Pirater un compte bancaire en ligne en 7 étapes...

Publié le par JTC

Comme promis précédemment, voici l’article expliquant comment pirater un compte en banque en ligne uniquement à partir d’informations ouvertes.


Dans son article tiré du Scientific American, l’américain Herbert H. Thompson nous offre un exemple parfait de social hack ou ingénierie sociale.



Nous tenons à souligner que, comme vous vous en doutez, cet article n’est qu’un exemple des possibilités de l’ingénierie sociale. Notre intention n’est pas de permettre à tout un chacun de devenir un hacker potentiel mais bien de sensibiliser nos visiteurs à ces techniques, et également, de s’en prémunir.


Dans cet exemple, Thompson va s’évertuer à pirater le compte d’une des connaissances  de sa femme, qu’il appelle « Kim », en 7 étapes très simples. Au départ il ne connaît que peu d’informations à son sujet : son nom, état de naissance, emploi, âge et également sa banque.


- En faisant une recherche sur Google, il découvre le blog de “Kim”, la victime. Le blog s’avère être une vraie mine d’or avec des informations sur ses grands-parents, ses animaux domestiques, sa ville, son adresse email à l’université et son email chez Gmail

- 1ère tentative pour récupérer le mot de passe de l’accès au compte en banque de sa cible. 1er échec car Thompson n’a pas accès à son compte mail : prochain objectif donc, récupérer les accès email de Kim.

- 2ème tentative pour récupérer les codes d’accès du compte Gmail par un essai de réinitialisation du mot de passe ; 2nd échec. Cependant en tentant de réinitialiser le mot de passe, Google indique que le mot de passe est envoyé sur une adresse xxxx.edu. A partir des informations récupérées sur le blog, Thompson sait alors qu’il s’agit de l’adresse étudiante de sa cible.

- Thompson essaye donc de récupérer le mot de passe du compte mail de l’université de Kim. On lui demande un certain nombre d’informations “personnelles” pour réinitialiser le mot de passe. Grâce au blog il les possède toutes, sauf sa date de naissance.

- Thompson tente alors de trouver de la date de naissance de Kim par une recherche des infractions sur un site public du Département des véhicules motorisés ; perte de temps et donc tentative par un autre moyen.

- Recherche fructueuse sur le blog : Kim a posté un billet où elle parle de son anniversaire.

- Thompson récupère un accès au compte mail de l’université, le change et peut donc récupérer un mot de passe pour le compte Gmail de Kim. Or c’est sur ce compte que la banque envoyait ses mails de changement de mot de passe. Thompson peut alors accéder en toute facilité au compte bancaire de sa proie, et ce uniquement à partir d’information blanche…


Cet exemple frappant témoigne de la vulnérabilité des informations que nous mettons à disposition sur Internet, même au travers d’un modeste blog. Comme le suggère l’auteur, tous les utilisateurs d’Internet devraient suivre la règle suivante : Réfléchir d’abord/poster ensuite, de manière à se prémunir contre de telles fraudes.


A bientôt !

Publié dans Sécurité

Commenter cet article

B3B - Marc 02/11/2008

Intéressant de comprendre ici la démarche de collecte d'information. Je ne pense pas que cette attaque pourrait être réalisée avec succès en France et en Suisse grâce au principe "d'authentification forte" mise en place par les banques et obligeant la possession d'un mot de passe ET d'un jeton de session (carte à grille, SMS, ...)

Identity 09/11/2008

Merci pour cet éclairage intéressant même s'il est un peu effrayant... Merci aussi pour ton blog que je trouve intéressant et qui m'aide à alimenter un peu le mien, qui me sert de soutient pour mon projet de fin d'année. D'ailleurs si tu as quelques commentaires à faire dessus, tu y sera le bienvenu.
Identitynone
http://identity-none-blog.blogspot.com/

banque en ligne 15/09/2009

La social engineering n'a rien de nouveau, mais il est vrai qu'avec l'apparition du web 2.0 où les gens publient des informations personnelles à tout va, cela devient plus facile. Cela dit, mes diverses banques françaises ne m'ont jamais envoyé de mot de passe par email. Et cela semble logique, compte tenu de l'absence totale de sécurisation. Envoyer un mot de passe par email revient à envoyer un code secret sur une carte postale... Cela dit, appeler la banque par téléphone ou accéder à la boîte aux lettres de sa victime sont d'autres moyens d'obtenir des informations confidentielles...