Comment éviter de se faire pirater sur Facebook ?

By | November 18, 2016

Comment éviter de se faire pirater sur Facebook ?

Dans cet article, vous apprendrez comment les pirates peuvent accéder à vos références de connexion Facebook par une méthode très simple.

Il requiert d’une grande connaissance en Développement Web pour hacker un compte Facebook. Cependant, il est parfois possible d’user de malice, et de quelques techniques d’ingénerie sociale pour parvenir à cette fin. Cet article est composé de deux sections. Dans un premier temps, nous vous montrerons, comment les pirates procèdent pour hacker un compte , à l’aide de Browser Exploitation Framework (BeEF) une très puissante plate-forme de Kali Linux . Puis, nous terminerons par quelques conseils qui vous permetrons de vous protéger contre de telles attaques.

Conçu à partir de la plate-forme Ruby on rails, BeEF a été développé pour explorer les vulnérabilités des navigateurs et les tester.
BeEF est surtout une excellente plate-forme pour tester la vulnérabilité d’un navigateur au cross-site scripting (XSS) et aux autres attaques d’injection.

Sur Kali, BeEF peut être lancé comme un service et est accessible à partir d’un navigateur.

Naviguez vers le dossier de BeEF: cd /usr/share/beef-xss/ ,
puis exécutez BeEF en lançant cette commande: ./beef

Démarrage de BeEF

Ensuite ouvrez votre navigateur, et écrivez: localhost:3000/ui/authentication
et entrez les références suivantes:

Username: beef
Password: beef

accès web à BeEF

Vous aurez normalement cette page d’accueil :

page d'accueil

Pour réaliser ce test, vous devez mettre en place un site Web. Nous utiliserons un simple site avec le code source suivant:

code source du site Web malicieux

Dans la balise head, notez le code javascript:

Ce script sert à lier le navigateur de la victime au serveur BeEF utilisé par le hacker.
Le script sera exécuté du côté de la victime à chaque fois que cette page du site sera chargée.

_ 192.168.1.35 est la machine du pirate,
_ 3000 représente ici le port utilisé par le serveur BeEF

Passons maintenant du coté de la victime et connectons-nous au site.
Accès au site Web malicieux par la victime

La liaison au navigateur de la victime étant effectuée, sur BeEF vous remarquerez l’affichage de son adresse IP: 192.168.1.36.

affichage de l'adresse IP de notre victime

Dès maintenant, vous disposez d’une panoplie de techniques d’ingénerie sociale pour tromper la victime.
Pour notre test, nous tenterons d’envoyer une boite de dialogue demandant à la victime de se reconnecter à Facebook. Cette action a pour simple but de lui faire croire cette connexion est utile pour la suite de la navigation sur le site.
Pour ce faire, cliquez sur l’adresse IP de la victime, puis, allez sur Commands / Social Engineering / Pretty theft. Assurez vous que dans la fenêtre de Petty theft, la boîte de dialogue Facebook est choisie, puis exécutez :
choisir la boite de dialogue de Facebook

Il est d’ailleurs possible de réaliser cette expérience avec différents services tels que Youtube, Gmail, etc.

services disponibles

Après avoir choisi Facebook et exécuté l’action, chez la victime, cette demande de reconnexion devrait s’afficher :

 

demande de reconnexion
On peut voir ici les références de connexion utilisées par la victime:
l’email : adjoua@marty.ci et le mot de passe: passwordbeef.

 

nom d'utilisateur et mot de passe de la victime

Comment s’en protéger ?

Pour se protéger contre de telles attaques, plusieurs solutions sont possibles:
_ Evitez surtout de cliquer n’importe où sur le net, et n’entrez pas vos informations sur des sites que vous ne connaissez pas. Ne prenez aucun risque.
_ Utilisez une authentification à deux facteurs sur vos réseaux sociaux. Cela peut empêcher l’accès à votre insu sur vos réseaux sociaux d’une tierce personne.
_ Bloquer l’exécution du contenu JavaScript sur votre navigateur. Sachez qu’en faisant cela, certaines fonctionnalités de vos sites Web habituels pourraient ne plus fonctionner correctement. Les navigateurs modernes pemettent des listes blanches pour la gestion des exceptions.
_ N’utilisez jamais un même mot de passe sur tous vos sites. Vous vivrez un cauchemar si un pirate arrive à avoir accès à tous vos comptes par le biais de vos mêmes références obtenues par un seul hack.
_ Enfin, utiliser une extension de navigateur qui peut vous permettre de savoir la légitimité des sites Web auquels vous vous connecter est aussi une solution envisageable.

Merci pour votre attention,

mdestroy

Leave a Reply

Your email address will not be published. Required fields are marked *