Tous
https://github.com/ThoughtfulDev/EagleEye
Présentation de Eagle Eye
Le but estr de trouver les principaux réseaux sociaux de John Doe. Il s’agit d’un script écrit en python qui propose une méthode pour trouver les comptes Facebook, Twitter et Instagram d'une personne à partir de son nom et d’une ou plusieurs photos.
Seulement une partie du nom peut également suffire (uniquement le nom de famille ou les premiers caractères de celui-ci par exemple), mais plus celui-ci sera exact, plus Eagle Eye se montrera précis dans ses recherches.
L’intégralité du code ainsi que les prérequis nécessaires à son fonctionnement sont présents sur GitHub.
Une fois ces derniers en place et le code source récupéré, il est possible d’exécuter le script. Il est néanmoins nécessaire d’incorporer en amont dans un des dossiers, l’image de la cible prise dans le train. Une fois cela effectué, le script lancé dans un terminal et le nom de John Doe renseigné en paramètre, la recherche va s’effectuer de la manière suivante :
Obtention des principaux réseaux sociaux
Avec Eagle Eye, il est donc ainsi possible d’obtenir les comptes de notre cible sur les principaux réseaux sociaux. En se rendant sur les pages de ces comptes, d’autres informations personnelles seront disponibles. Par exemple :
Ce n’est là qu’une toute petite partie de toutes les informations que l’on peut trouver sur la cible, et c’est autant d’informations qui pourront se démontrer utiles par la suite.
Présentation de Lusha
La suite de l’investigation s’effectue avec Lusha et s’oriente vers la récupération des adresses e-mail et des numéros de téléphone. Lusha est une extension pour navigateur qui permet d'obtenir ces informations par le biais de comptes LinkedIn, Twitter, Gmail ou SalesForce.
C'est via Twitter que beaucoup ont découvert ce service et suite à cela, des tests réalisés par différentes personnes sur des hommes politiques français tels que le Premier ministre ont démontré la véracité des informations obtenues.
Lusha est une extension créée par une entreprise américaine qui fournit des informations personnelles obtenues par le biais « des partenaires commerciaux qui contribuent à la communauté Lusha ».
Exploitation de Lusha
Pour l’exploiter, il suffit de se rendre sur le compte Twitter que l’on aura eu par le biais d’Eagle Eye et de récupérer dans la pop-up générée par l’extension, les informations que l’on souhaite.
Si cela n’a pas été fructueux, il est possible de s’orienter vers le compte LinkedIn de la personne ciblée. En effet, beaucoup d’employés de grandes entreprises et surtout dans le domaine de l’informatique, sont présents sur ce réseau social. Avec uniquement le nom et un peu de patience, il est assez aisé de trouver le compte souhaité.
Une fois le compte obtenu, l’exploitation est identique à celle de Twitter.
Il faut cependant noter que son utilisation est gracieuse dans un premier temps (5 profils par mois) puis payante. Il faudra débourser pas moins de 300 dollars par an (30 consultations par mois).
Obtention d’e-mails / numéro de téléphone
Avec un peu de chance, le numéro de téléphone et l’adresse e-mail professionnels sont obtenus par le biais de Lusha. Son adresse e-mail personnelle est également trouvée, mais par un biais légèrement différent : en effet, sur LinkedIn, John a mis son CV en pièce jointe téléchargeable qui contient l’adresse e-mail personnelle.
Ce sont de nouvelles informations qui se montreront utiles par la suite.
https://github.com/twintproject/twint
Présentation de Twint
Maintenant que nous avons les réseaux sociaux et les contacts de John Doe (e-mail, téléphone, etc.), il peut être intéressant de rechercher de plus amples informations et notamment sur Twitter. C’est la fonctionnalité du prochain outil que nous allons voir, appelé Twint [7].
À partir du compte Twitter, ce programme open source codé en python, va permettre de récupérer tous les tweets postés par la personne que l’on cible.
Il n’est pas nécessaire d’avoir de compte Twitter pour l’utiliser, car Twint ne passe pas par l’API Twitter et permet donc une utilisation sans avoir le besoin de se connecter au réseau social.
Exploitation de Twint
Pour exploiter Twint, avoir une machine avec python3 d’installé est nécessaire. Son installation s’effectue par le biais de la commande pip3 install twint pour une version stable ou via GitHub si l’on souhaite une version développement.
À partir du compte de notre cible, que l’on a pu récupérer préalablement (Eagle Eye par exemple), l’exécution de la commandetwint -u username où username représente le nom du compte ciblé, suffit à lancer l’acquisition des tweets postés par ce compte.
Il existe plusieurs autres options pouvant se montrer utiles telles que :
Il existe une multitude d’autres options ; ces dernières sont listées et expliquées au sein de la documentation GitHub de l’outil.
Obtention de tweet contenant des informations personnelles
En utilisant cet outil, il très simple de lire tous les tweets de notre cible et ainsi obtenir les informations personnelles qu’elle aurait pu poster sur Twitter.
Il est possible de se concentrer dans un premier temps sur les e-mails et les numéros de téléphone par le biais des options vues ci-dessus ou bien même de développer nos propres scripts permettant de repérer d’autres informations spécifiques telles que des adresses ou des dates d’anniversaire (avec des expressions régulières par exemple). Autant d’informations qui pourront être utiles par la suite.
Twint permet également l’acquisition des followers du compte ou des comptes que ce dernier suit, mais l’outil que nous allons voir dans la prochaine partie est plus développé dans cette expertise.
https://github.com/vaguileradiaz/tinfoleak
Présentation de Tinfoleak
À l’instar de Twint, Tinfoleak [8] est également un programme open source écrit en python et qui permet d’obtenir de multiples informations concernant un compte.
Là où Twint permettait un simple scrapping du compte de la personne ciblée, Tinfoleak effectue une véritable analyse du profil et fournit en sortie un ensemble d’informations qu’il a pu récupérer comme les hashtags et les mots les plus cités, les applications utilisées pour publier les tweets ou encore les métadonnées des images.
Exploitation de Tinfoleak
Tinfoleak est trouvable sur GitHub, mais il est également natif dans certains systèmes d’exploitation Linux tels que Kali ou BlackArch.
Bien que son installation soit simple, l’exploitation de cet outil est légèrement plus compliquée que pour les outils précédents.
En effet, il sera tout d’abord nécessaire de posséder un compte Twitter, mais comme l’outil utilise l’API du réseau social, il sera également demandé de créer une application auprès de Twitter afin d’obtenir des tokens d’authentification. Les procédures pour effectuer cet enregistrement sont détaillées au sein de la page Twitter dédiée aux développeurs.
Suite à la création de l’application, il est nécessaire d’incorporer les jetons récupérés au sein d’un des fichiers de configuration et par la suite l’outil est prêt à être utilisé.
Il suffit pour cela de définir en entrée les paramètres que l’on souhaite utiliser. Parmi ces derniers, on trouve :
Il est ainsi possible de générer un fichier HTML retraçant toutes les informations récupérées en fonction des paramètres d’entrée.
Obtention d’informations à partir de tweets
En plus des informations récupérées avec Twint, il est possible avec Tinfoleak de cerner encore plus la personnalité et les habitudes de la personne ciblée.
En récupérant ses localisations, les hashtags utilisés ou les applications qu’il utilise pour poser ses tweets (navigateur web, application iOS ou Android, etc.), il est beaucoup plus simple de créer des campagnes de phishing personnalisées, basées sur ses préférences et habitudes.
Exploitation des informations
Maintenant que nous avons vu plusieurs outils pouvant se montrer utiles pour récupérer des informations, nous allons voir quelles approches peuvent prendre les attaques. Toutes auront pour but l’objectif initial, qui est l’atteinte du système d’information de l’entreprise. De nombreux autres scénarios, axés notamment sur l’atteinte de l’individu et non l’entreprise, sont possibles.
Pour faire un résumé des données que l’on peut avoir en notre possession actuellement, il y a :
Phishing
Un des premiers types d’attaques possibles est bien entendu le phishing. Pour cette attaque qui consiste à tenter de récupérer des informations en usurpant une identité, la récupération d’informations sur une personne peut permettre l’amélioration de leur attaque en la personnalisant.
Reprenons notre contexte. Nous avons trouvé par le biais de son profil LinkedIn, que John Doe était volontaire dans une association de lutte contre le SIDA. Par le biais de son Facebook, et notamment de ses connaissances, nous trouvons des photos de Jane Doe, une parente qui semble être atteinte de la maladie (via des messages concernant l’évolution de sa maladie).
À partir de ce moment-là, il est possible de créer un e-mail en usurpant l’identité d’un membre de l’association et d’écrire à John pour l’inviter à une levée de fonds pour financer les tests d’un nouveau médicament. Bien entendu, un formulaire d’inscription est à remplir et celui-ci est fourni en pièce jointe de l’e-mail.
De bonne volonté, John Doe téléchargera la pièce jointe… et le malware qu’il contenait. Suite à cela, une backdoor est installée sur son poste et l’attaquant a trouvé une porte d’accès vers le système d’information de l’entreprise.
Recouvrement de mots de passe
De nombreux sites à usages personnels ou professionnels incorporent un système de recouvrement de mots de passe par le biais de quelques questions comme :
Autant d’informations récupérables assez aisément. Une fois ces informations obtenues et les réponses fournies, il est alors possible de générer un nouveau mot de passe et d’accéder au compte professionnel de John et a fortiori à des informations internes à l’entreprise.
Ce type de recouvrement devient un peu plus rare de nos jours, mais de nombreuses applications continuent à l’utiliser.
https://www.darknet.org.uk/2006/11/wyd-automated-password-profiling-tool/
Toujours concernant les mots de passe, il est possible d’utiliser l’outil wyd. Ce programme écrit en perl, permet la génération de wordlist en fonction de mots clefs. Il peut être très intéressant dès lors que l’on connaît des informations telles que :
En effet, il est assez récurrent d’utiliser ce type d’informations pour générer des mots de passe dont on se souviendra. Wyd va donc permettre à un attaquant de pouvoir tenter une attaque par brute-force sur des comptes personnels ou professionnels de la personne ciblée.
Ce type de dictionnaires se montrera plus efficace sur les mécanismes de type authentifications web, SSH ou Basic AuthN.
Comme pour le cas du recouvrement de mots de passe, l’utilisation de wyd peut nous permettre d’avoir accès au compte professionnel de John Doe et aux informations s’y trouvant.
Réseaux sociaux
Une grande majorité des informations obtenues le furent par le biais des réseaux sociaux et c’est également par cette même source qu’il est possible de les utiliser, que ce soit pour de faux comptes créés de toute pièce ou pour usurper l’identité numérique d’une personne.
Faux compte
Avec le flux d’informations obtenues, il est très facile de les réutiliser pour créer de faux comptes qui seront utiles par la suite pour mener à bien d’autres attaques telles que du social engineering ou du phishing sur des cibles connaissant la véritable personne de plus ou moins loin.
Cela peut également permettre de réaliser ces attaques envers des personnes totalement inconnues, mais les informations du compte resteront assez réelles pour endormir la vigilance des moins prévenus à ce type d’attaque.
Dans notre contexte, cela peut permettre à l’attaquant de récupérer des informations sur les clients de l’entreprise en se faisant passer pour John Doe auprès de certains membres des équipes commerciales par exemple.
https://github.com/TunisianEagles/SocialBox
SocialBox est un outil open source écrit en Bash disponible sur GitHub et permettant une attaque de type brute-force sur les principaux réseaux sociaux que sont Facebook, Instagram et Twitter. L’outil inclut également une fonctionnalité pour effectuer l’attaque sur les comptes Gmail.
Pour ce faire, il suffit simplement de fournir le nom d’utilisateur du réseau social ou l’e-mail pour le compte Gmail ainsi qu’un dictionnaire et le programme s’occupera d’effectuer le brute-force pour chacun des mots de passe contenus dans le dictionnaire.
Il est possible d’en utiliser des communs tels que rockyou ou d’inclure son propre dictionnaire, qui a été généré par wyd par exemple. Il est donc envisageable d’étudier les réseaux sociaux d’une personne afin de générer un dictionnaire de mots de passe personnalisé puis d’essayer une attaque par brute-force pour récupérer son compte Gmail personnel ou professionnel.
source article publique : https://connect.ed-diamond.com/MISC/MISC-104/Methodologie-d-OSINT-orientee-reseaux-sociaux