Comment se déroule une attaque d’ingénierie sociale ?

Nous allons voir à travers deux exemples concrets le déroulement d’un scénario d’attaque par ingénierie sociale. Le premier avec pour cible un particulier détenteur d’un compte auprès de la Caisse d’Epargne à base de phishing bancaire classique et le second plus élaboré, visant des sociétés françaises, où l’auteur se fera passer pour une entreprise à renommé nationale.

Comment se déroule une attaque d'ingénierie sociale ?

Cas concert d’ingénierie sociale appliquée à un particulier

L’appât

Le particulier victime consulte ses mails et reçoit un courrier électronique l’invitant à consulter un nouveau message sur le site de la Caisse d’Epargne. A ce stade aucune information confidentielle n’est demandée. Un lien censé le diriger vers le site de la Caisse d’Epargne est présent dans le message :

Bonjour,
Vous avez reçu un nouveau message.
Accédez à vos comptes

La touche

La victime clique sur le lien du message et, est dirigée vers un site imitant le site Internet légitime de la Caisse d’Epargne. Ce site est placé à une adresse de la forme :

http://xxxxxxxx-xxxxxx.fr/caisse-epargne.fr/fr/index.html

Ingénierie sociale : Phishing Caisse d'Epargne - accès aux comptes

Phishing Caisse d’Epargne – accès aux comptes

Le ferrage

La victime est invitée à entrer immédiatement son identifiant client et son code confidentiel pour accéder au nouveau message qui l’attend. Ces informations sont enregistrées sur le serveur dans le fichier « cont.txt » qui se présente sous cette forme :

Cont: 019468085
Parola: 1331
xxx.xxx.xx.xx
————————————-
Cont: 9879878798798777878
Parola: 706234593
xx.xx.xxx.xxx
————————————-

La première ligne de chaque entrée correspond à l’identifiant client, la seconde au code confidentiel et la dernière à l’adresse IP de la victime.

Ces premiers éléments obtenus ne permettent que de consulter les comptes de la victime et éventuellement d’effectuer des transferts d’argent entre ceux déjà déclarés. En effet depuis quelques années les banques ont mis en place une sécurité supplémentaire pour les opérations à risques qui consiste en l’envoi d’un SMS sur le téléphone personnel du client. Ce SMS contient un code unique valable quelques minutes qui est censé augmenter le niveau de sécurité.

Le combat

Alors que la victime vient de renseigner ses éléments d’identification sur le faux site bancaire, l’assaillant va se connecter au véritable site et initier l’ajout d’un compte externe à la liste des comptes disponibles pour effectuer un virement. Cette action va entraîner l’envoi du SMS d’authentification sur le téléphone de la victime. Celle ci sera invitée à rentrer ce code d’authentification sur le faux site bancaire à travers l’interface suivante :

Ingénierie sociale : Phishing Caisse d'Epargne - authentification SMS

Phishing Caisse d’Epargne – authentification SMS

De la même manière que pour l’identifiant client et le code confidentiel le code d’authentification SMS est stocké dans un fichier « cont.txt » qui présente une forme similaire :

SMS: 12345678
xxx.xxx.xx.x
————————————-
SMS: 87654321
xx.xx.xxx.xxx
————————————-

La première ligne correspond au code SMS inscrit dans le formulaire et la seconde à l’adresse IP de la victime.

La prise

L’assaillant dispose maintenant de l’identifiant client de la victime, de son code confidentiel et, grâce au code SMS récupéré, a pu rajouter un compte externe « vérifié » pour effectuer des virements. Il ne lui reste qu’à passer un ou plusieurs virements en fonction du solde du compte de la victime.

Cas concret d’ingénierie sociale appliquée à une entreprise

L’objectif de l’assaillant sera ici de se faire passer pour une société commercialisant des produits alimentaires de luxe puis de rentrer en contact avec des société du même secteur d’activité afin de se faire livrer de la marchandise.

Recherche d’informations

La préparation commence par la création de moyens de communications identiques à ceux utilisés par une entreprise classique : courrier électronique, téléphone et fax. Les outils vu précédemment vont être mis à profit. Le courrier électronique sera le principal moyen de communication. Le choix de l’alias mail doit être fait afin de semer la confusion avec une adresse légitime. Dans le cas présent seul le suffixe « -distribution » a été accolé au nom de l’entreprise.
La seconde étape consistera à obtenir les documents utilisés par l’entreprise pour les transactions avec ses clients :

Ingénierie sociale : recherche des documents - KBIS, RIB, ...

Recherche des documents – KBIS, RIB, …

Comme nous l’avons vu certains de ces documents comme l’extrait KBIS s’obtiennent librement. Le RIB peut quant à lui être obtenu en initiant une commande auprès de la société ciblée.
Il existe des sociétés financières qui agissent, entre autres, dans les domaines de l’information d’entreprise, du scoring et de l’assurance des transactions financières. Elles effectuent des enquêtes financières détaillées et évaluent les sociétés françaises dans le but d’informer leurs clients en attribuant un score mesurant les probabilités de défaillance à un an. Il est possible d’obtenir gratuitement ce type de rapport. Ces rapports de solvabilité pourront être transmis aux futures sociétés victimes en gage de crédibilité.

Mise en place de fausses informations

La société de notation établit des rapports de solvabilité sur les entreprises françaises pour le compte de ses clients. Elle permet également aux entreprises étudiées de transmettre en retour leurs données financières ou de mettre à jour leurs coordonnées.
Dans le cas qui nous intéresse il aura suffit à l’assaillant de transmettre un courrier électronique depuis l’adresse « XXXX-distribution @ laposte.net » pour faire modifier les coordonnées visibles sur le site de la société de notation. A la suite de cette manœuvre apparaissent les numéros de téléphones et de fax virtuels ainsi que l’adresse mail souscrit auprès d’un prestataire gratuit :

Ingénierie sociale : Coface - informations légitimes et informations de camouflage récupérées dans Google cache

Informations légitimes et informations de camouflage récupérées dans Google cache

Une fois ces informations de camouflage en place il sera difficile pour une entreprise contactée de ne pas être abusée par le stratagème.

Exécution du scénario

L’assaillant lance une campagne de mailing depuis son adresse « XXXX-distribution @ laposte.net » à destination des sociétés françaises œuvrant dans le même secteur d’activité que celui de la société dont l’identité à été usurpée. Ce mail, rédigé avec un caractère d’urgence et signé du nom du gérant de l’entreprise, explique qu’une commande de produits alimentaires de luxe doit être effectuée pour ses clients. L’assaillant sollicite alors un paiement à trente jours, comme cela se pratique entre professionnels, et, en gage de bonne foi, invite la société ciblée à se renseigner sur sa solvabilité auprès de la société de notation. Il propose également de transmettre son extrait KBIS :

Bonjour,

XXXXXXX à Paris, recherche urgemment pour ses différents clients, des Grands crus classés en CBO ou non de 3, 6 ou 12. Ce sont ci – dessous :

Château Petrus
Château Lafite Rothschild
Latour 2006 – 2008
Romanée Conti D.R.C 2004,
Romanée Conti échezeaux
Château Ausone 2001 – 2005 – 2006
Champagne Dom Pérignon
Cristal Roederer
Remy Martin Louis XIII
Henri Jayer 1985 Richbourg

Veuillez bien nous faire parvenir par mail ou par fax vos disponibilités (Crus, Stocks et tarifs) ..

Vous pouvez egalement nous faire les propositions d’autres crus (Crus, Stocks et tarifs) si vous n’avez pas les crus que nous recherchons.

NB:

*Règlement: Nous aimerions bénéficier d’un paiement à 30 jours fin de mois comme avec l’ensemble de nos fournisseurs. Toutes nos commandes étant entièrement couverte par les assureurs COFACE, GIPAC, GROUPAMA……, vous pouvez les contacter pour les garanties.
Nous vous enverrons notre extrait de KBIS si besoin.

*Expédition: Enlèvement par notre transporteur

Recevez nos respectueuses et sincères salutations.

Cordialement,

——–
M. Xxxxxx Xxxxxx
Responsable achats et ventes
XX Rue Xxxxxxxxx
750XX Paris XX

Tel: 01.70.XX.XX.XX
Fax: 01.73.XX.XX.XX
Mail: xxxxx-distribution @ laposte.net

En cas de réponse favorable de la société ciblée l’assaillant convient d’un lieu de livraison fantôme dans une zone de logistique où des entrepôts sont à louer. Ce lieu de livraison doit être situé de préférence dans un autre pays d’Europe afin de compliquer la tâche des services d’investigation. La livraison effectuée, les auteurs du méfait n’ont qu’à s’évaporer dans la nature avec la marchandise commandée.

Tout cela ne semble pas bien légal…

Après avoir présenté les outils numériques permettant de construire un scénario d’ingénierie sociale et décrit sa mise en œuvre nous allons aborder les différentes qualifications pénales qui pourraient être retenues dans le cadre de sa répression.