[TUTO] Social Engineering de A à Z


 
Poster un nouveau sujet   Répondre au sujet    OWN3D BY KrL Index du Forum -> French - Hacking -> Hacking tutorial
Sujet précédent :: Sujet suivant  
Auteur Message
XxViRuSxX
Invité

Hors ligne




MessagePosté le: Mar 6 Juil 2010 - 10:42    Sujet du message: [TUTO] Social Engineering de A à Z Répondre en citant

Le Social Engineering






Introduction - La manipulation:




Pourquoi sommes-nous manipulables ou manipulés ?
Pourquoi faisons-nous des choses qui vont à l'encontre de nos envies, de nos intérêts ?

C'est d'abord biologique. En effet nous avons tous été des bébés, et les bébés ont besoin des adultes pour survivre, pour se nourrir, pour se protéger. Ils ont besoin d'une "aide extérieure", sinon ils meurent. Il sont entièrement dépendants de ces aides. Et qui dit dépendants, dit soumis, dis manipulables. En échange de cette dépendance on est servi sur un plateau, tout va bien, on reçoit ce que l'on veut.
Puis on grandit, on devient autonome et on a plus besoin de l'autre pour survivre. Mais lorsqu'on rencontre une situation particulière où nous voulons quelque chose on se re-soumet à l'aide extérieure. Il faut être en accord avec cette aide pour obtenir ce qu'il nous faut, faire ce qu'elle dit pour avoir ce que l'on veut. On doit faire ce qu'il faut. Notez le "on DOIT" qui montre qu'on s'oblige à faire le nécessaire pour avoir ce que l'on veut. C'est cette aide qui peut alors nous manipuler.

On retombe donc dans une sorte de dépendance : "Si tu fais ça.....tu auras ça"
Si tu obéis, tu seras protégé, si tu travailles, tu seras récompensé ...etc.
On est simplement obligé, on a pas trop le choix pour obtenir ce qu'on cherche. Cette obligation peut être exploitée afin de devenir manipulation.


A chaque situation de la vie quotidienne, on peut être amené à rechercher ce quelque chose qui nous est utile et même indispensable. On se remet dans la peau du bébé et on se laisse manipuler inconsciemment.


Pourquoi certains sont plus vulnérables que d'autres ?

Le manque de confiance en soi, la peur de perdre l'attachement que les autres ont envers soi rend vulnérable.
Si la religion, l'éducation reçue nous a manipulé depuis la naissance, c'est d'autant plus facile.

Ainsi, chaque personne peut être manipulée à tous moments sur tous les sujets.





Qu'est-ce que le Social Engineering (ou manipulation sociale) ?




C'est l'art, la science de manipuler les gens afin d'obtenir quelque chose d'eux sans qu'il s'en rendent compte. On influence ou abuse de la confiance d'une personne pour obtenir un bien ou une information généralement à propos d'un système informatique (mot de passe).
C'est la faille humaine. Qui est par ailleurs une grosse faille exploitable étant donné que tous les ordinateurs sont reliés à des êtres humains. Enfin, elle est rarement aussi sécurisée que les failles physique et constitue une pièce très fragile.
Cette faille peut être utilisée par TOUT le monde sans connaissances spécifiques, hormis les quelques compétences et techniques à acquérir. Ces techniques sont décrites de A à Z ici.


Vous êtes d'ailleurs tous des manipulateurs, tout le monde a déjà menti plusieurs fois dans la vie, enfin dans le mois courant, voir le jour même. La manipulation est donnée à tout être normalement constitué. Ici, on va notamment jouer sur la psychologie, le ressenti des cibles, et progresser doucement vers le but final.

"Un ordinateur sécurisé est un ordinateur entreposé dans un hangar et débranché."

Il reste alors à trouver une personne suffisamment aimable pour aller l'allumer.
Cela signifie que même un ordinateur débranché est vulnérable.




Nous allons maintenant voir comment s'y prendre :

ATTENTION à bien suivre les étapes dans l'ordre.



1ère étape : LA RECHERCHE



La première chose à faire est de savoir clairement qui va être votre cible, et qu'est-ce que vous voulez obtenir d'elle. Ce que vous voulez obtenir constitue la motivation de 'l'attaque", souvent de l'argent, un but personnel, une donnée sensible, ou encore par curiosité.

Il peut y avoir plusieurs cibles à la fois et plusieurs choses à obtenir.

-Si la cible est inconnue, il faut absolument prendre des infos sur elle avant de commencer.
-Dans le cas de plusieurs cibles inconnues dont les infos n'ont pas pu être trouvées ou sont trop nombreuses et trop longues à chercher (exemple d'un phishing sur des membres d'un forum), il faut se baser sur un domaine commun qui les attirera (devenir l33t ou vip).
Prendre des cibles globales comme : des victimes gamerz, des lamerz etc...

Enfin, la/les chose(s) à obtenir sont à mettre au clair. Exemple : Son mot de passe hotmail.

Une fois le but clarifié, on recherche des informations sur la cible.
Cette étape est très importante, il faut rechercher un maximum d'informations sur la cible, et sans précipitation.
La clé de la réussite repose sur la patience et la pertinence des infos obtenues.

On étudie ses goûts, ses loisirs, des infos sur son caractère, sur sa façon d'être.. bref tous les éléments de la personnalité ainsi que l'identité précise et complète de la cible.

Comment chercher tout cela ?

http://www.google.fr
http://www.facebook.com
http://www.123people.fr/
et éventuellement d'autres sites selon la cible.

On peut également récupérer des informations via des connaissances communes ou si la personne est connue dans la vie réelle on peut se procurer des informations hors internet.

Il vaut mieux écrire toutes les infos trouvées quelque part et les structurer.
Les informations seront mises à jour chaque fois qu'il en sera possible par la suite.
Cette partie peut prendre pas mal de temps, selon ce que l'on cherche et selon la cible.





2ème étape : SE CREER UNE IDENTITÉ




Garder sa vraie identité n'est pas recommandé.

Commençons par le sexe, femme ou homme ?

Il est prouvé qu'une femme pourra obtenir plus de choses d'un homme.
Même si la cible est une femme, si on se fait passer pour une femme, on aura aussi plus de chance (mais cela dépend quand même de la cible).
Je recommande donc de toujours se faire passer pour une femme. Sauf dans les cas impossibles (téléphone, discours à voix haute etc...).
Et dans les cas où la victime à besoin d'un homme. Il faut voir en fonction de votre cible.



Fausse identité :

Cette partie doit se faire après les recherches sur la cible car tout ce qui suit va dépendre de la personne que l'on cible.

Il faut prendre cette étape très au sérieux.
Si l'on choisit de se faire passer pour une femme :
Il est inutile d'utiliser un générateur de nom et d'adresse. C'est bien mieux de choisir une identité soi-même.
Par exemple on va sur un réseau social ou sur un site qui référence les prénoms, on cherche un prénom de fille attirant, toujours selon la cible.
On va ensuite chercher un nom de famille au hasard, et on peut changer une lettre, en veillant à ce qu'il sonne bien et soit réaliste.

On se créer une fausse adresse selon nos critères en oubliant pas code postal et numéro de téléphone.
Puis on choisit un âge de préférence proche de celui de la cible, mais il est très intéressant de se rendre plus âgé pour avoir plus d'influence et d'intimidation ou, au contraire, baisser l'âge pour se mettre facilement en détresse et faire en sorte que la victime nous rende service et nous aide.

Il faut que l'identité soit complète. Il faut faire en sorte que la personne existe vraiment.
Ce qui suppose qu'il faut créer une nouvelle adresse mail, un profil sur un réseau social, éventuellement un blog, un compte sur un site connu etc.. En veillant toujours à la crédibilité.

Les photos : Chercher des images que le moins de personnes possible ont pu voir, au pire les retoucher, donner quelques effets aux photos en respectant la démarche pour toutes les photos. (Si vous vous faites passer pour une blonde aux yeux bleus sur une, et rousse aux yeux verts sur l'autre....). Les photos de la première page de google-images sont très déconseillées.


Astuce de crédibilité : Se dire étant originaire d'un pays précis en ayant pris soin d'apprendre quelques mots de langage, ou quelques expressions de là-bas et les utiliser.

Prévoir des photos de réserve au cas où.

Si on doit utiliser un pseudo : il faut qu'il soit cohérent, qu'il soit attirant selon la personne visée. Et qu'il soit le même partout.


Autre chose sur laquelle il faut veiller : La date.
Si tous vos comptes et ajouts de photos datent du jour avant votre action.. c'est pas crédible du tout.
il est conseillé d'utiliser d'anciens comptes dans la mesure du possible et modifier les infos en faisant attention à ne pas se faire démasquer par quelqu'un d'autre. Ou alors de créer un compte maintenant en vue d'une action future. Sinon il faut trouver une astuce dans le genre "je suis nouveau/nouvelle ici".



On se créer la personnalité :

"Moi je suis hyper maniaque", "j'ai la phobie des chats" il faut se créer un caractère bien trempé. Ce qui améliorera la crédibilité.

Mais il faut veiller à ne pas trop sortir du "type" de personnalité que vous venez de créer. Exemple : Si vous êtes une fille :

"Edward il est trop beau *_*" passe mieux que "c'est quoi twilight ?".


Le caractère doit également correspondre aux goûts et à la personnalité de la victime.
Encore une fois il vaut mieux noter tout quelque part.

Astuce de crédibilité : Se trouver une faute d'orthographe grossière qu'on fera tout le temps, une expression qu'on répétera souvent etc..




Une fois toutes les informations réunies, les comptes crées, il reste à nourrir le tout, pour que la personne ait l'air vivante.
On peut se faire aider par des amis. Respecter le plan de personnalité établi est évident. Il faut que le tout soit cohérent et que la personne crée puisse être aussi proche de la réalité que possible. On peut s'inspirer d'une personne existante.

On peut aussi créer une deuxième identité qui sera "l'amie" de la première et qui nous aidera à prouver des choses, à jouer sur la crédulité de la cible.


Pour terminer : Toujours prévoir un plan de secours !
S'imaginer toutes les questions embarassantes qu'on peut recevoir, il faut prévoir une histoire qui se serait passée avant la création des comptes. Ne pas oublier que la personne que vous jouerez doit ressembler à une personne réelle et a donc une vie avant la création des comptes.

Astuce de crédibilité : Utiliser des phrases du type : "Mon ancienne adresse c'était ..", "mon compte s'est fait supprimer il y a 2 mois".

On peut donner de temps en temps des infos "préventives" à la cible pour pouvoir s'échapper avec un "tu vois je t'avais dit que" au cas où.








3) L'ACTION




Après avoir recherché des informations sur la cible et s'être crée une fausse identité, il reste à discuter avec elle en veillant sur tout,

et ne pas la bombarder de messages pour avoir ce que l'on veut en 30 min, mais lui laisser du temps.

il y a plusieurs façons de procéder :

-L'écrit : Internet, mail...

-L'oral : Le telephone, le discours...



* L'ecrit :


Toutes ces techniques sont utiles, il reste à les manier et à les adapter en fonction de la cible et de l'identité faite. Toutes les techniques ne doivent pas toujours (presque jamais) être utilisées, et encore moins dans l'ordre. C'est encore une fois, en fonction de la situation.


-Imiter les fautes et en faire volontairement :

Si on se fait passer pour une fille de 13 ans il est évident qu'on ne va pas écrire avec un langage soutenu.
Il faut donc copier les styles d'écriture du type de personnalité pour laquelle on se fait passer, ainsi que les domaines d'intérêts.
Mais comment s'y prendre ?
Il suffit d'imiter une personne correspondante de notre entourage, ou aller sur des sites de tchats et observer. On peut également parler à la personne qu'on va imiter pour voir comment elle se débrouille face à un inconnu. Il reste à noter les réactions, les fautes, mais aussi les attitudes face aux questions, les réponses données etc..selon notre sujet.

La curiosité :

Pour paraitre agréable ou professionnel, et renforcer les éléments obtenus dans la première étape de recherche, il faut avoir une bonne culture de l'entreprise visée, ou du comportement de la cible, de sa façon d'être, de ses connaissances etc...Il faut donc être chercher à tout savoir sans pour autant paraitre lourd en posant trop de questions d'affilée. Le Social Engineer note n'importe quel détail aussi minime soit-il, car tout peut servir. Les détails accumulés servent également à provoquer inconsciemment dans le cerveau de la cible un sentiment de confiance et de sécurité lorsqu'il sont dits/écrits de façon naturelle.

-Rester cohérent :

Le mieux est d'écrire, en plus de la fiche comportementale du personnage fictif, les grandes lignes de discussions.
Il serait très mauvais de se contredire ou dire des choses incohérentes, insensées.
Ne jamais se tromper sur son identité fictive, ne jamais se contredire sur les choses importantes qu'on a dites.
Avoir une bonne mémoire ou écrire ce qu'on a dit est la meilleure chose à faire pour éviter de se tromper et de se faire repérer.

-Ne pas aller droit au but :

Il faut souvent du temps pour sympathiser avec la cible, il faut lui parler de ce qu'elle aime, de tous les types de sujets. Ne jamais demander directement ce qu'on cherche (sauf situations spécifiques ou il faut faire vite). On peut en profiter pour améliorer nos recherches antérieures sur elle pour obtenir plus d'infos utiles. Il faut du temps et surtout il faut être reconnu comme fiable, comme personne de confiance par la cible.

-Faire l'acteur :

Il faut savoir jouer un autre rôle, se mettre dans la peau de quelqu'un d'autre, à tous les niveaux et pour tous les sujets.
Ne pas être trop sentimental envers soi-même, pas de "haan nan ça se fait pas je peux pas lui faire ça !" ni de "je suis trop con de faire ça".
Il faut se dire qu'on va réussir, il n'y a pas d'autres choix, et d'ailleurs on réussira quoi qu'il arrive. Ne pas culpabiliser, et surtout se préparer avant. Imaginer toutes les situations possibles et ce qu'on y répondrait.
Astuce de crédibilité : ne jamais répondre trop vite dans une conversation de messagerie instantanée, car si on bloque soudainement ça se remarquera.
Tandis que si on répond lentement on aura le temps de réfléchir à ce qu'on va écrire voir même de faire des recherches et la cible n'y verra que du feu.
Le rôle qu'on joue dépend entièrement de la cible et de l'identité qu'on s'est faite.
Si vous jouez une fille qui parle à une fille c'est différent d'une fille qui parle à un garçon ..sans compter l'âge qui joue un grand rôle.
Toujours complimenter la victime, dire du bien d'elle. Mais ne pas tomber dans l'excès, et contredire par moment..pour affirmer un trait de personnalité.

-Profiter d'une situation de faiblesse :

Étape assez cruelle, mais très efficace, si la victime vient par exemple de se séparer de son conjoint, ou vie une mauvaise période..etc il faut s'imposer comme confident, comme personne de confiance qui va aider.

-Créer un suspense :

Faire du suspense à la cible, utiliser des phrases clés comme "si tu savais.." "je sais pas ce qui va se passer si tu le fais pas mais.." en restant souple. Il ne faut pas trop exagérer avec le suspense.

-Crédulité :

Construire des arguments en béton, trouver des preuves ou en construire des fausses.
Watermark, copyright.. fausses photos, fausse manie..selon le personnage joué. Promettre quelque chose si ça ne marcherait pas.

-La confiance :

Créer des faux certificats, des faux logos, des faux feedbacks, des faux commentaires en se faisant éventuellement aider par un complice.
Surtout faisable avec le temps, la confiance s'installe par les sentiments. Il faut bien jouer avec les sentiments, se rapprocher plus intimement de la cible, et utiliser en parallèle les fausses informations en privilégiant celles reçues d'autres personnes etc..pour être cru par la suite.
Paraître sympa, serviable, joueur. Attention à ne pas paraître trop gentil et de promettre des choses totalement infaisables.

-Créer des fausses évidences :

"Si tu ne télécharges pas l'antivirus que je te propose ça va mal finir pour ton système, regarde le rapport que j'ai, ça veut dire qu'il te faut enlever ça, et sans mon antivirus aucuns programmes ne peut le faire".
Voilà une idée complète de fausse évidence. Il faut utiliser des faux rapports dans ce cas et donc prévoir à l'avance.

-Parler d'argent :

L'argent fait souvent avancer les gens, les attire. Il peut être intéressant de l'utiliser en tant qu'offre gratuite. (En mettant la victime à l'aise en lui faisant croire que c'est exceptionnel, ça n'arrivera plus, ou carrément qu'on a pas le droit mais on le fait quand même gratuitement)

-Paraître professionnel :

Utiliser un langage approprié, scientifique selon le sujet.
Paraître comme quelqu'un de très serviable qui fait un tuto bien détaillé, qui guide la cible pas à pas etc..en mettant à l'aise la cible "ne vous inquiétez pas je suis la". Lui donner de l'intérêt à nous parler. Et pour finir, plus la victime est ignorante, plus il sera facile de paraitre professionnel.

-Etre à plusieurs :

S'unifier pour obtenir quelque chose, pour mieux préparer l'attaque ou pour obtenir plus d'infos peut être très utile.
On peut aussi se créer une autre identité et faire jouer les deux en même temps.

-Utiliser le RSE (Reverse Social Engineering) :

C'est le fait d'échanger les rôles : la cible vous envie, veut quelque chose de vous, s'intéresse à vous.
Il faut se faire envier en jouant sur les sentiments, sur les fausses preuves et informations, et en utilisant éventuellement un complice.
Plus facile : se mettre en situation de détresse : pertes d'argent, détresse médicale, détresse de couple...parents divorcés etc..mais pas trop tôt dès la première discussion avec la cible.
On peut encore donner envie à la cible de nous aider : "Je dois vite finir, je suis morte sinon, j'ai vraiment besoin d'aide".
Rendre la cible unique pour nous aider, la valoriser "heureusement que t'es là, que je t'aie connu".
On peut aussi provoquer un problème et s'imposer comme réparateur en jouant sur le coté professionnel et la confiance.
Il peut être utile de se dévaloriser : "nan je suis trop moche" "personne ne veut de moi, personne ne me fait confiance"

-Intimidation :

Le contraire du RSE : S'imposer, obliger la victime en jouant sur l'âge et le statut notamment.





*L'Oral :

Lors d'une "attaque" envers une entreprise, on s'adresse souvent au standard. On peut y trouver toutes sortes d'infos. C'est souvent une femme qui accueille le clients (donc manipulable avec les sentiments), de plus celle-ci est rarement formée à se défendre contre des attaques du type SE contrairement au reste du personnel. Et enfin, elle a accès aux numéros de l'entreprise, aux informations de l'entreprise qui ne devraient pas être divulguées.
Avantage du téléphone : anonymat, pas de face à face avec la victime et le numéro peut être caché, ou une offre sans abonnement peut être achetée : L'identité de l'acheteur n'a alors pas besoin d'être communiquée.

Pour l'oral les techniques sont sensiblement les mêmes, il reste à ajouter :


-Le charme :

Toujours paraître souriant. Le sourire ne doit pas être juste mécanique : Il faut sourire "avec les yeux" aussi et non pas seulement avec la bouche. Il faut bien se tenir et bien articuler.

-Le calme :

Rester calme selon la situation, ne pas stresser au risque de perde tous ses moyens.

-L'audace :

Ne pas avoir peur de dire quelque chose, de se lancer. Oser. Savoir se vendre.




TOUJOURS avoir un plan de secours pour chaque technique !


Enfin pour finir :

On arrivera étapes par étapes au but, comme une faille physique.

Quand on a obtenu ce que l'on veut et ne s'échappe pas sans laisser aucunes traces.
Pas de Hit & Run, pas de "hahahahah merci ! salut" mais NE PAS MODIFIER LE COMPORTEMENT.

Il faut garder contact avec la victime et s'en éloigner peu à peu..



Les programmes pouvant êtres utilisés dans le social engineering :

Phishing :

C'est l'utilisation d'un programme ou d'un site pour soutirer des données sensibles aux victimes
On fait croire à la victime qu'elle s'adresse à un tiers de confiance.
Astuce pour un phishing réussi : Montrer des preuves (fausses) et surtout donner un résultat à la victime. Les messages d'erreurs "vérifiez votre antivirus" ne passent plus. Il faut plutôt donner un résultat erroné qu'un message d'erreur. Bien sûr, un résultat le plus réaliste possible. Ou créer une situation quasiment impossible à obtenir et jouer sur la malchance en proposant autre chose à la place.

Spywares:

Logiciels espions utilisés pour collecter des infos de ses victimes. Utiles pour recevoir sans demander.


Revenir en haut
Publicité






MessagePosté le: Mar 6 Juil 2010 - 10:42    Sujet du message: Publicité

PublicitéSupprimer les publicités ?
Revenir en haut
Mr.MiLoO
Invité

Hors ligne




MessagePosté le: Mer 7 Juil 2010 - 16:38    Sujet du message: [TUTO] Social Engineering de A à Z Répondre en citant

Thank's Very Happy

Revenir en haut
Contenu Sponsorisé






MessagePosté le: Aujourd’hui à 12:51    Sujet du message: [TUTO] Social Engineering de A à Z

Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    OWN3D BY KrL Index du Forum ->
   Hacking tutorial
Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Index | créer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation