Roadmap Phishing

Technologies impliquées contre le phishing

SPF (Sender Policy Framework) : Enregistrement DNS d’un domaine qui permet d’authentifier l’expéditeur d’un courrier électronique. Cela permet de vérifier que le serveur qui envoie un mail à partir d’une adresse mail en @mondomaine.com est bien légitime.

DKIM (DomainKeys Identified Mail) : Protection qui chiffre le message et assure l’intégrité de ce dernier durant sa transition entre le serveur émetteur et récepteur.

DMARC (Domain-based Message Authentication, Reporting and Conformance) : Protection qui permet de définir les politiques à tenir lors de la réception d’un e-mail, en s’appuyant sur les enregistrements SPF et DKIM (Autoriser, rejeter, mettre en quarentaine etc.)

Campagne de phishing avec Gophish

Prérequis

  • Achat d’un VPS pour exposer le serveur Gophish (Attention : certains hébergeurs bloquent les flux sortants vers d’autres serveurs SMTP. Il faut alors vérifier que cette fonctionnalité est désactivée au moment de la souscription chez un hébergeur) ;
  • Achat d’un nom de domaine ;
  • Redirection du nom de domaine vers l’adresse IP du VPS.

Important

Il est conseillé de prendre le nom de domaine le plus tôt possible. Plus celui-ci a de l’ancienneté, plus il sera légitime lors des envois de mails.

Configuration de Gophish

Au premier démarrage de Gophish, celui-ci va générer un mot de passe admin accessible dans les logs. Il sera demandé de le modifier à la connexion. Par défaut, l’interface web d’administration est accessible en localhost sur le port 3333. Pour plus de simplicité il est possible de faire une redirection vers un port local pour y accéder :

ssh -L 3333:127.0.0.1:3333 $USER@$IP_VPS -i

Options SMTP

Section dans laquelle doivent être renseignées les informations liées au service SMTP. Pour Gmail, penser à activer l’option “Accès moins sécurisé des application” afin de pouvoir s’authentifier au serveur SMTP de Gmail.

Créer un e-mail

Les principales variables de Gophish sont les suivantes :

  • {{.FirstName}}
  • {{.Email}}
  • {{.URL}}

Tester l’e-mail

Pour tester la qualité de l’e-mail qui sera envoyé lors de la campagne, ne pas hésiter à utiliser le site MailTester : Lien