Attaque par ingénierie sociale


Attaque par ingénierie sociale

  1. Objectifs

  2. Présentation

    • Attaque par ingénierie sociale

    • L’ingénierie sociale apparaît comme outil dans la panoplie des hackers. Elle lui permet parfois de pallier à l’absence de faille et d’extirper des informations de l’utilisateur d’un ordinateur sans que ce dernier n’ait conscience d’ouvrir son PC à une personne non désirée.
    • Outre la récupération de post-it sur l’écran, la lecture de listing dans les poubelles d’une entreprise, l’usurpation d’identité au téléphone, l’ingénierie sociale est un “sport” qui tend à se développer grâce à l’explosion des réseaux sociaux et à la généralisation de la VoIP.
    • Dans la plupart des cas, les attaques( par ingénierie sociale) visent à amener la victime à divulguer soit ses identifiants de connexion, soit des informations de paiement confidentielles.
      • Un pirate envoie à une victime un e-mail qui semble provenir d’une personne figurant sur sa liste de contacts. Cet e-mail peut contenir un lien suspect qui exécutera une attaque de type cross-site scripting malveillante, ou qui dirigera la victime vers un site malveillant.
      • Un pirate attire les utilisateurs en ligne avec de prétendus liens de téléchargement de films ou de logiciels populaires, mais ces téléchargements contiennent en fait un payload malveillant.
      • Un pirate contacte une victime en prétendant être un étranger fortuné qui a besoin des coordonnées d’un compte bancaire américain pour y transférer sa fortune, et lui propose de la récompenser généreusement en échange de ces informations bancaires. En réalité, il cherche à vider les comptes de la victime.



  3. Les types d’attaques d’ingénierie sociale les plus répandus

    1. Hameçonnage
      • hameçonnage

      • L’une des formes les plus courantes d’attaques d’ingénierie sociale, le phishing est un e-mail ou un site Web frauduleux conçu pour amener les gens à révéler des informations privées (nom d’utilisateur, mots de passe, informations de carte de crédit, etc.) ou à télécharger des logiciels malveillants.
      • Le phishing est une technique d’ingénierie sociale dans laquelle un attaquant envoie des e-mails frauduleux, prétendant provenir d’une source réputée et fiable.
      • Par exemple, un ingénieur social peut envoyer un e-mail qui semble provenir d’un responsable de la réussite client de votre banque. Ils pourraient prétendre avoir des informations importantes sur votre compte mais vous demander de répondre d’abord avec votre nom complet, votre date de naissance, votre numéro de sécurité sociale et votre numéro de compte afin qu’ils puissent vérifier votre identité.
      • En fin de compte, la personne qui envoie l’e-mail n’est pas un employé de banque ; c’est une personne qui essaie de voler des données privées.
      • Les e-mails de phishing réussis reposent sur des tactiques de peur, telles que des e-mails urgents de votre banque ou d’une autre institution financière, “trop ​​belles pour être vraies”, telles que des offres de produits bon marché ou difficiles à trouver, ou votre sens du devoir envers votre employeur, où le voleur de données se fera passer pour votre patron ou une autre personnalité de haut niveau de votre entreprise.
    2. Vishing et Smishing
      • Vishing et Smishing

      • Alors que l’hameçonnage est utilisé pour décrire les pratiques frauduleuses de courrier électronique, des techniques de manipulation similaires sont utilisées à l’aide d’autres méthodes de communication telles que les appels téléphoniques et les messages texte.
      • Le phishing (abréviation de phishing vocal) se produit lorsqu’un fraudeur tente d’amener une victime à divulguer des informations sensibles ou à lui donner accès à l’ordinateur de la victime par téléphone. Un stratagème de vishing populaire consiste à ce que l’attaquant appelle les victimes et prétende appartenir à l’IRS.
      • L’appelant menace ou essaie souvent d’effrayer la victime pour qu’elle lui fournisse des informations personnelles ou une indemnisation.
      • Les escroqueries par vishing comme celle-ci ciblent souvent les personnes âgées, mais n’importe qui peut tomber dans le piège d’une arnaque par vishing s’il n’est pas suffisamment formé.
      • Le smishing (abréviation de SMS phishing) est similaire et intègre les mêmes techniques que le phishing et le vishing par e-mail, mais il se fait par SMS/messagerie texte.
    3. Hameçonnage vocal
      • Message téléphonique qui semble urgent pour convaincre les victimes d’agir prestement pour éviter une arrestation ou d’autres risques.
    4. Attaque par point d’eau
      • Attaque d’ingénierie sociale sophistiquée qui infecte, par un logiciel malveillant, à la fois un site web et les internautes qui le visitent.
      • Le lien unissant ces techniques d’ingénierie sociale est le facteur humain. Les cybercriminels savent bien que d’exploiter les émotions humaines est la meilleure façon de frauder.
    5. Attaque par appâtage
      • L’appâtage met quelque chose d’attirant ou de curieux devant la victime pour l’attirer dans le piège de l’ingénierie sociale. Un système d’appâtage pourrait offrir un téléchargement gratuit de musique ou une carte-cadeau dans le but d’inciter l’utilisateur à fournir des informations d’identification.
      • Un ingénieur social peut distribuer des clés USB gratuites aux utilisateurs lors d’une conférence. L’utilisateur peut croire qu’il obtient simplement un périphérique de stockage gratuit, mais l’attaquant pourrait l’avoir chargé avec un logiciel malveillant d’accès à distance qui infecte l’ordinateur lorsqu’il est branché.
    6. Attaque par Talonnage
      • S’appuyant sur la confiance humaine pour donner au criminel l’accès physique à un édifice ou une zone sécurisée.


Riadh HAJJI

Abonnez vous à notre chaîne YouTube gratuitement