3.5.7 – Travaux pratiques – Ingénierie sociale Objecti
Dans ce TP, vous rechercherez des exemples d’ingénierie sociale et identifierez des moyens de la reconnaître et de la prévenir.
Ressources
- Ordinateur avec accès Internet
Instructions
Étape 1: Exemples de recherche en ingénierie sociale
L’ingénierie sociale, en ce qui concerne la sécurité de l’information, est utilisée pour décrire les techniques utilisées par une personne (ou des personnes) qui manipulent des gens pour accéder ou compromettre des informations sur une organisation ou ses systèmes informatiques. Un ingénieur social est généralement difficile à identifier et peut prétendre d’être un nouvel employé, un réparateur ou un chercheur. L’ingénieur social pourrait même offrir des informations d’identification pour soutenir cette identité. En gagnant la confiance et en posant des questions, il ou elle peut être en mesure de rassembler suffisamment d’informations pour infiltrer le réseau d’une organisation.
Utilisez n’importe quel navigateur Internet pour rechercher des incidents d’ingénierie sociale. Résumez trois exemples trouvés dans votre recherche.
Les réponses varieront en fonction des événements actuels.
Étape 2: Reconnaître les signes de l’ingénierie sociale
Les ingénieurs sociaux ne sont rien de plus que des voleurs et des espions. Au lieu de pirater leur chemin vers votre réseau via Internet, ils tentent d’y accéder en s’appuyant sur le désir d’une personne d’être accommodante. Bien qu’il ne soit pas spécifique à la sécurité du réseau, le scénario ci-dessous, décrit dans le livre de Christopher Hadnagy,The Art of Human Hacking, illustre comment une personne sans méfiance peut involontairement révéler des informations confidentielles.
« Le café était relativement calme alors que moi, vêtu d’un costume, j’étais assis à une table vide. J’ai placé ma mallette sur la table et j’ai attendu une victime convenable. Bientôt, une telle victime est arrivée avec un ami et s’est assise à côté de la mienne. Elle plaça son sac sur le siège à côté d’elle, tirant le siège contre elle et gardant sa main sur le sac en tout temps.
Après quelques minutes, son amie est partie chercher des toilettes. La marque [cible] était seule, alors j’ai donné le signal à Alex et Jess. Jouant en couple, Alex et Jess ont demandé à la marque si elle prendrait une photo d’eux. Elle était heureuse de le faire. Elle a retiré sa main de son sac pour prendre l’appareil photo et prendre une photo du «couple heureux» et, distraite, j’ai tendu la main, pris son sac et l’ai enfermé dans ma malette. Ma victime n’avait pas encore remarqué que son sac manquait alors qu’Alex et Jess quittaient le café. Alex est ensuite allé dans un parking à proximité.
Elle ne lui a pas fallu longtemps pour réaliser que son sac avait disparu. Elle a commencé à paniquer, regardant frénétiquement autour d’elle. C’était exactement ce que nous espérions, alors je lui ai demandé si elle avait besoin d’aide.
Elle m’a demandé si j’avais vu quelque chose. Je lui ai dit que je n’ai rien vu et je l’ai convaincu de s’asseoir et de penser à ce qu’il y avait dans le sac. Un téléphone. Maquillage. Un peu d’argent. Et ses cartes de crédit. Bingo!
Je lui ai demandé avec quelle banque elle traitait, puis je lui ai dit que je travaillais pour cette banque. Quel coup de chance! Je l’ai rassurée que tout irait bien, mais elle devrait annuler sa carte de crédit immédiatement. J’ai appelé le numéro du «centre d’assistance», qui était en fait Alex, et je lui ai remis mon téléphone.
Alex était dans une camionnette dans le parking. Sur le tableau de bord, un lecteur CD jouait des bruits de bureau. Il a assuré la marque que sa carte pourrait facilement être annulée mais, pour vérifier son identité, elle devait entrer son code PIN sur le clavier du téléphone qu’elle utilisait. Mon téléphone et mon clavier.
Quand nous avons eu son PIN, je suis parti. Si nous étions de vrais voleurs, nous aurions eu accès à son compte via des retraits aux guichets automatiques (ATM) et des achats de PIN. Heureusement pour elle, ce n’était qu’une émission de télévision. «
Rappelez-vous: «Ceux qui construisent des murs pensent différemment de ceux qui cherchent à passer par-dessus, par-dessous, autour ou à travers eux. » Paul Wilson – la vraie fraud (The Real Hustle)
Rechercher des moyens de reconnaître l’ingénierie sociale. Décrivez trois exemples trouvés dans votre recherche.
Les réponses varieront.
Étape 3: Recherche des moyens pour empêcher l’ingénierie sociale
Votre entreprise ou votre école a-t-elle des procédures en place pour aider à prévenir l’ingénierie sociale?
Si oui, quelles sont certaines de ces procédures?
Utilisez Internet pour rechercher des procédures que d’autres organisations utilisent pour empêcher les ingénieurs sociaux d’accéder à des informations confidentielles. Énumérez vos résultats.