le social engineering

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

le social engineering

Message par Malekal_morte » 15 juil. 2007 01:10

Cet article va aborder le social engineering qui est de plus en plus utilisé par les auteurs de malwares pour infecter des ordinateurs.
Après avoir lu cet article, j'espère que vous aurez compris qu'Internet n'est pas toujours sûr et qu'il convient de rester vigilant lorsque vous surfez sinon la sentence tombe de suite.

Comment duper l'utilisateur

Voici un exemple d'utilisation du social engineering utilisés les piratespour dupper les internautes.
Pour commencer, j'ai téléchargé un fichier Install_Messenger.exe. Dans la partie de droite de l'écran, vous pouvez voir le programme Process Explorer qui permet de voir les processus (programmes) démarrés.
La liste est assez courte..

D'après le nom on pourrait se dire que c'est l'installation de MSN Messenger.. oui mais non.. en bon mauvais internaute que je suis, j'ai pris le fichier dans un lien dont où ne sait où... et je m'empresse de l'ouvrir !

Image

Tiens.. le pare-feu de Windows XP SP2, me demande.. si le programme mIRC désire se connecter à internet...
Bha.. soyons fous! disons oui!
On remarquera qu'aucune fenêtre d'installation de MSN ne s'est ouverte... peut-être que le programme d'installation ne fonctionne pas??!

Image

Nous pouvons voir que sur Process Explorer... le processus Installation_Messenger.exe a lancé un autre processus reg.exe qui lui même à lancé mIRC.exe (on voit cela par l'arborescence..).
Mais à l'écran rien.. de rien..
Tout semble donc normal !

Je peux continuer à utiliser l'ordinateur.. dommage le programme d'installation de MSN n'a pas fonctionné !

Image

Oui mais non, je suis un peu curieux.. ils doivent bien faire quelque chose ces processus non ?
Tiens si je faisais un clic droit sur ce reg.exe qui sort d'où on ne sait où... et si je l'arrêtais ?
Allez un petit clic droit / kill process (tuer le processus).

Voyons ce qu'il se passe..

Image

Humm... Pas grand chose..
Tiens.. par contre, c'est quoi ce bout de fenêtre que l'on voit sur la droite ?
Hum.. un bug de mon écran ? ma carte graphique ?

Image

Si je passe la souris dessus.. cela reste...
Tiens faisons un clic droit dessus, voir si je peux en tirer quelques choses!
Comme vous pouvez le voir sur la capture ci-dessus.. cela ouvre une belle panoplie de menus...

On y retrouve les options habituelles de fenêtres (agrandir, réduire etc..), donc je vais cliquer sur Maximize.. voir si on peut agrandir la fenêtre..
Image

Houla... mais qu'est ce que c'est que cela...
et bien c'est un client mIRC.. (la réponse au mIRC.exe que l'on voyait sur Process Explorer).. On le voit entre autre par le mot mIRC écrit tout en haut à gauche sur la barre bleu..

Les plus observateurs d'entre-vous auront vu.. que sur les trois dernières captures.. on pouvait voir dans la barres de tâches (en bas).. ce programme mIRC.

On peut voir dans la partie droite (entouré en rouge).. les salons (channels) sur lesquels nous sommes connectés..
et entourés en bleu.. les surnoms (nicknames) des personnes connectées.

Image

Mais que s'est-il passé ? Petit résumé :
Nous avons téléchargé un fichier on ne sait où qui se fait passer pour l'installation de Messenger.. (et oui, faire attention ce qu'on télécharge).
Une fois exécuté.. le fichier "droppe" un mIRC sur le système lancé à travers ce fichier reg.exe

La mission du fichier reg.exe est toute simple, elle est de masquer la fenêtre mIRC pour que vous ne voyiez tout simplement rien !
Grosso modo, si votre antivirus ne détecte rien.. et si vous n'avez pas de pare-feu.. vous êtes chocolat!
Il existe plusieurs programmes permettant de masquer des fenêtres.. généralement, ils sont détectés comme RiskTools (programmes à risques) par les antivirus.. Néanmoins encore faut-il savoir quand cela est dangereux ou pas..

Ci-dessous.. un scan du fichier reg.exe où l'on voit qu'il est détecté en trojan..

Image

Qu'est ce que le social engineering ?

Les méthodes d'infections

Avant de rentrer dans le vif du sujet, un petit rappel rapide concernant les infections.
L'une des grosses difficultés pour installer une infection un l'ordinateur d'un internaute est de faire exécuter le fichier qui a pour but d'installer l'infection sur le système.
Pour faire exécuter ce fichier, les auteurs de malwares font appels à plusieurs méthodes : L'installation d'une infection peut donc être automatique et à l'insu de l'utilisateur via une faille de sécurité sur un logiciel (souvent navigateur WEB ou lecteur vidéo/audio) ou sur un crack piégé.
L'utilisateur peut aussi télécharger de manière volontaire le fichier à l'origine de l'infection et l'exécuter de son plein gré.

Cette seconde méthode d'infection nécessite un "déguisement" du fichier afin que l'internaute croit que le fichier qu'il télécharge est sain.
Cette méthode de déguisement fait appel au social engineering.

Le social engineering est très utilisé pour répandre les infections de types vers ou phising.

Principe du social engineering

Sur Wikipédia, nous pouvons lire http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale
L'ingénierie sociale (social engineering en anglais) est la discipline consistant à obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l'ignorance ou la crédulité de tierces personnes. Il s'agira pour les personnes usant de ces méthodes d'exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L'art de la supercherie a théorisé et popularisé cette pratique.
Cette définition est plutôt destinée aux vols d'informations dans le cadre d'une attaque contre un serveur puisqu'il s'agit d'obtenir des informations qui conduiront au succès de l'attaque. Néanmoins, dans le cadre d'infections à grande échelle, le principe reste à peu près le même à savoir exploiter l'ignorance, la crédulité des internautes.
Le but étant de faire apparaître un fichier malsain comme étant propre ou présenter un fichier malsain afin que l'internaute le télécharge.

Le social engineering en pratique

Vers MSN

L'utilisation la plus flagrante du social engineering étant sur les vers MSN.
Prenons le cas de la famille Backdoor.Win32.IRCBot avec les dernières variantes Backdoor.Win32.IRCBot.aaq ou Backdoor.Win32.IRCBot.acd.

Les messages de propagation sont dans toutes les langues, en voici quelqu'uns en français suivi d'une tentative d'envoi du fichier myalbum2007.zip :
t'as pas encore vu ces tof :P
j'ai fais pour toi cet album de photos tu dois le voire :p
mes photos chaudes :d
"hey regarde les tof, c'est moi et mes copains entrain de.... :D


Comme vous pouvez le voir, le ver fait passer le fichier infectieux pour un album de photos (alors qu'en fait c'est un zip refermant un .scr [format d'économiseur d'écran, mais encore faut-il afficher les extensions] - se reporter à la page Les extensions de fichiers et la sécurité).
Pour les cowboys du net qui ne font pas attention et qui voient ces phrases en français et reçoivent le fichier... Ils vont bien sûr s'empresser de l'ouvrir (surtout avec des phrases comme "mes photos chaudes"), la majorité étant protégée par Avast! qui met entre 5-15 jours pour intégrer ces infections.. le résultat est couru d'avance.

Maintenant prenons le temps de regarder et surtout de réfléchir avant d'ouvrir le fichier zip provoquant l'infection.
Pour commencer regarder bien la syntaxe des phrases, si la personne n'a pas l'habitude d'utiliser un langage "djeunz" et que vous voyez un "mes tofs" méfiez-vous.. Mais surtout, regardez bien le nom du fichier myalbum2007.zip.
Imaginez-vous en train de faire un zip et l'envoyer à vos contact, sincèrement, vous l'appeleriez myalbum2007 ? vous êtes anglophone ? pas plutôt monalbum ? ou mesphotos ?

Encore plus flagrant.. le ver Backdoor.VanBot.dk se propage par le message : lol j'ai fais une pose de ma soeur hier en cachette avec ma webcam regarde ca suivi d'un lien : http://labasorg.us/webcam_00002.com

Comme vous pouvez le voir, ce ver se propage à travers un lien WEB. L'internaute doit cliquer sur le lien et executer le fichier pour infecter son ordinateur.
Question avant de cliquer : les contacts avec lesquels vous discutez sont Webmasters? ils ont un site Web où ils peuvent y mettre en ligne des photos?
D'autre part, regardez le lien, il se termine par .us, les personnes avec qui vous communiquez sont américaines?

Mini Conclusion : Comme vous pouvez le constater les auteurs de malwares essayent de s'approcher d'une discussion réelle afin de vous faire exécuter le fichier infectieux.
Avant de télécharger ou accepter un fichier, posez-vous quelques questions !
Tout fichier téléchargé et exécuté peut-être infectieux ! Se poser la question AVANT de le télécharger est encore le meilleur moment d'éviter l'infection.

Le téléchargement de logiciels

Les internautes ont tendance à installer tout et n'importe quoi sur leur PC.
Dès qu'un logiciel leur est proposé.. ils l'installent.. ce qui est une grave erreur.

Un autre aspect du social engineering est le fait de faire passer des programmes installant des malwares pour des programmes sains.
C'est notamment le cas de l'infection Magic.Control qui s'installe via des programmes piégés.
Voir la liste de la page.
Une fois installée, l'infection ouvre des popups de pub à tout va.

Voici une capture du site WEB..
Image

Comme vous pouvez le constater, difficile de dire que c'est un programme piégé.
La confusion est donc totale.

Les sites de téléchargements qui proposent aussi des logiciels repackés en y ajoutant des programmes parasites.
A lire - Programmes parasites / PUPs : https://www.malekal.com/2011/07/27/detec ... d-program/

Enfin noter aussi les fausses mises à jour Flash/Java qui de même, propose une fausse mise à jour Java/Flash qui contient des programmes parasites : https://www.malekal.com/2013/12/03/natio ... up-domaiq/ et fausses mises à jour Flash/Java : https://www.malekal.com/2013/07/21/publi ... our-flash/

Les faux codecs/rogues et fausses alertes

Une autre utilisation du social engineering, toujours dans le but de semer la confusion est.. lorsque vous surfez sur des sites pornographiques est de vous faire télécharger un codec vidéo afin de pouvoir visualiser des vidéos pornographiques.
On vous dit qu'il est nécessaire d'installer un codec pour pouvoir visualiser ces vidéos.

Image

L'installation du codec.. n'est en fait que l'installation d'une infection qui ajoute une icone d'alerte à côté de l'horloge vous indiquant que votre ordinateur est infecté.

Image

Les alertes sont accompagnées de propositions de téléchargement pour des rogues.

Image

Le but de ces infections est très simple, elles consistent à faire peur à l'internaute, via des alertes, modifications du fond d'écran (en rouge ou avec des panneaux rouges) tout en proposant de télécharger de faux antispywares qui sont en faites des rogues.
Ces rogues une fois installés vont scanner l'ordinateur, ils afficheront eux aussi des alertes disant que l'ordinateur est infecté, mais il faudra acheter la version commerciale pour nettoyer l'ordinateur (ce qui sera en plus totalement inefficace).
Le but est donc de vous arnaquer en vous faisant acheter un faux-antispyware.

2013 cela se fait sous forme de fausses mises à jour Flash sur les sites pornographiques : https://www.malekal.com/2013/07/09/dirty ... interieur/

Image


Plus d'infos, voir : Le phising

Le phising consiste à se faire passer pour une société (banque, société de jeux, société de paiment en ligne etc..) afin de récolter des informations, généralement votre numéro de CB.
Généralement, le phising est sous forme de mail. Les auteurs de malwares peuvent par exemple se faire passer pour une banque et demandant des informations personnelles (numéro de CB etc..) ou vous demandez de vous logguer en vous donnant un lien dans le mail qui n'est pas celui de la banque afin de récupérer vos idenfiants.

Voici un exemple de mail piégé, comme vous pouvez le voir, c'est très trompeur

Image

Mini Conclusion : Seule recommandation simple à suivre - ne donnez jamais des informations par mail !

Scam : arnaques par mail

Le « scam » (« ruse » en anglais), sont des arnaques en général par mail.

Le Scam 419 / Scam nigerian est l'un des plus actif, d'origine africaine, consistant à extorquer des fonds à des internautes en leur faisant miroiter une somme d'argent dont ils pourraient toucher un pourcentage. L'arnaque du scam est issue du Nigéria, ce qui lui vaut également l'appellation « 419 » en référence à l'article du code pénal nigérian réprimant ce type de pratique.

Plus d'informations sur : le Scam 419 / Scam nigerian

Pour comprendre pourquoi ces arnaques fonctionnent et sur quels procédés psychologiques repose-t-elles, lire la page Le SCAM et les arnaques. Pourquoi cela fonctionne ?

Autres Principes

En vrac quelques autres principes de social engineering .. :

Mini Conclusion :
Pour ne pas vous faire avoir, deux conseils :
Conclusion Générale

Comme vous avez pu le constater, les auteurs de malwares sont vraiment très vicieux pour tromper les internautes.
Plus la culture et les connaissances en informatique sont minimes et la méfiance, plus il sera facile aux auteurs de malwares de berner l'internaute.
C'est pourquoi, en plus de reprendre les recommandations des mini-conclusions, je vous conseille de lire la page Sécuriser son ordinateur et connaître les menaces afin d'avoir une vision globale des menaces de la Toile.

Un autre mot d'ordre, ne vous jetez pas sur les liens WEB et logiciels, soyez prudent.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84199
Inscription : 10 sept. 2005 13:57
Contact :

Re: le social engineering

Message par Malekal_morte » 18 janv. 2009 17:11

- Ajout d'un paragraphe sur les Scam : arnaques par mail
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 0 invité