Social Engineering & Journal local
Auteur: Duality
Zine: Rafale #11

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
   ___________                                   
 @(_)-------(_)   BEEP BEEP            
@   /  ###  \     JE VEUX TON PASSWORD !    
@  |   ###   |    :)
@ @|_________|  
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Cela faisait quelques jours que j'avais dans l'idée de m'attaquer au site d'un 
journal de ma région... Le site ne laissant pas vraiment de place à des 
failles, ni le serveur sur lequel il était hebergé, le moyen le plus facile de 
récuperer les accès [admin/ftp] était simplement de les demander!  Je me suis 
donc atteler à cette tache...

Je fais donc un tour sur le site, je repere une page avec les divers moyens de 
contacter la société, il y a plusieurs départements, dont un qui semble 
interessant. Le departement informatique... Je releve les numéros et les noms. 
Je récupere des informations sur l'hebergeur. Pas mal d'infos même... En effet 
je vais tenter de me faire passer pour l'hebergeur qui heberge  le site du 
journal local, pour ne pas citer le vrai hoster nom appellons le CHRONOS... 
D'où l'interet de récuperer des informations, voici comment sur le brouillon 
j'ai posé le principe de l'attaque :

[ moi ]=> Daniel Ferrand (nom au pif ou pas), je travaille chez CHRONOS, au 
service d'assistance technique. Donc un personnage à l'aise au télephone,
très ouvert et commercial. Possède aussi un vocabulaire technique.
[lui]=> Administrateur du site du journal en question. Idiot ou non, homme ou 
femme, je n'en sais rien pour le moment. Je n'ai pas son numéro directe.
[objectif]=> récuperer les accès FTP.


Souhaitant me faire passer pour quelqu'un travaillant dans un service 
d'assistance technique, donc quelqu'un qui aide les utilisateurs etc, il me 
faut avoir un vocabulaire technique, une aisance au niveau de l'expression, 
être sympathique et energique. En bref être un bon commercial :p Ainsi le doute
sera inexistant chez la victime car elle se sentira face à un professionnel.

J'appelle donc le departement informatique, grâce au numéro relevé sur le site.

 Oui bonjour ici le departement informatique, Marion XYZ à l'appareil 
 Bonjour, je suis Daniel Ferrand, du service d'assitance technique de 
CHRONOS. Auriez vous quelques minutes à m'accorder? J'ai quelques informations 
à vous demander. 
 Heu oui, à propos de quoi? 
 Concernant l'hebergement du site VICTIME...
 Ha donc, ce n'est pas moi qui m'occupe de ca. 
 A qui dois-je alors m'adresser? 
 à Mr AZERTY 
 Y a t'il un numéro de telephone pour le joindre? 
 Oui oui, c'est 123456789. 
 D'accord je le contacterai, merci bien. Et excusez moi du dérangement, 
bonne journée. 
 Ce n'est rien. Bonne journée à vous aussi. Aurevoir.

Voilà je m'attendais à tomber ici directement sur l'administrateur du site, 
mais en fait non. Mais j'ai pu au moins récuperer son numéro de télephone. Je 
le contacte donc :

 Oui allô 
 Bonjour Mr, je suis Daniel Ferrand du service 
assistance technique chez CHRONOS. [on ne laisse pas Mr AZERTY répondre on 
enchaine]. Je vous appelle concernant l'hebergment du site VICTIME. Vous auriez 
quelques minutes à m'accorder? 
 Heu oui bien sûr. 
 Merci. Donc nous avons relevés plus tentatives de connections sur le FTP 
de VICTIME. Et à chacune de ses tentatives  l'identification n'a pas reussie. 
Alors soit vous avez perdu vos accès soit  quelqu'un tente de trouver les 
identifiants de votre site en faisant une attaque  de type Brute-Force. D'où 
mon appel. Avez vous toujours vos identifiants de connexion au FTP? 
 Heu oui oui. 
 D'accord donc ce serait une attaque... Dans ce cas là  je bloque l'accès 
au FTP pour cette adresse IP. Par mesure de sécurité pouvez-vous me rappeller 
vos identifiants FTP? 
 Heu oui attendez je vous dis ca... Donc c'est en utilisateur 
VICTIME et en mot de passe POIUYTROOT. 
 Ok ok donc ce sont bien les bons identifiants que vous avez là. Le 
probleme ne vient donc pas devous. [Tappe au PC] Je viens de bloquer l'IP qui 
tentait une intrusion sur votre compte FTP. Cependant si de votre côté vous 
avez des problèmes de connexion, normalement non mais on ne sait jamais, 
n'hésitez pas à nous recontacter. 
 C'est d'accord, je vous remercie. 
 C'est mon travail Mr. Voilà, Je vous souhaite une bonne journée. 
Aurevoir. 
 Merci, vous aussi. Aurevoir.

Et voilà les accès en poche je raccroche :) Ce type d'attaque par ingenierie 
sociale est facile à mettre en place, peu d'entreprise ont connaissance de ce 
vecteur d'attaque, elles savent qu'on peut pirater un réseau informatique dans 
le but de voler des données, mais pas qu'on puisse les appeller directement 
pour leur subtiliser les identifiants. Du culot, de l'aisance et quelques 
recherches preliminaires suffisent donc à subtiliser facilement des accès à une
société. Et tout cela de façon anonyme, soit en beige-boxant soit en se frayant 
un accès illégal sur un AP Wifi et en utilisant un IPBX piraté.

Et puis par la suite...Have fun ;)

duality --

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::