Comme promis précédemment, voici l’article expliquant comment pirater un compte en banque en ligne uniquement à partir d’informations ouvertes.
Dans son article tiré du Scientific American, l’américain Herbert H. Thompson nous offre un exemple parfait de social hack ou ingénierie sociale.
Nous tenons à souligner que, comme vous vous en doutez, cet article n’est qu’un exemple des possibilités de l’ingénierie sociale. Notre intention n’est pas de permettre à tout un chacun de devenir un hacker potentiel mais bien de sensibiliser nos visiteurs à ces techniques, et également, de s’en prémunir.
Dans cet exemple, Thompson va s’évertuer à pirater le compte d’une des connaissances de sa femme, qu’il appelle « Kim », en 7 étapes très simples. Au départ il ne connaît que peu d’informations à son sujet : son nom, état de naissance, emploi, âge et également sa banque.
- En faisant une recherche sur Google, il découvre le blog de “Kim”, la victime. Le blog s’avère être une vraie mine d’or avec des informations sur ses grands-parents, ses animaux domestiques, sa ville, son adresse email à l’université et son email chez Gmail
- 1ère tentative pour récupérer le mot de passe de l’accès au compte en banque de sa cible. 1eréchec car Thompson n’a pas accès à son compte mail : prochain objectif donc, récupérer les accès email de Kim.
- 2ème tentative pour récupérer les codes d’accès du compte Gmail par un essai de réinitialisation du mot de passe ; 2nd échec. Cependant en tentant de réinitialiser le mot de passe, Google indique que le mot de passe est envoyé sur une adresse xxxx.edu. A partir des informations récupérées sur le blog, Thompson sait alors qu’il s’agit de l’adresse étudiante de sa cible.
- Thompson essaye donc de récupérer le mot de passe du compte mail de l’université de Kim. On lui demande un certain nombre d’informations “personnelles” pour réinitialiser le mot de passe. Grâce au blog il les possède toutes, sauf sa date de naissance.
- Thompson tente alors de trouver de la date de naissance de Kim par une recherche des infractions sur un site public du Département des véhicules motorisés ; perte de temps et donc tentative par un autre moyen.
- Recherche fructueuse sur le blog : Kim a posté un billet où elle parle de son anniversaire.
- Thompson récupère un accès au compte mail de l’université, le change et peut donc récupérer un mot de passe pour le compte Gmail de Kim. Or c’est sur ce compte que la banque envoyait ses mails de changement de mot de passe. Thompson peut alors accéder en toute facilité au compte bancaire de sa proie, et ce uniquement à partir d’information blanche…
Cet exemple frappant témoigne de la vulnérabilité des informations que nous mettons à disposition sur Internet, même au travers d’un modeste blog. Comme le suggère l’auteur, tous les utilisateurs d’Internet devraient suivre la règle suivante : Réfléchir d’abord/poster ensuite, de manière à se prémunir contre de telles fraudes.
A bientôt !
0 commentaires:
Enregistrer un commentaire