Vous trouverez dans ce rapport comment j'ai pu débloquer un site web e-commerce piraté et prévenir par coincidence le piratage d'une quarantaine de cartes bancaires.
Le plan que j'ai suivi de cette présentation est comme suit:
- Contexte de mon intervention, c'était un weekend et je me suis bien amusé!
- La démarche étape par étape que j'ai suivi pour traiter cet incident.
- Identification de la cause du piratage du site web.
- Pour satisfaire ma curiosité, j'ai analysé l'attaque et détecter sa finalité.
- J'ai enfin présenter quelques recommandations qu'ils faut rapidement les mettre en place pour bien sécuriser vos comptes informatiques.
Rapport d'incident - site e-commerce piraté & injection d'une page de phishing pour récupérer les données bancaires
1. Comment j'ai pu débloquer un site
e-commerce piraté ET prévenir par
coïncidence le piratage d'une
quarantaine de cartes bancaires?
Aziz AMGHAR – 31/05/2020
2. Au sommaire:
Le Contexte de mon intevention
La Démarche suivie pour analyser et traiter cet incident
La cause de cet incident
Analyse de l’attaque et sa finalité
01
02
03
04
05 Bien protéger vos comptes
Aziz AMGHAR – 31/05/2020
3. Contexte
• Un ami m'a appelé la nuit du vendredi 29/05 pour
l'assister, car son site e-commerce était injoignable.
• En vérifiant, le site a été désactivé par l’hébergeur
web, parce que ce dernier a constaté l'hébergement
d'une page de phishing (hameçonnage).
• Ce type de page permet de voler des données
personnelles de victime en se faisant passer pour
un site web légitime (comme un site de banque,
e-commerce ou autre).
• Une personne mal intentionnée a pris le contrôle
de toute ou partie du site web et y injecté des
nouvelles pages.
• L'hébergeur a communiqué à mon ami le chemin des
fichiers infectés (les nouvelles pages injectées)
25% 30%
Quoi, qui et quand.
Aziz AMGHAR – 31/05/2020
4. Démarche 1/3
1. J'ai pris le contrôle du site et récupéré tous les fichiers
infectés pour une analyse ultérieure, puis je les ai
supprimé tous.
2. J'ai changé tous les mots de passe: ftp, base de données..
en mettant des mots de passe complexes.
3. Le site web restait toujours injoignable, j'ai demandé à
mon ami d'appeler son hébergeur web pour lui demander
de réactiver le site web.
4. Le site est à nouveau joignable, MAIS il est blacklisté,
c'est à dire, quand tu veux l'ouvrir dans chrome ou firefox,
le navigateur affiche une page d’avertissement en rouge
qui t'alerte que le site que vous allez ouvrir est trompeur
et qu’il héberge des outils malveillants…, donc personne
ne pourra l'ouvrir normalement sauf si on procède à des
contournements de ces alertes, le site web est UP mais
n'est pas sûr !
Aziz AMGHAR – 31/05/2020
5. Démarche 2/3
25% 5. J'ai pris le contrôle sur le site web et procéder à
plusieurs mises à jour: CMS (Wordpress), tous les
plugins installés (activés et désactivés), les thèmes..
6. J'ai aussi procédé à des scans de vulnérabilités,
malwares.., le site est bien nettoyé, par contre il est
toujours blacklisté par google, qui dit google dit
internet !
7. Pour retirer le site web de la liste noire de google, je
l'ai intégré dans l'outil google search console, j’ai
vérifié le rapport sur les problèmes de sécurité et j’ai
envoyé une demande de réexamen à google.
8. Après quelques heures, une notification de google est
reçu nous informant que l'examen du site web est
réussi et que les avertissements visibles par les
internautes sont en cours de suppression.
Aziz AMGHAR – 31/05/2020
6. Démarche 3/3
25%
9. Après quelques minutes, j’ai vérifié à nouveau le site
web depuis plusieurs téléphones, ordinateurs..
et constaté que la navigation sur le site ne pose plus
de problème et n'affiche plus d'avertissement,
c'est une bonne nouvelle pour mon ami !
10. J'ai vérifié ensuite les informations d’authentification
entre le site e-commerce et la passerelle de
paiement stripe, tout est ok.
Aziz AMGHAR – 31/05/2020
7. La cause de l’incident:
En creusant et analysant
plusieurs données, j'ai pu
conclure que le pirate a exploité
une ou plusieurs failles de sécurité
de la version WordPress installée
initialement sur le site web.
Aziz AMGHAR – 31/05/2020
8. Analyse de l’attaque et sa finalité 1/2:
• En analysant les fichiers récupérés, j'ai constaté qu'il s'agit
d'une page de phishing d'une banque américaine, elle est
identique au formulaire officiel de la banque et demande la
vérification des informations bancaires, ce type de page
se vend dans le darkweb à 50 usd !
• Le pirate a pu donc exploiter une faille de sécurité dans
WordPress lui permettant d'injecter un formulaire qui permet
de récupérer les infos bancaires des victimes et en même
temps piéger le site web de mon ami lors des enquêtes !
• J'ai analysé le trafic du site avant le blocage et constaté
un trafic important vers les nouvelles pages injectées, ce sont
les utilisateurs victimes qui saisissent leurs infos bancaires !
• En creusant plus dans le code source des fichiers, j’ai localisé
un fichier (.dat) qui ne s'ouvre pas par défaut avec le bloc-
notes, ce fichier contient la base de données des infos
bancaires piratés!.
25%
Aziz AMGHAR – 31/05/2020
9. Analyse de l’attaque et sa finalité 2/2:
• Que dois-je faire de cette base de données qui
contient de l'argent (binga, omar, dollars..) d'une
quarantaine de personnes ?
• Puisque il m'est interdit de prendre l'argent qui n'est pas à
moi (religion, principe,...) et sans trop réfléchir, j'ai alerté
les victimes via un moyen sécurisé et anonyme en leur
informant qu'ils ont été victimes d'un piratage par
hameçonnage (phishing) de leurs cartes bancaires, je leur
ai demandé d'impliquer leurs banques pour vérifier les
transactions de ces trois derniers jours et même bloquer
leurs cartes, ensuite j'ai supprimé définitivement le fichier
base de données (fitna ☺ ).
25%
Aziz AMGHAR – 31/05/2020
10. Les attaques informatiques sont
devenues de plus en plus sophistiqué
es MAIS en même temps plus simples
à mettre en place, il faut juste maitriser
le process et partir dans le darkweb
acheter des modules spécifiques pour
construire son attaque ainsi bien viser sa
cible !
Moi, Aziz A ☺
Aziz AMGHAR – 31/05/2020
11. Pour bien protéger vos comptes:
Privilégiez quand c'est possible
l'authentification à double facteur pour
tous vos comptes sensibles, par
exemple:
▪ une chose sue: mot de passe..
▪ et une chose possédée: téléphone
avec l'app google authenticator...
Authentification à double facteur:
et les changer régulièrement, je vous
recommande d’utiliser l’outil Keepass
Mettez des mots de passe complexes
votre site web et vos autres
systèmes.
Mettez à jour régulièrement
un email, formulaire qui vous demande
de saisir votre mot de passe, infos ban
caires ou autres infos sensibles.
Ne faites jamais confiance à
Aziz AMGHAR – 31/05/2020