Roadmap Phishing
Technologies impliquées contre le phishing
SPF (Sender Policy Framework) : Enregistrement DNS d’un domaine qui permet d’authentifier l’expéditeur d’un courrier électronique. Cela permet de vérifier que le serveur qui envoie un mail à partir d’une adresse mail en @mondomaine.com est bien légitime.
DKIM (DomainKeys Identified Mail) : Protection qui chiffre le message et assure l’intégrité de ce dernier durant sa transition entre le serveur émetteur et récepteur.
DMARC (Domain-based Message Authentication, Reporting and Conformance) : Protection qui permet de définir les politiques à tenir lors de la réception d’un e-mail, en s’appuyant sur les enregistrements SPF et DKIM (Autoriser, rejeter, mettre en quarentaine etc.)
Campagne de phishing avec Gophish
Prérequis
- Achat d’un VPS pour exposer le serveur Gophish (Attention : certains hébergeurs bloquent les flux sortants vers d’autres serveurs SMTP. Il faut alors vérifier que cette fonctionnalité est désactivée au moment de la souscription chez un hébergeur) ;
- Achat d’un nom de domaine ;
- Redirection du nom de domaine vers l’adresse IP du VPS.
Important
Il est conseillé de prendre le nom de domaine le plus tôt possible. Plus celui-ci a de l’ancienneté, plus il sera légitime lors des envois de mails.
Configuration de Gophish
Au premier démarrage de Gophish, celui-ci va générer un mot de passe admin accessible dans les logs. Il sera demandé de le modifier à la connexion. Par défaut, l’interface web d’administration est accessible en localhost sur le port 3333. Pour plus de simplicité il est possible de faire une redirection vers un port local pour y accéder :
Options SMTP
Section dans laquelle doivent être renseignées les informations liées au service SMTP. Pour Gmail, penser à activer l’option “Accès moins sécurisé des application” afin de pouvoir s’authentifier au serveur SMTP de Gmail.
Créer un e-mail
Les principales variables de Gophish sont les suivantes :
{{.FirstName}}
{{.Email}}
{{.URL}}
Tester l’e-mail
Pour tester la qualité de l’e-mail qui sera envoyé lors de la campagne, ne pas hésiter à utiliser le site MailTester : Lien