temps réel et cela rends la tache beaucoup plus facile pour quelqu’un qui n’aurait pas de notions en HTML.

Pour récuperer le code d’un mail afin de pouvoir le modifier, il faut avant toute chose en faire un template. J’ai lachement utilisé une extension chrome  (cloudHQ) qui permet de faire 3 templates de mail dans sa version gratuite. Ce sera largement suffisant pour se faire un masque, voici à quoi ressemble mon mail. Je vais mettre en évidence les endroits ou j’ai modifié les liens. 

<div>
    <div>&nbsp;</div>
  </div>
  <style>.awl a {color: #FFFFFF; text-decoration: none;} .abml a {color: #000000; font-family: Roboto-Medium,Helvetica,Arial,sans-serif; font-weight: bold; text-decoration: none;} .adgl a {color: rgba(0, 0, 0, 0.87); text-decoration: none;} .afal a {color: #b0b0b0; text-decoration: none;} @media screen and (min-width: 600px) {.v2sp {padding: 6px 30px 0px;} .v2rsp {padding: 0px 10px;}} @media screen and (min-width: 600px) {.mdv2rw {padding: 40px 40px;}}</style>
  <div>
    <table lang="en" style="min-width: 348px;" border="0" width="100%" cellspacing="0" cellpadding="0">
      <tbody>
        <tr style="height: 32px;">
          <td>&nbsp;</td>
        </tr>
        <tr align="center">
          <td>
            <div>
              <div>
                <div>&nbsp;</div>
              </div>
            </div>
            <div>
              <div>
                <div>&nbsp;</div>
              </div>
            </div>
            <div>
              <div>&nbsp;</div>
            </div>
            <table style="padding-bottom: 20px; max-width: 516px; min-width: 220px;" border="0" cellspacing="0" cellpadding="0">
              <tbody>
                <tr>
                  <td style="width: 8px;" width="8">&nbsp;</td>
                  <td>
                    <div style="background-color: #f5f5f5; direction: ltr; padding: 16px; margin-bottom: 8px;">
                      <table border="0" width="100%" cellspacing="0" cellpadding="0">
                        <tbody>
                          <tr>
                            <td style="vertical-align: top;">
                              <img src="https://www.gstatic.com/accountalerts/email/Icon_recovery_x2_20_20.png" height="20">
                            </td>
                            <td style="width: 13px;" width="13">&nbsp;</td>
                            <td style="direction: ltr;">
                              <span style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; font-size: 13px; color: rgba(0,0,0,0.54); line-height: 1.6;">Ceci est une copie d'une alerte de sécurité envoyée à 
                                <a style="text-decoration: none; color: rgba(0,0,0,0.87);">[email protected]</a>. 
                                <a style="text-decoration: none; color: rgba(0,0,0,0.87);">[email protected]</a> est l'adresse e-mail de récupération de ce compte.
                              </span> 
                              <span style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; font-size: 13px; color: rgba(0,0,0,0.54); line-height: 1.6;">Si vous ne reconnaissez pas ce compte, 
                                <a href="http://129.2.32.38" data-meta-key="disavow" style="text-decoration: none; color: #4285f4;" target="_blank" rel="noopener">dissociez-le</a>.
                              </span>
                            </td>
                          </tr>
                        </tbody>
                      </table>
                    </div>
                    <div class="mdv2rw" style="border-radius: 8px; padding: 40px 20px; border: thin solid #dadce0;" align="center">
                      <img style="margin-bottom: 16px;" src="https://www.gstatic.com/images/branding/googlelogo/2x/googlelogo_color_74x24dp.png" alt="Google" width="74" height="24" aria-hidden="true">
                      <div style="font-family: 'Google Sans',Roboto,RobotoDraft,Helvetica,Arial,sans-serif; border-bottom: thin solid #dadce0; color: rgba(0,0,0,0.87); line-height: 32px; padding-bottom: 24px; text-align: center; word-break: break-word;">
                        <div style="text-align: center; padding-bottom: 16px; line-height: 0;">
                          <img src="https://www.gstatic.com/images/icons/material/system/2x/error_red_36dp.png" height="33">
                        </div>
                        <div style="font-size: 24px;">Tentative de connexion&nbsp;bloquée</div>
                        <table style="margin-top: 8px;" align="center">
                      <div style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; font-size: 14px; color: rgba(0,0,0,0.87); line-height: 20px; padding-top: 20px; text-align: left;">Quelqu'un vient de saisir votre mot de passe pour tenter de se connecter à votre compte. Nous l'avons bloqué, mais nous vous conseillons de vérifier ce qui s'est passé.
                        <div style="padding-top: 32px; text-align: center;">
                          <a href="http://129.2.32.38/" target="_blank" link-id="main-button-link" style="font-family: 'Google Sans',Roboto,RobotoDraft,Helvetica,Arial,sans-serif; line-height: 16px; color: #ffffff; font-weight: 400; text-decoration: none; font-size: 14px; display: inline-block; padding: 10px 24px; background-color: #d94235; border-radius: 5px; min-width: 90px;" rel="noopener">Consulter l'activité</a>
                      </div>
                      <div style="padding-top: 20px; font-size: 12px; line-height: 16px; color: #5f6368; letter-spacing: 0.3px; text-align: center;">Vous pouvez aussi voir l'activité liée à la sécurité de votre compte ici&nbsp;: 
                        <br>
                        <a href="http://129.2.32.38" data-meta-key="disavow" style="text-decoration: none; color: #4285f4;" target="_blank" rel="noopener">Voir l'activité du compte</a>.
                      </div>
                    </div>
                    <div style="text-align: left;">
                      <div style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; color: rgba(0,0,0,0.54); font-size: 11px; line-height: 18px; padding-top: 12px; text-align: center;">
                        <div>Cet e-mail vous a été envoyé pour vous informer de modifications importantes apportées à votre compte et aux services Google que vous utilisez.</div>
                        <div style="direction: ltr;">© 2021 Google Ireland Ltd., 
                          <a class="afal" style="font-family: Roboto-Regular,Helvetica,Arial,sans-serif; color: rgba(0,0,0,0.54); font-size: 11px; line-height: 18px; padding-top: 12px; text-align: center;">Gordon House, Barrow Street, Dublin 4, Ireland</a>
                        </div>
                      </div>
                    </div>
                  </td>
                  <td style="width: 8px;" width="8">&nbsp;</td>
                </tr>
              </tbody>
            </table>
          </td>
        </tr>
        <tr style="height: 32px;">
          <td>&nbsp;</td>
        </tr>
      </tbody>
    </table>
  </div>

J’ai utilisé Microsoft VSC pour éditer le texte plus facilement, en effet en surlignant une ligne (par exemple la balise <a href=> , on trouve plus facilement les liens à changer par les votre. On peut également changer les IP pour les images du mail et les remplacer par d’autre ou bien par l’adresse de la victime si l’on fait une attaque ciblée. 

Quand le résultat vous plait et que les IP fonctionnent correctement, il ne suffit plus qu’a envoyer votre mail via setoolkit sur Kali Linux par exemple, tout simplement en choisissant l’envoi en HTML, et en copiant votre code directement. L’envoi de mails en HTML par un serveur SMTP est un peu plus long qu’un envoi en plain text, mais il finit quand même par arriver dans la boite de reception. 

image 20211118 150643 1