Ce bootcamp sur le phishing couvre la création de campagnes, aussi bien basiques qu'avancées, le delivery de payloads et les méthodologies de défense. Les participants apprendront à concevoir des attaques, analyser les KPIs et sensibiliser les utilisateurs.
Le programme explore les techniques avancées et les stratégies de protection pour vous permettre de maîtriser l'ensemble de l'écosystème autour du phishing.
Durée : 4 semaines
Jours : Chaque Samedi
Horaire* : 13H à 17H30
Format : Session live avec accès au replay
Labs : + de 20 Labs
Formation E-Learning : Accès gratuit à vie.
Q&R et Coaching: 1 Session par semaine
*Chaque session possède ses horaires dédiés.
L'objectif principal de ce bootcamp est de vous permettre de mettre en place des campagnes de phishing réalistes dans un environnement professionnel, avec les objectifs suivants :
Concevoir et exécuter des campagnes de phishing efficaces, de base à avancées.
Maîtriser les techniques de delivery de payloads et de contournement des défenses.
Analyser les KPIs pour évaluer l'efficacité des campagnes de phishing.
Développer des stratégies de sensibilisation et d'éducation des utilisateurs.
Implémenter des mesures de protection contre le phishing dans une organisation.
Élaborer des protocoles de réponse aux incidents de phishing.
Toutes nos formations "Bootcamps" sont certifiantes
Toutes nos formations "bootcamps" sont certifiantes. Vous pourrez obtenir une certification suite à une évaluation pratique, où vous devrez délivrer un rapport selon les directives des use cases proposés par les équipes Hexadream.
Ces certifications seront vérifiables sur notre plateforme ou sur la plateforme Badgr.
Pour bien suivre cette formation
Connaissances de base en informatique et en réseaux
Familiarité avec les systèmes d'exploitation Windows et Linux
Compréhension des concepts de cybersécurité, notamment les menaces, les vulnérabilités et les attaques informatiques.
Powered by SecDojo
L'ensemble de nos formations "bootcamps" peuvent être exécutées on-prem via votre machine locale ou à travers nos labs virtuels hébergés chez notre partenaire SecDojo.
Vous disposerez d'un accès gratuit de 30 heures, que vous pourrez renouveler si besoin.
Analyser les attaques de type ingénierie sociale
Identifier les différents types de phishing
Évaluer le danger du spear phishing
Appliquer les méthodologies pour la mise en place d'une campagne de phishing
Identifier les facteurs clés de succès d'une campagne de phishing
Définir la notion de KPI
Sélectionner les KPI appropriés pour le déploiement de campagnes de phishing
Configurer Power BI pour le reporting lié aux campagnes de phishing
Créer un modèle de reporting pour les campagnes de phishing
Explorer les protocoles de mailing
Comprendre le rôle du SPF, DKIM et DMARC pour la sécurité mail
Comprendre l'utilisation de SPF, DKIM et DMARC dans une campagne de phishing
Appliquer les meilleures pratiques pour la réussite d'une campagne de phishing
Examiner la sécurité moderne et les techniques de contournement
Mettre en place une infrastructure de phishing sur Azure & AWS
Choisir un domaine efficace
Appliquer les meilleures pratiques de domain sniping
Utiliser des services de mailing pour plus de légitimité
Analyser les agents de transfert de mail
Implémenter des protocoles de sécurité mail pour plus de légitimité
Présenter les différents types de phishing et les toolkits associés
Mettre en œuvre le phishing WiFi
Maîtriser la plateforme GoPhish
Déployer une campagne de phishing avec GoPhish
Comprendre la notion d'AiTM
Configurer evilginx2
Créer des leurres efficaces
Injecter du JavaScript pour contourner le chiffrement côté client
Intégrer evilginx2 et GoPhish
Utiliser Nginx comme reverse proxy pour plus d'efficacité
Exploiter Cloudflare pour protéger son infrastructure de phishing
Renforcer la sécurité des serveurs de phishing
Appliquer les meilleures pratiques de configuration
Contourner les mécanismes d'authentification
Utiliser l'intelligence artificielle pour effectuer des attaques de type phishing
Automatiser le déploiement de son infrastructure avec Terraform
Comprendre les attaques phishing par consentement
Déployer les infrastructures d'attaques par consentement
Exécuter les attaques phishing par consentement
Explorer les attaques par device code phishing
Mettre en œuvre les types d'attaque par consentement
BONUS : Appliquer les procédures post-exploitation
Exploiter teams pour effectuer des attaques de phishing.
Concevoir des attaques de type vishing
Exécuter une attaque de type vishing
Élaborer des attaques de type smishing
Réaliser une attaque de smishing
Utiliser les deepfakes pour effectuer du phishing
Mener une attaque via deepfake
Explorer les techniques de payload delivery
Sélectionner son framework C2
Déployer une infrastructure C2
Comprendre la notion de MOTW
Implémenter du HTML smuggling
Appliquer les techniques de bypass sandbox avec JavaScript
Exploiter les techniques d'initial access : CPL, ClickOnce, IQY, MSIX+APPX, CHMs, Onenote...
Bonus : Utiliser l'art des macros pour du payload delivery
Analyser les tenants et aboutissants d'un incident de phishing
Élaborer des playbooks et runbooks liés au phishing
Concevoir un plan de réponse à incident lié au phishing
Détecter les attaques de phishing in the wild
Définir les actions pour les utilisateurs compromis
Automatiser les tâches
Générer des rapports automatisés
Votre formateur
Hamza Kondah, fondateur de Hexadream Academy, partage sa passion pour la cybersécurité depuis plus de douze ans à travers webinars, sessions de formation et interventions diverses.
Après avoir délivré des centaines de formations, développé une quarantaine de formations e-learning et acquis une solide expertise en tant qu'ingénieur cybersécurité intervenant sur divers projets, il crée Hexadream.
L'objectif principal ? Rendre une formation de qualité accessible au plus grand nombre.