Demander un devis

Social engineering

Social engineering

Présentation

Les attaques par social engineering visent à exploiter l’erreur humaine, ou les faiblesses humaines, afin de pénétrer dans le système d’information. La récupération directe d’information d’authentification est la cible la plus courante. Mais d’autres moyens sont possibles (installation d’accessoires aux postes de travail : clavier, souris, clé usb ; installation d’un nouveau logiciel de vidéo conférence etc).

Objectifs

  • Campagne d’envoi d’emails avec un lien faire un site externe imitant les applications de l’entreprise et demande de saisir des identifiants.

  • Campagne d’envoi d’emails demandant à installer un nouveau logiciel.

  • Envoi d’accessoires au poste de travail piégés.

  • Appel des personnes afin d’effectuer des manipulations sur leur poste de travail.

  • Action sur site focalisée sur une équipe précise par la persuasion orale : personnel d’accueil, veilleur de nuit, administrateur système.

Réalisation

Une caractéristique des campagnes de social engineering est que leur réalisation peut être étalée dans le temps. Certaines actions préparatoires peuvent demander plusieurs semaines de délai (acquisition de noms de domaines, développement de faux sites web, attente d’un événement particulier).

De la même manière l’envoi d’emails doit aussi être fait de manière discrète et les actions des employés cibles peuvent prendre plusieurs jours.

Les différentes actions possibles des auditeurs (téléphone, email, discussion sur place, envoi de courrier, envoi de colis) peuvent être combinées afin d’augmenter l’impact de l’une d’entre elles. Par exemple un email semblant provenir d’un sous-traitant prévenant d’un appel téléphonique, cet appel expliquant qu’un nouvel outil doit être déployé et lui-même suivi d’un autre email demandant l’installation d’un logiciel.

Livrable

Le livrable est conçu pour servir de support à la sensibilisation des employés. Le livrable reprend la démarche globale, la faiblesse humaine utilisée, l’impact technique des actions des utilisateurs et des « trophées » significatifs pour des personnes non informaticien.

Les livrable aborde le résultat de l’audit de manière statistique et évite absolument de nommer, viser ou permettre d’identifier une personne en particulier ou un groupe de personnes.

De la même manière l’envoi d’emails doit aussi être fait de manière discrète et les actions des employés cibles peuvent prendre plusieurs jours.

Les différentes actions possibles des auditeurs (téléphone, email, discussion sur place, envoi de courrier, envoi de colis) peuvent être combinées afin d’augmenter l’impact de l’une d’entre elles. Par exemple un email semblant provenir d’un sous-traitant prévenant d’un appel téléphonique, cet appel expliquant qu’un nouvel outil doit être déployé et lui-même suivi d’un autre email demandant l’installation d’un logiciel.