Le Social Engineering - Les vecteurs d'attaque (2/2)
Dans l'article précédent, nous avons vu les principes du Social Engineering et comment un attaquant peut arriver à ses fins avec un particulier ou une entreprise.
Aujourd'hui, nous allons voir les différents vecteurs d'attaque ; c'est à dire les techniques que les attaquants mettent en œuvre pour vous atteindre et vous allez voir qu'il y en a beaucoup...
L'obtention d'information
L'attaquant va tenter d'obtenir un maximum d'information sur une personne ou un système d'information. L'objectif est d'en apprendre plus sur la personne ou sur l'organisation et ainsi, de pouvoir créer des prétextes valides.
Ce prétexte est un argument faux qui semble vrai dans le but d'induire en erreur un individu. Il peut être utilisé soit pour obtenir davantage d'informations, soit pour attaquer.
Connais ton ennemi et connais-toi toi-même - Sun Tzu
Le préfixe de mail
Lors que vous envoyez un email et que votre destinataire vous répond, vous voyez apparaître un "RE:" ou un "TR:" en préfixe de cet email.
Un attaquant peut tout à faire ajouter volontairement un "RE:" dans le titre de l'email qu'il vous envoie afin de vous faire croire qu'une discussion a déjà été entamée et ainsi jouer sur le principe de confiance.
Le phishing et ses dérivés
Le principe du phishing est l'envoi massif d'emails vers des particuliers ou des salariés avec pour finalité de vous faire télécharger une pièce-jointe malveillante ou cliquer sur un lien pour vous subtiliser des informations.
Le spear phishing
Le spear phishing est une sous-catégorie du phishing qui vise une cible précise avec un message dirigé contre un groupe d'individus. Il vise par exemple les membres d'un service achat en leur demandant le trasnfert de fonds ou le paiement d'une facture, le tout en utilisant généralement le principe d'autorité ; c'est à dire en donnant des instructions qui semblent provenir d'une source de confiance comme un membre de l'équipe de direction ou un manager.
Le whaling
Le whaling est une sous-catégorie du spear phishing. Il vise une personne très précisément qui a une forte valeur ajoutée tel qu'un directeur, un membre de l'équipe de direction, un administrateur système.
Le smishing
Le smishing provient du terme SMS - Short Message Service et Phishing.
Ce terme regroupes les attaques envoyées par messages (SMS ou messages reçus sur les applications de messagerie).
L'attaquant va envoyer un message qui répond à plusieurs objectifs :
- Un SMS qui attend un réponse qui vous sera facturée
- Un message qui contient un lien malveillant
- Un message qui vise à entamer une discussion
- Un message qui demande de rappeler à un numéro surtaxé
Le vishing
Le vishing provient du terme Voice et Phishing.
Le vishing concerne les attaques par systèmes de communication par la voix. Sachez qu'il est très simple de louer un numéro de téléphone classique qui commence par 06, 07 ou 09.
De ce fait, vous devriez toujours considérer comme fausse l'identité de votre interlocuteur.
Le spam
Le spam concerne n'importe quel type d'emails indésirable ou non sollicité. Ils peuvent intégrer du contenu malicieux et servir de vecteur d'attaque.
Ils sont généralement utilisés comme point d'entrée vers des attaques de social engineering.
Le regard par dessus l'épaule
C'est la forme physique du social engineering. L'attaquant ve regarder derrière votre épaule ce que vous tapez sur votre clavier ou espionner votre écran.
L'attaque à la facture
Les attaques à la factures sont souvent liées aux attaques de type whaling. Il est important de pratique le principe de séparation des devoirs pour éviter ce type d'attaque.
C'est à dire d'avoir un groupe qui passe les commandes, un groupe qui les valide et un groupe qui réalise des audits.
Le canular
Le canular ou hoax en anglais est une forme de social engineering qui vise à convaincre une cible de réaliser une action dans le but de s'introduire dans le système ou de diminuer la sécurité du SI.
L'imitation ou la mascarade
L'imitation est le fait d'agir en prenant l'identité de quelqu'un d'autre. On appelle cela l'imitation,la mascarade ou encore la fraude à l'identité.
Le talonnage
Cette attaque vise à gagner un accès privilégié en utilisant les accès valides d'une autre personne. Un exemple connu est la personne qui passe derrière vous dans le métro sans avoir payé de ticket.
Il y a une deuxième technique qui consiste à abuser de la confiance d'une personne en utilisant ses accès. Par exemple, l'attaquant porte un colis qui semble lourd et encombrant, il feint le besoin d'assistance et vous demande de laisser la porte ouverte et de laisser passer.
La benne à ordure
Certains attaquants vont jusqu'à fouiller les poubelles pour récupérer tout ce qui peut avoir de la valeur : des schémas, des factures, des équipements mis au rebut.
La fraude à l'identité
La fraude à l'identité ou le vol d'identité sont des types de crimes pour lesquels quelqu'un obtient et utilise les données personnelles d'une autre personne dans le but de frauder. Il existe des différences entre ces termes :
- Le vol d'identité : c'est l'acte de voler l'identité de quelqu'un; cela passe par le vol du nom, prénom, adresse, numéro de carte bancaire, etc.
- La fraude à l'identité : la fraude consiste à faire passer des choses fausses pour des choses vraies. C'est lorsqu'un criminel se fait passer pour quelqu'un d'autre
Le typo squatting
Le typo squatting vise à rediriger le trafic lorsqu'un utilisateur se trompe d'adresse URL. Par exemple si vous tapez goolge.fr au lieud de google.fr.
Les campagnes d'influence
C'est une attaque de Social Engineering qui vise à guider, ajuster ou changer l'opinion publique. Les campagnes d'influence sont liées à la désinformation, la propagande, l'altération d'informations, les fake news, etc.
Le Doxing est la collection d'information à propos d'un individu ou d'une organisation dans le but de divulguer les données collectées publiquement afin de changer la perception que peut avoir la cible.
Les réseaux sociaux
Et je finis par les réseaux sociaux. Car quoi de mieux qu'un réseau social pour diffuser de la désinformation de masse !
En bref
Vous avez sans doute vu la diversité et l'inventivité des attaquants quand il s'agit de gagner votre confiance ou de vous tromper. Ayez un regard critique sur l'internet mondial et ne vous laissez pas abuser par les belles paroles.