J'effectue un test de pénétration contre une entreprise. Une partie de ma procédure d'ingénierie sociale consiste à contacter le service informatique et à essayer de les convaincre que je suis un employé de l'entreprise et à leur faire révéler certaines informations sensibles, y compris les mots de passe.
Comment puis-je rendre mon appel plus convaincant en le faisant apparaître comme s'il provenait du numéro de téléphone d'un employé?
[Ceci est une question hypothétique, créée pour conserver ma réponse supprimée sur cette question ]
Il existe de nombreux services VoIP qui offrent une fonctionnalité d'usurpation d'identité
Jumblo : Créez un compte et ajoutez-y du crédit (10 Euros minimum hors TVA), puis installez leur Android , connectez-vous, allez dans Paramètres et choisissez "Ajouter ID appelant" puis ajoutez le numéro. (Nécessite SMS vérification) *
Skype : Vous pouvez créer un numéro en ligne (15 euros minimum) puis lui ajouter du crédit (10 euros minimum). Accédez ensuite à la page d'identification de l'appelant et ajoutez le numéro de votre choix. (Nécessite SMS vérification) *
SpoofCard (10 US Dollars minimum) (Non SMS vérification requise)
SpoofTell (0,10 dollar américain par appel) (Non SMS vérification requise)
* Une façon d'acquérir le code de vérification SMS à partir du téléphone cible est de configurer le numéro d'identification de l'appelant au moment où l'employé a laissé son téléphone sans surveillance dans un restaurant ou un bar. Une autre possibilité est en arrêter l'employé dans la rue et lui demander d'emprunter son téléphone pour un appel urgent.