Outils pour utilisateurs

Outils du site


ingenierie_sociale

Ingénierie sociale

L'ingénierie sociale, ou Social engineering en anglais, est le fait de convaincre quelqu'un de donné ces informations personnelles ou les informations privée de la compagnie pour laquelle la personne travail.

Par exemple, on peut appeler la compagnie de téléphone de la cible, pour essayer d'obtenir son adresse email ou même son adresse. On peut aussi la convaincre de télécharger un cheval de Troie, qui va nous donner accès au système informatique d'une compagnie.

Cette vidéo (anglais) montre un exemple de l'ingénierie sociale par téléphone.

https://www.youtube.com/watch?v=lc7scxvKQOo

Il y quatre moyen de communication pour l'ingénierie sociale.

1. Vishing

Comme décrit précédemment, le Vishing est le fait d'utiliser un téléphone pour recueillir des informations personne sur une personne ou une entreprise.

2. Phishing

Cette technique est souvent utilisée par e-mail. L'e-mail peut par exemple vous alerter que votre compte de banque a été compromis, et par la suite vous emmener sur un site qui ressemble à celui de votre banque, où vous pouvez vous faire facilement voler votre mot de passe de banque.

3. Smishing

Cette technique est l'équivalent du Vishing, mais par SMS. Un personne pourrait donc se faire passer pour le CEO de l'entreprise de la victime et demander un virement du compte de la compagnie.

L'ingénierie sociale est souvent utilisée en combinaisons avec du piratage informatique, permettant d'avoir accès à plus d'information.

Type d'ingénierie sociale


- Baiting

Le Baiting consiste à réussir à installer un virus sur ordinateur, sans y avoir accès.

Pour se faire, on peut, par exemple, cacher un virus dans un fichier Word, où même laisser une clé USB par terre, et attendre que quelqu'un la ramasse.

- Pretexting

Consiste à faire accroire à quelqu'un une situation, où son aide est primordiale. Par exemple, l'attaquant peut se faire passer pour une banque et appeler la victime, en lui demandant ces informations personnelle, pour confirmer son identité. L'attaquant vient donc de récolter des informations, et peut les utiliser pour voler l'identité de cette personne.

- Quid pro quo

Consiste à offrir quelque chose en échange d'information. Par exemple, offrir un cadeau en échange des informations de connexion quelqu'un que la victime connait.

- Spear phishing

Ce type est souvent utiliser pour cibler une personne en particulier. Il est souvent combiner avec du doxing, pour permettre d'obtenir plus de confiance de la victime.

Le but de l'ingénierie sociale est très souvent d'obtenir de l'argent ou accès à soit des endroits interdits ou de l'information confidentielle.

Ces pourquoi le doxing y est souvent combiner.

Le doxing consiste à utiliser les réseaux sociaux pour obtenir de l'information sur une personne.

Par exemple, on peut créer un faux compte Facebook dans le but de devenir ami avec la cible, et donc d'aller chercher ces informations. Souvent, les informations de trouve, par exemple, dans les commentaires qu'elle a écrit.

Il existe des logiciels de doxing, permettant de trouvé l'information sur une personne beaucoup plus rapidement, un utilisant uniquement son nom ou son adresse courriel.

Sources :

- https://digitalguardian.com/blog/what-social-engineering-defining-and-avoiding-common-social-engineering-threats

- https://en.wikipedia.org/wiki/Social\_engineering\_%28security%29

ingenierie_sociale.txt · Dernière modification: 2019/05/16 17:51 par 1752625