comment faire une page de phishing

Regardezici. Vous ne savez pas comment activer l'authentification à deux facteurs sur votre compte Facebook ou Instagram ? Les services les plus couramment utilisés offrent une forme d'authentification à deux facteurs et disposent d'une page de tutoriel assez courte. Trouvez celle que vous cherchez ici : Ceguide vous explique comment reconnaître un e-mail ou un SMS de phishing et quelles mesures prendre si vous avez cliqué sur un lien frauduleux. En pratique J'ai reçu un e-mail ou un SMS de phishing au nom d'OVHcloud Identifier un e-mail de phishing. Vous avez reçu un e-mail au nom d'OVHcloud et vous voulez être sûr qu'il est légitime ? Renseignerl'adresse de notre cellule abuse. Indiquez l'adresse de destination abuse@ cliquez sur envoyer. La cellule Abuse analysera le message et entreprendra les démarches nécessaires auprès de l’opérateur et / ou l'hébergeur. Signalez à notre cellule Abuse les messages de phishing portant atteinte à la marque Orange Lephishing est une forme d’escroquerie sur Internet qui prend de plus en plus d’ampleur et à laquelle vous devez faire grandement attention. Cette escroquerie consiste à essayer de vous duper par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce électronique alors qu'il provient d'escrocs Phishing: détecter un message malveillant. Via votre messagerie ou votre boîte mail, certaines personnes malintentionnées tentent de mettre la main sur vos données personnelles en utilisant des techniques d’hameçonnage (phishing) ou d’escroquerie de type fraude 419 (scam) ! Ces techniques d’attaque évoluent constamment. nonton film the conjuring 2 subtitle indonesia. Suite à la nouvelle vague d’hameçonnage sur Facebook, de nombreuses personnes sont concernées par ce problème de phishing et il est possible de réagir en conséquence. Les problèmes liés à la sécurité de ses données sont monnaie courante et il est important de connaître les moyens offerts afin de réagir au mieux, en particulier lorsque l’on est concerné directement par un problème d’hameçonnage, comme celui officiant actuellement sur Facebook. Concernant la plate-forme de Mark Zuckerberg, il existe un menu d’aide rapide qui s’avère être des plus utiles. Ce menu permet d’être assisté sur de nombreuses options concernant la sécurité, la confidentialité et offre même un espace d’assistance. Un outil très pratique existe sur Facebook Dans le cas d’hameçonnage, la première chose à faire, lorsque l’on se rend compte d’un problème ou qu’un doute s’installe, est de se rendre dans le menu Aide Rapide » puis de sélectionner l’option de Sécurité du compte », pour enfin choisir l’option en fin de liste Obtenir plus d’aide concernant la sécurité du compte ». Sur l’application, il est demandé de se rendre sur la page faisant afficher le menu, sur la droite, puis de sélectionner Aide et assistance » puis Pages d’aide ». Il est possible de retrouver sur cette page plusieurs conseils pour protéger son compte, mais la démarche ne s’arrête pas là, puisqu’il suffit de se rendre sur l’onglet Confidentialité et sécurité » et de sélectionner l’option Comptes piratés et faux comptes ». Sur mobile, une étape supplémentaire est nécessaire et il faut sélectionner la première option proposée, Je pense que mon compte a été piraté […] », puis de sélectionner l’option en appuyant sur accéder à cette page ». Facebook renvoie ensuite sur une page spécialement créée lors d’une situation de hacking, l’hameçonnage rentre justement dans cette case là. Le système d’aide du réseau social invite ensuite à suivre un guide en plusieurs étapes. Cette procédure commence tout d’abord par le fait de changer son mot de passe. Ensuite il est question de passer en revue les dernières modifications du profil, chose qui arrive lors de phishing, à commencer par les pages aimées ou suivies, les personnes ajoutées ainsi que les dernières publications et les commentaires faits par le profil en question. Lors de chaque étape, il est possible de voir si des choses ont été faites légitimement ou non. Si cela n’est pas le cas, il est donc possible de modifier ces changements, par exemple, supprimer la publication en relation avec le contenu provenant du site dans notre situation relative au phishing. Surveiller les applications et sites web connectés Une autre chose importante à surveiller sur Facebook concerne les applications et les sites web connectés au réseau social. Cette page de gestion est accessible en se rendant dans les paramètres, puis en cliquant sur l’option Apps et sites web ». Ainsi, il est possible de voir et même de modifier tout ce qui est connecté avec notre compte Facebook. _Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans. A lire aussi Ce qui va changer sur Facebook en septembre Snapchat la formule payante cartonne TikTok ajoute une nouvelle fonctionnalité originale Le saviez-vous ? Plus de 90% des cyberattaques commencent par un simple mail de phishing. Il s’agit en effet d’une technique d’intrusion qui réussit souvent aux pirates. En quoi consiste le phishing ? Quelles sont ses différentes formes ? Quelles sont les précautions à prendre pour se protéger contre ces menaces ? Retrouvez ci-dessous la réponse à ces questions et bien d’autres ! EN QUOI CONSISTE LE PHISHING ? Le phishing est la contraction parfaite des termes anglais fishing », signifiant pêche », et de phreaking », signifiant piratage de lignes téléphoniques ». Il s’agit donc d’une technique de piratage informatique destinée à tromper sa cible pour lui soutirer des informations personnelles. En général, le phishing est réalisé par courrier électronique. Toutefois, il englobe aussi les applications, les appels téléphoniques vishing, les services de messagerie smishing et les médias sociaux. Dans la plupart des cas, les pirates utilisant cette technique invitent leurs victimes à se connecter à un site de banque, un site commercial ou encore un compte de paiement en ligne. Pour ce faire, ils vous envoient un lien qui vous dirige tout droit vers un site pirate. C’est d’ailleurs pour cette raison qu’on parle d’hameçonnage. Le but, c’est d’usurper votre identité. Selon le cas, il peut s’agir du vol de vos mots de passe ou de vos coordonnées bancaires. Une fois entre les mains des hackers, ces informations peuvent aider à effectuer des transactions illicites au nom de la victime. Parfois, ces informations sont utilisées pour faire chanter la victime ou l’embarrasser afin d’obtenir de l’argent. Comment fonctionne le phishing ? De façon générale, une attaque de phishing vise à tromper un utilisateur pour avoir accès à ses données personnelles. Pour ce faire, les fraudeurs misent souvent sur l’envoi de courriers électroniques. D’après un récent sondage, au moins un courriel sur 2000 est un message de phishing. En d’autres termes, près de 150 millions d’attaques de phishing sont lancées chaque jour. En fonction de la cible, la méthode utilisée peut largement varier. Parfois, les pirates vous annoncent des prix gagnés à l’issue d’un faux concours. Ils vous invitent alors à renseigner des informations vous concernant afin de pouvoir récupérer un prix qui n’existe pas. Leur but, c’est de récupérer vos données personnelles. Pour vite détecter ce jeu, il est conseillé d’installer un logiciel anti-malware réputé sur votre ordinateur. C’est un moyen efficace de vous prémunir contre les spams. QUELLES SONT LES DIFFÉRENTES TECHNIQUES DE PHISHING ? Pour atteindre leurs objectifs, les cybercriminels utilisent diverses techniques. Certaines ont une grande envergure alors que d’autres sont beaucoup plus ciblées. Dans tous les cas, l’objectif reste le même hameçonner des utilisateurs moins prudents pour usurper leur identité. Parmi les stratégies de phishing les plus répandues, nous pouvons citer Les courriers de phishing C’est la technique préférée des hackers. Ayant pour début la célèbre escroquerie du prince nigérian, les e-mails de phishing font beaucoup de victimes chaque année. En général, ces messages électroniques contiennent des liens ou des pièces jointes qui invitent les utilisateurs à entrer leurs données personnelles. La stratégie utilisée est souvent si bien élaborée qu’il est difficile de soupçonner une arnaque. Cependant, certains outils technologiques permettent de se protéger contre cette menace. Le spear phishing attaque ciblée Il s’agit d’une technique par laquelle les pirates tentent de soutirer des informations sensibles aux victimes. Pour parvenir à leurs fins, ils font un compromis de messagerie professionnelle en créant un compte de messagerie presque identique à celui d’un employé sur un réseau d’entreprise. L’idée, c’est de se faire passer pour ce dernier afin de glaner des informations privées sur un dirigeant. Avec ces informations, il pourra diffuser des logiciels malveillants sur le parc informatique de l’entreprise et demander des transferts de fonds. C’est d’ailleurs pour cette raison qu’il est fortement recommandé d’installer un logiciel anti-malware réputé sur chacun des ordinateurs d’une entreprise. Le phishing sur les réseaux sociaux Les médias sociaux sont aujourd’hui des outils de communication indispensables pour les entreprises. Les hackers le savent bien et n’hésitez pas à jeter leur dévolu sur ce canal afin d’atteindre leurs objectifs. Pour ce faire, ils ont développé plusieurs stratégies destinées à hameçonner leurs victimes. Il peut s’agir par exemple de les inviter à aimer de faux liens ou à devenir amis avec de faux comptes afin de récupérer vos informations personnelles. Comme vous pouvez le constater, les pirates utilisent divers moyens de phishing pour dérober les données privées de leurs victimes. Assurez-vous d’installer un logiciel anti-malware réputé sur votre ordinateur pour déjouer leurs plans ! Il est très simple de déployer une infrastructure de phishing grâce aux services d’Amazon Web Service ainsi qu’au framework Gophish. Ce framework opensource est dédié à la création de campagnes de phishing et permet un suivi très précis. La création d’une campagne de phishing se décline en 3 étapes Création de l’infrastructure AWS Installation de Gopish Création du profil Gopish, template et landing page Création de l’infrastructure AWS Amazon Web Service propose de profiter d’offres pendant 12 mois après la date d’inscription de départ sur AWS. De ce fait, il est possible de déployer une instance de serveur qui sera disponible 24/24h. Pour cela, il suffit de s’inscrire sur le AWS. Une fois le compte crée, il suffit de déployer une instance de calcul EC2 Il faut ensuite choisir un système compatible avec l’offre gratuite. Je préfère personnellement choisir Ubunut Server Plusieurs offres de puissance sont disponibles, la configuration minimale suffit amplement à Gophish L’étape suivante consiste à créer une paire de clé au format .pem qui permettra de se connecter directement via SSH à l’instance À ce stade, l’instance devrait être lancée La dernière configuration nécessaire concerne l’ouverture de port de la machine. En effet, il est nécessaire d’autoriser les flux entrants vers les ports 22 SSH 80 HTTP pour la page de phishing 3333 Interface d’administration de Gophish 443 HTTPS pour la page de phishing Il faut donc configurer le Groupe de sécurité La configuration doit ressembler à cela Note Il est conseillé de modifier le port par défaut de la page d’administration de Gophish et d’autoriser uniquement l’ouverture de port depuis la machine de l’attaquant Il faut ensuite connaître l’adresse IP pour se connecter à cette instance, Amazon fournit la ligne de commande à entrer en cliquant sur le bouton Se connecter La configuration de l’instance AWS est désormais terminée. Installation de Gopish Il est maintenant nécessaire d’installer Gophish. La dernière version doit être téléchargée sur le dépôt Github officiel. Note Tout ce que je décrirai à partir de ce chapitre jusqu’à la fin de l’article est disponible sur la documentation officielle disponible à cettre adresse. Le binaire est déjà compilé et prêt à l’emploi. Il suffit d’extraire le contenu avec la commande suivante unzip Il faut ensuite démarrer gophish en tant que root L’interface d’administration devrait à présent être accessible depuis l’adresse https//3333 Les identifiants par défaut sont Identifiant admin Mot de passe gophish Création du profil Gopish, template et landing page Création du profil Il est nécessaire de configurer un profil Gophish, c’est à dire configurer des identifiants SMTP, un compte Gmail par exemple peut être utilisé Création du template d’email Il est maintenant nécessaire de créer un template d’email. Gophish permet d’utiliser des variables dans le template telles que Variable Description {{.RId}} L’identifiant unique de la cible {{.FirstName}} Le prénom de la cible {{.LastName}} Le nom de famille de la cible {{.Position}} La fonction dans l’entreprise de la cible {{.Email}} L’adresse mail de la cible {{.From}} L’adresse mail de l’expéditeur {{.TrackingURL}} L’URL de tracking qui sert à la génération du tableau de bord de statistique de la campagne de Gophish {{.Tracker}} Une autre manière de déclarer le tracker {{.URL}} L’URL de phishing {{.BaseURL}} L’adresse du chemin de base du serveur. Idéal pour faire des liens vers des ressources statiques. L’email peut être rédigé en HTML pour ajouter plus de structure et le rendre moins “brut”. Création de la landing page La landing page correspond à la page qui sera ouverte lorsque l’utilisateur clique sur le lien. Elle peut être un formulaire par exemple. Deux solutions sont disponibles pour la création de la landing page Du code HTML peut directement être entré. Gophish peut copier automatiquement la page en entrant l’adresse du site à copier La documentation décrit cette procédure. Création d’un groupe de victimes Cette étape consiste à créer un groupe qui référence les victimes Plusieurs méthodes sont possibles Les victimes peuvent être entrées manuellement. Il est important de remplir tous les champs car les variables comme les prénoms, noms, adresse mail et emploi dans l’entreprise se basent sur ces informations. Il est également possible d’importer les victimes via un fichier CSV. La documentation décrit de manière plus précise comment utiliser ces fonctionnalités et le format du CSV attendu. Création de la campagne La dernière étape est la création de la campagne. Tous les éléments précédemment créés Lorsque tout est correctement configuré, il suffit de cliquer sur Lauch Campaign pour que les mails soient envoyés à toutes les cibles entrées dans le groupe. Un tableau de bord lié à la campagne est alors disponible indiquant le nombre d’ouverture de mails et clicks Bonus Petite astuce, lors d’une campagne de phishing, la contextualisation et la personnalisation du template génèrera un taux de clic beaucoup plus élevé. Par exemple, en ce moment Un mail venant des RH pour annoncer les nouvelles recommandations sanitaires juste après les annonces gouvernementales liées au COVID-19 sera beaucoup plus impactant qu’un mail d’annonce de chèque cadeau Noël en plein mois d’août. Il est également possible de personnaliser le mail, en sachant qu’une personne attend un colis, il peut être pertinent d’écrire un mail en rapport avec le sujet. Plus l’attaquant aura d’informations sur la victime, plus le mail pourra être personnalisé et contextualisé. Vous avez aimé l'article ? Partagez le Un chercheur a mis au point une technique qui permet de créer des formulaires de connexion pirates qui deviennent très difficiles à détecter. Le phishing ou hameçonnage en français est presque une technique pirate vieille comme le monde, à l'échelle de la cybersécurité. Il n'est pas étonnant de la voir ainsi évoluer. Sauf qu'on peut s'inquiéter de cette évolution, avec l'apparition d'une technique, relativement nouvelle, qui est susceptible de piéger un grand nombre d'utilisateurs, même les plus avertis. Une technique de phishing indétectable… C'est de plus en plus courant, vous savez, cette fameuse page de connexion qui se présente sur votre navigateur en tentant de vous faire croire que vous vous rendez par exemple sur Facebook, Outlook ou Google ou tous les sites qui utilisent le protocole OAuth et via laquelle vous devez renseigner vos identifiants. Souvent, on peut, par élimination, deviner quelle page est légitime et quelle page ne l'est pas. Les pirates sont notamment trahis par l'URL, pas sécurisée ou du type facebOOk .com ou g00gle .fr. L'utilisateur un peu attentif, sans être spécialement averti, peut dénicher la supercherie. Sauf qu'un chercheur en cybersécurité et développeur, qui répond au pseudo de mrd0x, s'est aperçu que ces fameux formulaires de connexion de phishing pouvaient, à l'aide de fausses fenêtres de navigateur Chrome, être désormais plus crédibles que jamais. Ce dernier a en effet mis au point une BitB, une attaque Browser in the Browser », c'est-à-dire navigateur dans le navigateur, une sorte de mise en abîme informatique qui vient utiliser un modèle prédéfini pour créer une fausse fenêtre contextuelle Chrome qui bluffe son monde et comporte une URL d'adresse personnalisée mais qui, à première vue, nous semble tout à fait légitime. … ou presque ! Le chercheur a publié, sur la plateforme GitHub, un toolkit qui permet à chacun de mettre en place assez facilement une attaque de type BitB depuis le navigateur de la firme de Mountain View, Google Chrome. Et celle-ci fonctionne sur la plupart des grands réseaux sociaux ou applis SaaS les plus connues. Si l'attaque n'est donc pas inédite sur la forme, vous l'aurez compris, c'est surtout le fond qui est surprenant, puisque l'attaquant est désormais susceptible de tromper l'utilisateur, jusque dans l'URL, avec une technique qui utilise diverses astuces HTML et feuilles de style CSS qui aident à imiter de manière très convaincante la fenêtre qui est censée s'ouvrir, pour vous demander de vous connecter à un réseau social ou à une plateforme. Il ne s'agit pas ici de donner de mauvaises idées ni de les relayer, car la technique a déjà été repérée auparavant, en 2020 notamment lorsque des hackers ont tenté de dérober des identifiants pour accéder à la plateforme de jeux vidéo Steam. Et si vous pensez que c'est sans espoir, ne partez pas trop vite, car cette méthode, bien que - très - convaincante, souffre quand même de quelques petits défauts. Si les véritables fenêtres OAuth peuvent par exemple être redimensionnées ou déplacées sur votre écran, puisque considérées comme une instance distincte du navigateur et de sa page principale, ce n'est pas le cas des fenêtres BitB, qu'il est impossible de redimensionner, puisqu'il s'agit d'images en HTML et CSS. L'autre solution reste d'utiliser un gestionnaire de mot de passe, qui ne remplira pas les identifiants sur des formulaires BitB, car ceux-ci sont rappelons-le factices. Il ne les reconnaîtra donc pas. Enfin, pour éviter tout danger, privilégiez, dès que vous le pouvez, l'authentification à multiples facteurs. Bitdefender Total Security 2022 Excellent rapport fonctionnalités/prix de l'abonnement Efficacité sans faille du service Impact léger sur les performances Bitdefender Total Security 2022 continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans fautes. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si l'on salue toujours l'effort didactique de l'éditeur. Il s'agit sans aucun doute de l'une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement. Bitdefender Total Security 2022 continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans fautes. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si l'on salue toujours l'effort didactique de l'éditeur. Il s'agit sans aucun doute de l'une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement. SommaireI. PrésentationII. Rappel c'est quoi le phishing ?III. Installation de GophishIV. Configuration de GophishA. Création des utilisateurs et des groupesB. Créer l'e-mail pour la campagne de phishingC. Créer la landing page pour récupérer les identifiantsD. Configurer le serveur SMTPE. Lancer la campagne de phishingF. Consulter les résultats de la campagne de phishing I. Présentation Dans ce tutoriel, nous allons voir comment utiliser le framework open source Gophish pour créer une campagne de phishing hameçonnage dans le but d'évaluer le niveau de vigilance des utilisateurs.  Grâce à Gophish, vous allez pouvoir créer différentes campagnes de phishing et les diffuser auprès de vos utilisateurs, dans le but de les sensibiliser, de les entraîner, afin qu'il soit capable d'adopter les bons réflexes lorsqu'ils se retrouvent face à un e-mail le site officiel de Gophish Voici les fonctionnalités principales de Gophish Création d'utilisateurs et de groupes d'utilisateurs cibles Création de template pour les e-mails de vos campagnes Création de landing page pour vos campagnes exemple un formulaire de connexion Envoyer des campagnes de phishing avec suivi des e-mails e-mail envoyé, e-mail ouvert, clic sur le lien, données récoltées via le formulaire pour chaque utilisateur Reporting sur les campagnes API pour interroger Gophish à distance et récupérer des informations Voici à quoi ressemble le tableau de bord de Gophish, accessible à partir d'un navigateur Tableau de bord de Gophish Bien sûr, un tel outil peut être détourné pour créer des campagnes malveillantes, mais ce n'est clairement pas l'objectif de cet article. De nombreuses attaques informatiques débutent par un e-mail malveillant et un utilisateur piégé ! Je vous encourage à utiliser Gophish ou un autre outil pour sensibiliser et entraîner vos utilisateurs ! Rien de mieux que la pratique pour vérifier s'ils ont bien compris la session de formation visant à les sensibiliser. Remarque via Office 365 / Microsoft 365, Microsoft propose une fonctionnalité qui permet de réaliser des campagnes de phishing pour sensibiliser vos utilisateurs. Cela nécessite d'utiliser des licences Microsoft 365 E5. II. Rappel c'est quoi le phishing ? Le phishing, ou hameçonnage en français, est une technique utilisée dans le cadre d'attaques informatiques pour inciter l'utilisateur à communiquer des informations personnelles nom d'utilisateur, mot de passe, numéro de carte bancaire, etc. à partir d'un e-mail, d'un SMS, etc... Qui va rediriger l'utilisateur sur une page Web malveillante. Par exemple, le pirate informatique va créer une copie de la page de connexion sur Facebook et il va inclure un lien vers cette copie dans l'e-mail qu'il va envoyer aux utilisateurs ciblés. Si l'utilisateur clique sur le lien, accède à la page et saisit ses informations de connexion, le pirate va récupérer les informations saisies par l'utilisateur. Il peut alors usurper l'identité de l'utilisateur et se connecter à son compte Facebook, mais cela fonctionne pour tout autre compte Google, impôts, banque, etc.. Exemple d'un e-mail de phishing III. Installation de Gophish L'outil Gophish est disponible gratuitement sur Github et il existe des binaires pour Windows, Linux et macOS. Sinon, vous pouvez aussi le compiler vous-même ou utiliser un container Docker pour le tester rapidement. Télécharger les binaires Gophish Documentation - Installation de Gophish Pour ma part, je vais utiliser le binaire pour Windows. On obtient un ZIP qu'il suffit de décompresser. Ensuite, il faut exécuter " Note le serveur qui héberge Gophish doit être accessible par les machines de vos utilisateurs pour que la page Web puisse s'afficher lorsqu'ils vont cliquer sur le lien contenu dans l'e-mail. Par défaut, Gophish s'appuie sur une base de données SQLite, mais il est possible de configurer un serveur MySQL. Le fichier de configuration se nomme " et il est situé au même endroit que l'exécutable. Au premier démarrage, il y a quelques informations intéressantes à relever Le compte par défaut se nomme "admin" et le mot de passe généré aléatoirement est communiqué dans la console il faudra le changer à la première connexion L'interface de Gophish pour afficher les pages web de vos campagnes est accessible sur le port 80/HTTP L'interface d'administration de Gophish est accessible en HTTPS sur le port 3333 Démarrage de Gophish Laissez Gophish tourner et connectez-vous sur l'interface d'administration. IV. Configuration de Gophish Pour se connecter depuis la machine locale, il suffit d'accéder à l'adresse " à partir d'un navigateur. Connectez-vous avec le compte admin et modifiez le mot de passe. Dans cet exemple, mon objectif est de créer une campagne de phishing en reprenant un e-mail d'Instagram qui renvoie vers une page Web avec un formulaire. Avant de pouvoir envoyer notre première campagne de phishing, il va falloir préparer un certain nombre d'éléments c'est ce que nous allons faire, étape par étape. Suivez le guide ! A. Création des utilisateurs et des groupes Nous devons commencer par créer nos utilisateurs et nos groupes. On peut imaginer qu'un groupe correspond aux utilisateurs d'un service ou d'un site. Lorsqu'une campagne de phishing sera envoyée, il faudra cibler un ou plusieurs groupes. Cliquez sur "Users & Groups" puis sur "New Group". Nommez votre groupe en renseignant le champ "Name" et ensuite vous avez deux options Créez vos utilisateurs un par un, en remplissant le formulaire et en cliquant sur "Add". Cela peut vite être chronophage... Créez vos utilisateurs à l'aide d'un fichier CSV que vous pouvez importer avec le bouton "Bulk Import Users". Cela me plaît un peu plus et de toute façon on ne peut pas établir de connexion avec un annuaire externe. Importer les utilisateurs dans Gophish On va s'intéresser un peu plus à la deuxième option l'import CSV. Je ne suis pas trop du genre à faire des saisies en boucle pendant des heures... D'après le template fourni par Gophish, on doit fournir un fichier CSV avec 4 colonnes et la virgule comme séparateur "First Name","Last Name","Email","Position" Je ne sais pas vous, mais j'ai envie de faire une extraction des comptes de l'Active Directory pour importer les comptes dans Gophish. On va dire que "First Name" correspond à l'attribut "givenName", "Last Name" à l'attribut "sn", "Email" à l'attribut "mail" et "Position" à l'attribut "Title" des objets utilisateurs. Pour ce premier groupe, je vais récupérer les utilisateurs de l'OU "OU=Personnel,DC=it-connect,DC=local" et exporter le résultat vers un fichier CSV "C\ En PowerShell, cela me donne la commande suivante et tant qu'à faire avec les bons noms de colonnes souhaités par Gophish. Adaptez le paramètre -SearchBase et éventuellement le chemin de sortie du CSV. Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=it-connect,DC=local" -Properties mail,givenName,sn,title Select-Object {n='First Name';e={${n='Last Name';e={${n='Email';e={${n='Position';e={$ Export-CSV -Path "C\ -Delimiter "," -NoTypeInformation J'obtiens un joli CSV que je n'ai plus qu'à importer. Exemple d'un CSV formaté pour Gophish Note vous pouvez aussi jeter un œil au script GoLDAP qui sert à importer les utilisateurs d'un annuaire LDAP vers Gophish. Les utilisateurs, c'est réglé ! Passons à la suite. B. Créer l'e-mail pour la campagne de phishing Seconde étape la création du modèle d'e-mail que l'on va envoyer aux utilisateurs dans le cadre de cette campagne de phishing. Cliquez à gauche sur "Email Templates" puis sur le bouton "New Template". Pour créer le modèle, vous pouvez partir de zéro ou importer le code HTML d'un e-mail existant ce qui est intéressant pour gagner du temps grâce au bouton "Import Email". Pour cet exemple, j'ai repris un modèle que j'ai trouvé ici et que j'ai traduit en français. Dans tous les cas, je vous recommande d'utiliser l'éditeur HTML afin de pouvoir modifier les balises. Lorsque vous cliquez sur le bouton "Source", vous pouvez basculer entre l'affichage du code et la prévisualisation de votre e-mail. Le bouton le plus à droite permet de prévisualiser l'e-mail dans un nouvel onglet. Pour accéder à tous les boutons de l'éditeur de texte, notamment pour insérer des liens, il faut cliquer sur le bouton "Source". Vous pouvez aussi insérer des balises où la valeur sera dynamique, notamment pour reprendre le prénom ou le nom de l'utilisateur avec un "Bonjour Florian", vous avez plus de chance de piéger l'utilisateur qu'avec un simple "Bonjour". À vous de juger le niveau de difficulté que vous souhaitez pour ce premier essai. 😉 Les champs personnalisés pour Gophish Pour renvoyer vers la landing page qui contient le formulaire, il faut ajouter un lien à l'e-mail. Sur ce lien, il faut indiquer l'URL "{{.URL}}" qui sera remplacée par Gophish par la bonne valeur. Mon e-mail est prêt, voici un aperçu C. Créer la landing page pour récupérer les identifiants Troisième étape création de la landing page qui sera une page piégée puisque si l'utilisateur complète le formulaire, nous allons le savoir ! S'il clique sur le lien, nous allons le savoir aussi ! Cliquez sur "Landing Pages" sur la gauche du menu puis sur "New Page". Donnez un petit nom à votre template et ensuite il faut passer à la construction. Vous pouvez partir de zéro comme pour l'e-mail ou importer un site à partir d'une URL et du bouton "Import Site". Alors, vous pouvez importer la page d'un site existant, mais il faudra adapter le code source le formulaire que vous allez récupérer ne sera peut-être pas conforme aux attentes de Gophish notamment les noms des champs du formulaire. C'est la partie la plus délicate si vous cherchez à copier Instagram, par exemple, mais si vous reprenez un portail de votre entreprise pour cette campagne, ça devrait aller. Pour ma part, j'ai créé une page très basique pour cette démo. Si vous souhaitez récupérer les informations saisies par les utilisateurs, cochez les cases "Capture Submitted Data" et "Capture Passwords" pour le mot de passe même si vis-à-vis du RGPD, je pense qu'il vaut mieux éviter l'option "Capture Passwords". Il est précisé que le mot de passe sera stocké en clair, mais finalement on peut se passer de la récupération du mot de passe. Sauf si vous souhaitez engueuler l'utilisateur s'il utilise un mot de passe faible pour ne pas dire autre chose en plus de s'être fait piéger. Voici le code source de ma superbe page Nom d&39;utilisateur Mot de passe   Si vous arrivez à piéger un utilisateur avec ça, je suis inquiet pour vous. Enregistrez... La page est prête ! D. Configurer le serveur SMTP Avant de lancer la campagne, il nous reste une dernière étape la configuration du serveur de messagerie SMTP. Vous vous en doutez, il va servir à envoyer les e-mails de nos campagnes de phishing. Sur la gauche, cliquez sur "Sending Profiles" puis sur "New Profile". Ensuite, vous devez nommer votre profil et renseigner les informations en complétant le formulaire. Voici quelques indications From adresse e-mail utilisée pour envoyer les e-mails, c'est-à-dire l'expéditeur. Si vous effectuez une campagne de sensibilisation axée sur Instagram, il peut être intéressant d'utiliser un nom de domaine trompeur et semblable à " S'il n'a rien à voir, ce sera plus facile pour les utilisateurs de voir qu'il s'agit d'un piège mais ce sera aussi l'occasion de voir s'ils ont bien compris qu'il fallait vérifier l'e-mail de l'expéditeur même si ce n'est pas suffisant. Host serveur SMTP à utiliser pour envoyer les e-mails, suivi du port séparé par "" Username compte utilisateur pour s'authentifier sur le serveur SMTP Password le mot de passe de ce compte Pour valider que ça fonctionne, cliquez sur "Send Test Email". Si c'est bon, vous pouvez continuer. Note vous pouvez créer plusieurs profils, car en fonction de la campagne, vous n'allez peut-être pas utiliser la même adresse d'expéditeur. E. Lancer la campagne de phishing Tout est prêt ! Nous allons pouvoir créer notre première campagne de phishing et tester nos utilisateurs ! Cliquez sur le menu "Campaigns" puis sur "New Campaign". Pour créer cette campagne nommée "Instagram n°1", on va réutiliser les éléments créés précédemment "Email Template", "Landing Page" et "Sending Profile". Concernant, les autres options URL indiquez le nom de domaine ou l'adresse IP là aussi, essayez de faire en sorte de tromper vos utilisateurs pour les évaluer correctement où les utilisateurs pourront contacter votre serveur Gophish. Launch Date date à laquelle envoyer la campagne, par défaut c'est immédiatement. Si vous spécifiez aussi une date pour le champ "Send Emails By", Gophish enverra les e-mails à un moment donné entre la date de début "Launch Date" et la date de fin "Send Emails By". Ainsi, tous les utilisateurs ciblés ne vont pas recevoir l'e-mail en même temps. Groups sélectionnez un ou plusieurs groupes d'utilisateurs que vous souhaitez cibler avec cette campagne. Créer une campagne dans Gophish Quand tous les champs sont complétés, cliquez sur "Launch Campaign" pour démarrer la campagne ! Le tableau de bord de la campagne va s'afficher et la section "Details" vous indique la "progression" pour chaque utilisateur. F. Consulter les résultats de la campagne de phishing En tant qu'utilisateur ciblé par la campagne de phishing, j'ai reçu l'e-mail ci-dessous, avec le fameux "Bonjour Florian". On peut voir que le lien renvoie vers mon serveur Gophish et l'adresse IP spécifiée dans la campagne. Je décide de cliquer sur le lien j'arrive bien sur la landing page. Je suis confiant, je vais me connecter comme indiqué dans l'e-mail.... Dans le même temps, sur l'interface de Gophish, on peut voir qu'il y a un utilisateur qui a ouvert l'e-mail, cliqué sur le lien et envoyé des données. Note la section "Email Reported" indique le nombre d'utilisateurs qui ont signalé cet e-mail pour dire qu'il était malveillant. Un utilisateur qui a signalé l'e-mail frauduleux au service informatique doit être récompensé ! 😉 - Pour configurer cette fonction, rendez-vous dans "Account Settings" puis "Reporting Settings" configurez la boîte e-mail qui sert à vos utilisateurs à remonter les incidents de sécurité au service informatique. En complément, la "Campaign Timeline" nous donne un aperçu des événements dans le temps, avec le nom d'utilisateur et l'action effectuée. C'est plutôt bien fait ! Au niveau de la section "Details", je peux voir que l'utilisateur "Florian Burnel" a envoyé des données via le formulaire ! Je peux même obtenir le détail des actions avec la date et l'heure, c'est très précis ! En affichant tous les détails, je peux également visualiser le mot de passe envoyé par le formulaire de ma landing page "JeTeDonneMonMotDePasse". Finalement, je crois qu'il m'a démasqué et qu'il s'en amuse ! 😉 En complément, le bouton "Complete" permet de terminer une campagne et de l'archiver les résultats restent accessibles. Enfin, vous pouvez exporter un rapport au format CSV en cliquant sur "Export CSV". Cette démo de Gophish est terminée ! Maintenant, c'est à vous de jouer ! Pensez à former les utilisateurs puis à les tester avec Gophish. Dans la foulée de la campagne, effectuez une seconde session de sensibilisation auprès des utilisateurs qui se font piéger. Sans oublier une piqûre de rappel pour tout le monde, de temps en temps.

comment faire une page de phishing