Cloner un site avec SET sous Kali Linux (Social Engineering Toolkit)

By KrustyHack / a couple of years ago

SET Kali (Social Engineering Toolkit sous Kali Linux)

SET est un outil de Social Engineering, développé par TrustedSec, qui permet d’effectuer une multitude d’attaques de type ingénierie social. En clair, on vise les faiblesses de l’être humain afin de corrompre un système, des données, …

Lors d’une attaque de ce type, on joue beaucoup sur les émotions des gens, leur capacité à être naïfs, le fait qu’ils peuvent être heureux, tristes, impatients, … Par exemple, on sait que la plupart des hommes aiment les belles femmes, dans ce cas là si ma cible est un homme, je vais essayer de lui faire faire des actions stupides en l’appâtant avec des photos de jolies filles dans un email par exemple. Bon là l’exemple est basique, mais le principe reste le même pour tout ! Proposer de l’argent, des cadeaux, enfin plein de choses pour lesquels les gens sont souvent naïfs. Et je parle en connaissance de cause. Ca m’est déjà arrivé de me faire avoir ! :p

Nous verrons donc dans ce tutoriel qu’une partie de ce genre d’attaque: comment cloner un site cible avec SET sous Kali Linux afin de préparer une attaque de phishing par email. Pour ce tutoriel j’utilise Kali Linux et SET 6.3. Je pars donc du principe que vous avez déjà installé SET.

Si ce n’est pas encore fait, voilà la marche à suivre:

╭─root@krustyhack ~  
╰─➤ git clone https://github.com/trustedsec/social-engineer-toolkit/ set/

Préparation de l’attaque

On sélectionne l’option 1 (Social Engineering Attacks).

Sélection_021

Puis l’option 2 (Website Attack Vectors).

Sélection_022

On choisit ensuite l’attaque de type « Credential Harvester Attack Method » (numéro 3) car notre objectif est de récupérer les identifiants de nos cibles lors de leur connection à notre site cloné.

Sélection_023

On choisit la fonction Site Cloner afin que SET clone le site pour nous.

Sélection_025

Il faut ensuite renseigner l’ip du serveur qui va recevoir les infos du POST de notre faux formulaire. Mettez l’url de votre serveur, par exemple. Puis il faut renseigner l’url du site à cloner. Ici j’ai pris Facebook pour l’exemple.

Sélection_027

Et voilà, notre site cloné est prêt. Il vous suffit de vous rendre sur l’ip que l’on a fourni précédemment et voilà le résultat.

Sélection_028

Essayez de vous connecter via le formulaire et en même temps faites un tail -f du fichier .txt dans le répertoire /var/www/. Vous constaterez qu’une fois le bouton « Log in » cliqué, les identifiants que vous avez entrés vont s’afficher dans le fichier (ici sous l’intitulé email et pass):

╭─root@krustyhack /var/www 
╰─➤ tail -f harvester_2015-10-02\ 12\:08\:16.708617.txt
Array
(
    [lsd] => AVrM0Khj
    [display] => 
    [enable_profile_selector] => 
    [isprivate] => 
    [legacy_return] => 1
    [profile_selector_ids] => 
    [skip_api_login] => 
    [signed_next] => 
    [trynum] => 1
    [timezone] => -120
    [lgndim] => eyJ3IjoxOTIwLCJoIjoxMDgwLCJhdyI6MTkyMCwiYWgiOjEwNTQsImMiOjI0fQ==
    [lgnrnd] => 050816_HWlq
    [lgnjs] => 1443787724
    [email] => test
    [pass] => testpassword
    [persistent] => 1
    [default_persistent] => 0
    [qsstamp] => W1tbMzUsODQsODcsODgsOTgsMTAyLDExMCwxMzMsMTM0LDE3MywxOTIsMjA4LDIyMSwyNDgsMjU2LDI3MCwzMDEsMzAzLDMwNCwzNTQsMzY0LDM4Niw0MDgsNDUxLDQ1NSw0NzEsNDc1LDUwOCw1MTksNTIwLDUyNCw1NDAsNTUwLDU1Nyw1NjIsNTc0LDU4OCw1OTIsNTk5LDYxMiw2NDQsNzc3XV0sIkFabkI0Z3pZTmNOZUtrblNwcWpsLW9HTXZvU0VKZjQ2SWVJTU1oNjVnd0ZjN2VUbVNOaGp5U0VRempPU0RkVXNDRXRNZmJYV1IwUjZqU2UzRkl1MmdwRXlvUmE4RWZtSDFtN2xrY1NhaFU4VlpROUppSk5LUnJjZ2NyZzk3SlZZTGpjN0FnNWZteFdsdjUxOHByRWFXV0xVQWl4QTJOdzRWUlhGVGtNbGlfUzdOa0hMX0VwV0FOOU1Wa3JQcUxvWDZpdEJrdDlUaXNSWnVxSmVkMUJCQlJFcCJd
)

Et le petit bonus c’est que une fois le formulaire envoyé, l’utilisateur est directement renvoyé sur la vraie page de login de Facebook, lui faisant penser qu’il a mal tapé ses identifiants ! Il y a donc de fortes chances qu’il les retape et se connecte à Facebook ! Ni vu ni connu !

Pousser plus loin

Bon, cette démonstration (à titre exclusivement éducative), n’est pas complète car il reste tout le travail véritable du Social Engineering: faire croire à notre cible qu’elle est vraiment sur Facebook. Bah oui, vous devez sûrement vous dire que fournir l’adresse ip de notre serveur à notre cible n’est pas des plus discret ! Il nous faut donc trouver des moyens plus subtiles pour cacher cette hideuse ip pour encore mieux tromper notre cible. Mais ça, c’est à vous de le découvrir…

S’en protéger

La façon la plus simple pour vous éviter de vous faire avoir c’est de contrôler l’url de la page. Si vous êtes sûr une page Facebook mais que l’url est du genre « http://www.facebo0k.com », quelque-chose ne va pas. Evitez également de cliquer sur les liens présents dans les emails sans vérifier la provenance du mail. Une fois j’ai failli me faire avoir (comme quoi, ça arrive à tout le monde), tout ça parce que je n’ai pas réspecter ces règles. Je me suis retrouvé sur une page comme celle-ci:

Sélection_029

J’avais reçu un mail une semaine après mon rendez-vous à la CPAM, me disant que j’allais obtenir les remboursements que j’attendais (comme dit plus haut, les pirates savent ce qu’on aime pour se jouer de nous. Par contre, faudra m’expliquer comment, COMME PAR HASARD, je reçois un mail de phishing une semaine après ce dit rendez-vous… :/)! Etant fatigué et enfin content d’avoir ces remboursements, je n’ai même pas regardé la provenance du mail ni l’url sur laquelle j’ai cliquée comme un con (je sais, j’ai poussé loin, double erreur de débutant. Mais bon ça arrive)! Ce n’est qu’une fois le formulaire de connexion rempli et envoyé que je me suis rendu compte de l’arnaque. J’ai checké l’url du site et BIM, même pas une url camoufflée ou quoi ! Un vieux site polonais vérolé… Je me suis retrouvé à devoir changer tous mes mots de passe web, soit environ 2 heures de travail.

Alors faites attention et si jamais vous avez un doute, demandez autour de vous ! Demandez-vous comment vous êtes arrivé sur cette page. L’avez-vous tapée par vous-même, avez-vous cliqué sur un lien dans un email ou un forum, y a-t-il des fautes d’orthographes étranges sur la page ou dans l’email soit disant légitime, … beaucoup de facteurs peuvent vous permettre de vous protéger de ces attaques (phishing).

Sortez couverts !

10 comments

Leave a comment: