Un khanipot est un utilitaire qui sert de leurre, et semble être une cible séduisante pour un attaquant et le tente de se révéler. Alors que les hanipots avancés sont conçus pour détecter et étudier plus facilement les types d'attaques utilisées par les pirates informatiques in vivo, les hanipots de suivi d'URL modernes sont devenus un outil flexible et convivial que les gens ordinaires utilisent souvent pour détecter les fraudeurs en ligne.
Dans notre premier podcast d'
utilitaires de sécurité, nous examinons l'
outil de suivi
gratuit Grabify , qui collecte des données sur les fraudeurs ou les attaquants lorsqu'ils cliquent sur le lien de suivi du hanipot.
Comment fonctionne le hanipot?
Khanipot est un utilitaire conçu pour attirer l'attention d'un attaquant, permettant au défenseur d'en savoir plus sur l'identité de l'attaquant et ses tactiques de piratage. Les Hanipots peuvent prendre différentes formes: ils sont souvent déguisés en fichiers importants, messages électroniques, liens, informations de compte ou appareils susceptibles de susciter l'intérêt d'un attaquant. Le hanipot idéal semble aussi plausible que possible, dans une tentative de compromettre l'attaquant par sa propre divulgation au côté défenseur.
Il existe de nombreux moyens créatifs et utiles que les défenseurs ont mis au point pour détecter et démasquer les intrus à l'aide de hanipots. Par exemple, l'appât classique "
Kippo " est célèbre pour son déguisement en service SSH vulnérable, accessible depuis Internet avec un compte faible. Kippo attire un attaquant par sa facilité d'accès, tout en enregistrant secrètement toutes les activités qui se déroulent à l'intérieur.
Ces hanipots révèlent des attaquants qui ont pénétré un réseau non sécurisé et permettent aux chercheurs d'analyser la charge utile utilisée par les robots automatisés pour attaquer des cibles vulnérables. Ils ont également contribué au développement du genre
vidéo YouTube avec des misérables de script essayant désespérément de casser Kippo Hanipots.
Certains Hanipots peuvent même induire en erreur les pirates informatiques qu'ils auraient déjà connectés à leur propre système, tout en continuant à enregistrer toutes leurs actions dans la fenêtre du terminal, ce qui porte le degré de ruse à un nouveau niveau. Cela vous permet d'en savoir plus sur l'identité de l'attaquant et des autres systèmes auxquels il a accès.
Les Hanipots modernes peuvent être n'importe où
Les Hanipots ont évolué vers un état où ils sont difficiles à détecter, car les attaquants se sont déjà habitués et tentent d'éviter les cibles qui semblent trop belles pour être vraies.
À l'aide du
traqueur gratuit de CanaryToken , le défenseur peut intégrer un lien de suivi basé sur le protocole DNS ou des liens Web qui sont lancés dès l'ouverture du fichier PDF. CanaryToken collecte les adresses IP de toute personne essayant d'ouvrir un fichier surveillé
pouvant contenir des informations sensibles.
Pour attraper les cybercriminels à l'aide de tactiques de phishing, la partie défenderesse peut utiliser les
liens chanipot intégrés dans le code du site Web. Cela vous permettra d'identifier les cas de clonage de sites Web, prévenant les défenseurs d'une éventuelle attaque.
D'autres Hanipots
suivent les informations d'identification volées , sous la forme d'un faux nom d'utilisateur et mot de passe (les soi-disant "Honeycredentials"), stockés dans un fichier avec un nom "important" dans un endroit relativement facilement accessible à l'intérieur de l'attaquant. Si un attaquant tente d'utiliser ces informations d'identification, le défenseur reçoit immédiatement une notification concernant la tentative d'utilisation des informations volées pour accéder au compte.
Une autre application du hanipot est l'
utilisation de liens de suivi pour savoir quand l'attaquant publie vos liens dans Skype, WhatsApp ou un autre messager. Cela est possible du fait que la plupart des applications de chat cliquent automatiquement sur les liens pour générer des aperçus d'URL. Malgré le fait que l'adresse IP enregistrée appartient à l'application de messagerie et non à l'attaquant, cette tactique vous permet de savoir si les liens Hanipot suivis sont transmis à quelqu'un d'autre ou non, même si l'attaquant est assez intelligent pour ne jamais cliquer dessus.
Tout le monde peut utiliser le chanotip
Dans le "Far West" des sites de vente de biens, de rencontres en ligne et de logements locatifs, il est facile d'imaginer qu'il n'y a aucun moyen de vérifier avec qui vous parlez réellement. Les fraudeurs et les robots qui profitent de cette situation peuvent sembler extrêmement convaincants, mais leurs véritables tenants et aboutissants peuvent souvent être découverts s'ils peuvent être obligés de les inciter à révéler des informations sur leur emplacement, la disposition du clavier ou les paramètres de langue qui ne correspondent pas à leurs histoires. Grâce à cela, les Hanipots ont gagné en popularité parmi les gens ordinaires qui utilisent des liens de suivi pour changer le cours du jeu, au cours desquels les attaquants profitent de l'anonymat sur Internet.
Les liens Web de suivi sont faciles à intégrer dans les pages Web, à exécuter des scripts ou des messages électroniques et sont gratuits pour tout le monde. Si l'attaquant ouvre le lien directement ou en ouvrant le fichier qui appelle l'URL, le défenseur peut trouver des informations sur le matériel, les logiciels et les données réseau de l'attaquant. Même si un attaquant tente de cacher sa véritable adresse IP à l'aide d'un VPN, les informations sur sa véritable identité peuvent toujours fuir.
Grabify peut détecter des différences telles que des décalages de fuseaux horaires ou des dispositions de clavier qui ne correspondent pas à l'emplacement de l'adresse IP, ou même détecter l'utilisation d'un VPN ou d'un Tor attaquant pour masquer leurs informations.
Les liens de suivi Hanipot peuvent niveler les chances des personnes qui sont généralement désavantagées lorsqu'elles interagissent avec diverses personnalités suspectes en ligne en identifiant des détails qui sont autrement très difficiles à vérifier. Lorsqu'elle utilise des liens de suivi menant à des sites qui peuvent être partagés logiquement lors de la communication avec un propriétaire potentiel, la personne louée peut éviter les offres «trop belles pour être vraies» en identifiant les intrus qui trompent leur emplacement. Par exemple, cela peut permettre à une personne originaire de l'Inde d'être identifiée comme propriétaire à Los Angeles.
Les Hanipots génèrent des alertes opérationnelles
Les Hanipots sont peu coûteux et faciles à déployer. Ils sont l'un des meilleurs moyens de détecter un problème. Par exemple, une boîte aux lettres CanaryToken suivie via DNS avec une liste de contacts importants peut immédiatement signaler une fuite d'informations d'identification à partir de cette liste, informant d'une situation qui autrement prendrait des mois à détecter.
Le chercheur en sécurité de l'information, Kevin Beaumont, a déployé un
réseau d'espionnage RDP appelé «BluePot» pour identifier les «exploits sauvages» des exploits de BlueKeep pour alerter les exploits de vers en temps opportun et prévenir les attaques à grande échelle comme NotPetya et WannaCry.
Les hanipots modernes repoussent les limites de la compréhension de la facilité avec laquelle ils peuvent être déployés et de la façon dont ils semblent convaincants à l'attaquant. Alors que les transferts impressionnants de nouvelle génération peuvent virtualiser des réseaux entiers pour tenter d'attraper des cybercriminels plus avancés qui peuvent repérer l'appât habituel, la plupart des entreprises bénéficieront même de l'utilisation de tactiques simples et gratuites, étant les premières à connaître la pénétration de l'attaquant.
Si vous souhaitez en savoir plus sur l'application et les limites des poignées Web, écoutez notre podcast des
utilitaires de sécurité avec la participation du développeur Grabify.