7 mai 2021

LockPhish, un outil pour récupérer le code de déverrouillage d’un téléphone

Hackers can figure out your phone's PIN code using just its sensor data

Introduction

L’hameçonnage, de l’anglais phishing, est l’attaque la plus courante pour obtenir un accès à un compte ou un système. Si l’attaquant parvient à convaincre la cible de communiquer ses identifiants, son code ou même d’installer et exécuter un logiciel sur sa machine, celui-ci disposera d’une brèche lui permettant d’obtenir un accès sur une machine ou un compte (via les mots de passe récupérés)

Le LockPhishing provient de l’outil LockPhish qui diffère un peu de l’hameçonnage traditionnel. En effet, avec cet outil, les cibles deviennent les codes de déverrouillage Android et iOS. Cette attaque se base sur le fait que l’attaquant réussit à convaincre un utilisateur crédule de visiter un site web malveillant (qui lui appartient). Lors de l’arrivée sur ce site, une page semblable à celle de l’écran verrouillé d’un téléphone s’affiche. Or, cette page usurpe le thème des écrans de déverrouillage Android et iOS et le code entré ainsi que le type d’appareil sera récupéré directement par l’attaquant.

Installation de LockPhish

Cet outil est disponible gratuitement sur GitHub en version 2.0. Son installation est simple et se fait en quelques étapes.

Afin de pouvoir fonctionner correctement, l’outil utilise PHP pour afficher la « fausse » page de déverrouillage et récupérer le code entré.

Les étapes de l’installation de LockPhish :

  • Récupération du répertoire : git clone https://github.com/jaykali/lockphis
  • Entrer dans le répertoire « Lockphish » et configurer le script pour le rendre exécutable : sudo chmod +x lockphish.sh
Figure 1 : Téléchargement et configuration de LockPhish

Lancement de LockPhish

Une fois l’installation terminée il est possible de lancer LockPhish à l’aide de la commande ./lockphish.sh :

Figure 2 : Écran d’accueil de LockPhish

Le lancement de l’outil se fait intuitivement. En effet, une URL de redirection par défaut est utilisée (YouTube), mais celle-ci peut être modifiée par l’URL de votre choix. Pour utiliser l’URL par défaut, il suffit d’appuyer sur la touche « entrer ».

Figure 3 : Démarrage de LockPhish

Par la suite, une simple installation d’un ngork (application permettant de partager du contenu local sur Internet) et d’un serveur PHP est faite de manière automatique. Enfin, une URL est générée nous permettant de réaliser l’attaque. Dans notre exemple, l’URL est la suivante : https://b98869b18f20.ngrok.io.

Figure 4 : URL générée par LockPhish

À présent, il suffit de transmettre notre lien malveillant aux différentes cibles et de les encourager à cliquer dessus pour récupérer leur code de déverrouillage.

Compromission de l’utilisateur

Une fois le lien envoyé aux différentes cibles, il ne reste qu’à attendre qu’ils cliquent dessus. Lorsqu’un utilisateur cliquera sur le lien en question, une page similaire à celle-ci va s’ouvrir.

Figure 5 : Accès à notre lien malveillant depuis un téléphone Android

L’attaquant va ainsi commencer à récupérer des informations sur son terminal tel que le type d’appareil ainsi que la version de celui-ci.

Figure 6 : Récupération d’informations sur la nature de la cible

Après un court délai, la cible va être redirigée sur une page semblable à celle d’un écran de verrouillage :

Figure 7 : « Fausse » page de verrouillage Android

Le but étant que la personne tape le code de déverrouillage de son téléphone. Si cette action est effectuée alors l’attaquant le récupère directement.

Figure 8 : Récupération du code de déverrouillage de la victime

Conclusion

LockPhish est un outil simple à prendre en main qui met en place tout un système permettant de récupérer les codes de déverrouillage Android iOS et Windows. Sa configuration presque automatique rend l’outil accessible par n’importe qui.

Cependant, LockPhish est perfectible, notamment sur le fait ne pas éveiller les soupçons des cibles tels que :

  • Une modification de la page d’accueil, car celle par défaut est presque vide et n’est pas très convaincante.
  • Une amélioration de la redirection, en effet lors de l’arrivée sur notre page malveillante, la redirection sur l’écran à déverrouiller n’est pas automatique ce qui éveille rapidement les soupçons.
  • Mettre en place une solution pour le fond d’écran, le fond d’écran de la page demandant le code ne possède pas de fond d’écran (fond noir) et il y a peu de chance que cela ressemble au fond d’écran de l’utilisateur.
  • Certains appareils préviennent du passage en plein écran lors de l’affichage de l’écran demandant le code.
  • Il est possible que certains navigateurs affichent le code lorsqu’il est tapé ce qui fait perdre énormément de crédibilité à notre scénario

LockPhish demande encore de nombreuses améliorations, cependant cela ne signifie pas qu’il n’est pas possible d’hameçonner un utilisateur avec ce dernier. La réussite d’une attaque de phishing dépend également du prétexte qui pousse la victime à exécuter l’action demandée par l’attaquant. Il est donc nécessaire de faire attention aux liens sur lesquels nous cliquons et les actions que nous effectuons.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *