Phishing 101

Réaliser des campagnes de phishing efficientes : Lancez votre canne et laissez les poissons mordre à l'hameçon.

4.40 (60 reviews)
Udemy
platform
Français
language
Network & Security
category
instructor
357
students
7 hours
content
Sep 2021
last update
$39.99
regular price

What you will learn

Fonctionnement d'une attaque de phishing

Mise en place d'une campagne de phishing

Augmentation du taux de réussite d'une campagne de phishing

Mise en place de serveurs émetteurs de mails

Usurpation d'adresses mails

Fonctionnement des mécanismes de protection de mails

Mise en place des mécanismes de protection de mails

Contournement des mécanismes de protection de mails

Contournement de l'authentification à double facteurs

Mise en place d'une attaque de phishing par consentement OAuth2

Description

Ce cours s'adresse aux professionnels de la Cybersécurité désireux de réaliser des campagnes de sensibilisation au hameçonnage (Phishing) pour leurs entreprises ou leurs clients. Ce cours convient également aux aspirants en Cybersécurité désireux de comprendre en pratique comment est réalisé une attaque d’hameçonnage. Enfin, ce cours convient à toute personne désireuse de connaître les techniques d'usurpation de mail (la formation porte un accent particulier sur ce point) ou de phishing afin de pouvoir se protéger.

La formation sera régulièrement mis au goût du jour avec les attaques les plus récentes. L'accès est garanti à vie (garantie Udemy) et les différentes mises à jour ne feront pas l'objet d'un nouveau paiement.

L’hameçonnage (phishing) est une technique utilisée par les attaquants pour obtenir des informations sensibles dans le but de perpétrer une usurpation d'identité ou exécuter une charge malicieuse et/ou propager des malwares. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte d'identité, date de naissance... via notamment un email, un sms, ou par appel téléphonique (visphing). (Wikipedia)

A ce jour, le Phishing reste le vecteur d'attaque le plus courant. En effet, 80% des cyberattaques réussies ont pour vecteur d'entrée le Phishing (source : baromètre CESIN 2020). En conséquence, de nombreuses entreprises décident de réaliser de manière régulière des campagnes de Phishing inoffensif afin de sensibiliser leurs employés face au danger que cela représente. Malheureusement, de nombreuses campagnes tendent à ne pas avoir l'efficacité escomptée. Celles-ci n'utilisent pas les mêmes caractéristiques techniques que les attaquants, ni les mêmes leviers psychologiques et se font dans les conditions autres que celles d'un attaquant. Ce cours adresse cette problématique : comment rendre efficientes les campagnes de phishing ?

Pour ce faire, le cours est subdivisé en trois grandes parties :

· Une première partie théorique (<1h) :

Dans cette partie nous verrons les différentes étapes théoriques d'une campagne de Phishing. Nous poserons les bases des mécanismes d'authentification de mails, mettrons en évidence leurs faiblesses et montrerons comment les contourner. Nous verrons également les différentes protections mises en place par les services de messageries et comment les contourner.


· Une seconde partie pratique :

Cette partie est le déroulé pratique de la première partie.

Nous verrons dans un premier temps, pas-à-pas, comment mettre en place une campagne de Phishing, de la mise en place des infrastructures à la récupération des informations. Différents scénarios d'attaque seront mis en place selon les protections de l'entité ciblée ; un accent particulier est mis sur les techniques d'usurpation de mails.

Ensuite dans un second temps, les attaques de Phishing par consentement OAuth2 (Consent Phishing Attacks) sur un environnement Cloud Azure sont introduites. Nous verrons, pas-à-pas, comment les mettre en place et comment les organisations peuvent s'en protéger.

Nous parlerons enfin de l'authentification à double facteurs et de ses insuffisances contre certains types d'attaque de phishing. Nous montrerons, de manière très pratique, son insuffisance et comment la contourner lorsqu'elle est mise en place.


· Une troisième partie pratique (Bonus) :

Les différentes mises à jour de la formation seront regroupées dans cette partie.


Avis de non-responsabilité :

Ce cours est fourni uniquement à but éducatif et préventif. Les techniques enseignées devront être appliquées uniquement à des fins de sensibilisation et seulement sur des cibles dont vous avez l'autorisation explicite. En rejoignant ce cours, vous vous déclarez ainsi seul(e) responsable de vos actions, et aucune responsabilité de la part de l'instructeur ne sera engagée quant à la mauvaise utilisation du contenu enseigné.

Content

Introduction

Présentation du cours
Introduction et objectifs du cours
Ingénierie sociale : Kesako ?
Les différents types de Phishing
Les grandes étapes d'une campagne de phishing
Points à valider avec le client
Quelle campagne de Phishing pour quel but recherché ?

Les fondamentaux de l'usurpation de mails

Introduction
SMTP
SPF
DKIM
Pourquoi SPF et DKIM ne suffisent pas ?
DMARC
Test d'alignement DMARC : cas de SPF
Test d'alignement DMARC : cas de DKIM
Pour quelles raisons les emails sont-ils bloqués ou mis en quarantaine ?
Au final, comment contourner les filtres de spams ?

Mise en place de l'infrastructure de Phishing

Mise en place d'un serveur privé virtuel (VPS) chez Digital Ocean
Mise en place d'un serveur privé virtuel (VPS) chez AWS
Enregistrement d'un nom de domaine
Configuration des entrées DNS et des règles de pare-feu
Configuration de l'agent de transfert de mail (MTA)
Mise en place de SPF
Mise en place de DKIM
Mise en place de DMARC

Début de la pêche

Introduction
Installation de Gophish
Installation du certificat SSL
Configuration de Gophish
Présentation de l'interface graphique
Campagne N°1 : Depuis un nom de domaine légitime
Campagne N°2 : Amélioration de la campagne N°1
Campagne N°3 : Depuis un nom de domaine usurpé sans protection
Campagne N°4 : Depuis un nom de domaine usurpé avec SPF et DMARC
Campagne N°5 : Depuis un nom de domaine usurpé avec SPF

Contournement des mécanismes d'authentification SPF, DKIM et DMARC

Introduction
Installation et configuration de l'outil
Contournement du protocole SPF
Contournement des protocoles SPF/DKIM/DMARC
Ce qu'il faut retenir

Attaques de Phishing par consentement sur Azure (OAuth2 consent attacks)

Introduction
Les différentes étapes d'une attaque de Phishing par consentement
Création du serveur web
Création des scripts et lancement de la preuve de concept (PoC)
Présentation de O365 Attack Toolkit
O365 Attack Toolkit : Installation de l'infrastructure
O365 Attack Toolkit : Configuration et automatisation de l'attaque
Comment se protéger contre ce type de Phishing ?

Bonus

Bonus 1 : Contournement de l'authentification à double facteurs (2FA)

Screenshots

Phishing 101 - Screenshot_01Phishing 101 - Screenshot_02Phishing 101 - Screenshot_03Phishing 101 - Screenshot_04

Reviews

ASSI
September 7, 2023
Excellents cours ! J'ai beaucoup appris, notamment sur le fonctionnement et la sécurisation de la messagerie, comme la configuration SPF, DKIM, DMARC, ainsi que sur la manière de mener des campagnes de sensibilisation à la sécurité.
Sébastien
May 25, 2023
Ce cours sur l'hameconage est vraiment impressionnant ! L'instructeur est très compétents et rend la matière facile à comprendre. Les sections théoriques sont nécessaires et nous facilite la tâche pour les sections pratique, on finit par bien comprendre. Je recommande ce cours à tous ceux qui cherchent à améliorer leurs compétences.
Olivier
February 19, 2023
Partiellement en ce qui concerne certains sujets mais l'essentiel y est. J'ai noté quelques petites erreurs mais en cherchant à résoudre les incohérences j'ai fini par comprendre. Par exemple lors de la validation SPF outlook.com/google.com .
Nicolas
November 11, 2022
Le fond du sujet est connu, mais les explications sont brouillons. J'ai l'impression qu'il découvre le sujet en même temps que moi. Il fait beaucoup d'erreur pour une formation "préparée" et préenregistrée. Si la formation ne m'était pas autant utile, je demanderais le remboursement.
serge
October 25, 2021
très intéressant, le formateur est pédagogue et compétent le contenu du cours permet de devenir rapidement operationnel
Jean
July 28, 2021
Assez intéressant comme cours, je ne regrette pas mon achat ! Les explications sont claires et certaines notions sont vues en détails, surtout au niveau de la partie pratique.

Charts

Price

Phishing 101 - Price chart

Rating

Phishing 101 - Ratings chart

Enrollment distribution

Phishing 101 - Distribution chart
3943882
udemy ID
3/28/2021
course created date
7/28/2021
course indexed date
Bot
course submited by