Ingénierie sociale
Objectifs
- Définir l'ingénierie sociale
- Identifier les différentes techniques d'ingénierie sociale
- Hameçonnage (phishing)
- Appâtage (baiting)
- Attaque de point d'eau (watering hole)
- Prétexter (pretexting)
- Talonnage (tailgating)
- Reconnaître les signes d'une attaque d'ingénierie sociale
- Lister les moyens de protection contre l'ingénierie sociale
- Définir le hacking éthique
Cours
F pour passer en plein écran ou O pour afficher la vue d'ensemble.
Versions sans animation, plein écran, imprimable.
Exercices
Lire l'article sur https://www.lecho.be/entreprises/banques/crelan-la-fraude-etait-d-origine-humaine/9725467.html et répondez aux questions suivantes :
- Quelles est le lien avec le sujet de ce cours ?
- Quels techniques ont été utilisées ?
- Quelles erreurs ont été commises ?
- Quelles mesures de protection auraient pu être mises en place ?
Solution
- La fraude a été commise par un employé de la banque Crelan, le système informatique n'est pas en cause. C'est donc un cas d'ingénierie sociale.
- Le fraudeur a prétexté être le CEO de la banque pour obtenir des informations confidentielles et/ou pousser les employés à effectuer des virements.
- Les employés ont cédé à la pression et n'ont pas vérifié l'identité de la personne.
- Les employés auraient peut-être pu vérifier l'identité de la personne en appelant le CEO par exemple. La banque aurait pu mieux former ses employés à reconnaître les techniques d'ingénierie sociale.
Lire l'article sur https://www.blick.ch/fr/news/suisse/soyez-vigilents-des-escrocs-faussent-les-factures-de-redevance-searfe-id19385891.html et répondez aux questions suivantes :
- Est-ce un cas d'ingénierie sociale ?
- Quelles techniques ont été utilisées ?
- Quelles erreurs ont été commises ?
- Comment aurait-on pu éviter cette fraude ?
Solution
- Oui, c'est un cas d'ingénierie sociale car on a tenté de tromper les gens pour obtenir de l'argent.
- C'est un cas de phishing par courrier. Les escrocs ont envoyé des factures de redevance Serafe falsifiées.
- Les gens ont payé sans vérifier l'authenticité de la facture.
- Serafe aurait peut-être pu informer ses clients de cette fraude (si elle est au courant). Les clients auraient pu mieux vérifier les données de paiement (IBAN, nom, ...) avant de payer.
Références
- https://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_(s%C3%A9curit%C3%A9_de_l%27information)
- https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-private/aktuelle-themen/social-engineering.html
- https://www.ncsc.admin.ch/ncsc/fr/home.html
- https://www.securiteinfo.com/attaques/divers/social.shtml
- https://www.metacompliance.fr/blog-cybersecurite/phishing-et-ransomware/techniques-d-attaques-utilisant-l-ingenierie-sociale
- https://fr.vikidia.org/wiki/Hame%C3%A7onnage ou https://fr.wikipedia.org/wiki/Hame%C3%A7onnage
- https://fr.wikipedia.org/wiki/Hacking_%C3%A9thique
- https://www.ibm.com/fr-fr/topics/social-engineering
- https://terranovasecurity.com/fr/quest-ce-que-l-ingenierie-sociale/
- Sécurité informatique - Gildas Avoine, Pascal Junod, Philippe Oechslin - Vuibert - ISBN 978-2-311-40168-4