14.2.8 – Travaux pratiques – Ingénierie sociale
Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur.
Objectifs
Rechercher et identifier les attaques par ingénierie sociale
Contexte/scénario
Le but d’une attaque par ingénierie sociale est d’inciter une victime à révéler des informations personnelles ou sensibles. Le hacker peut utiliser un enregistreur de frappe ou un message de phishing ou alors rencontrer en personne l’individu ciblé. Dans le cadre de ces travaux pratiques, vous devez déterminer ce qu’est l’ingénierie sociale et identifier les moyens de reconnaître ce type d’attaque et de l’empêcher.
Ressources requises
- Ordinateur ou terminal mobile avec accès Internet
Instructions
À l’aide d’un navigateur Web, trouvez l’article «Méthodes pour comprendre et réduire les attaques d’ingénierie sociale» sur le site Web de l’Institut SANS. Un moteur de recherche devrait facilement trouver l’article.
L’institut SANS est un organisme coopératif de recherche et d’éducation qui offre une formation en sécurité de l’information et une certification en sécurité. La salle de lecture SANS contient de nombreux articles qui sont pertinents pour la pratique de l’analyse de la cybersécurité. Vous pouvez rejoindre la communauté SANS en créant un compte d’utilisateur gratuit afin d’accéder aux derniers articles, ou vous pouvez accéder aux anciens articles sans compte d’utilisateur.
Lisez l’article ou choisissez un autre article sur l’ingénierie sociale, lisez-le et répondez aux questions suivantes:
a. Quelles sont les trois méthodes utilisées dans le cadre d’une attaque d’ingénierie sociale pour accéder à des informations ?
Les réponses doivent inclure l’accès électronique, l’accès physique et les médias sociaux.
b. Donnez trois exemples d’attaque par ingénierie sociale selon les deux premières méthodes définies à l’étape 2a ?
Les réponses varieront, mais peuvent inclure le harponnage par e-mail, l’appâtage avec le contenu souhaité ou le talonnage.
c. Pourquoi les réseaux sociaux présentent-ils un risque d’attaque par ingénierie sociale ?
Les réponses devraient inclure que les réseaux sociaux encouragent généralement les gens à partager des informations personnelles ainsi que leurs intérêts et leurs habitudes. (Nom complet, date de naissance (DDN) ville de résidence, etc…).
d. Comment une entreprise peut-elle se défendre contre les attaques par ingénierie sociale ?
Les réponses doivent inclure la création et l’utilisation d’une formation de sensibilisation à la sécurité.
e. Qu’est-ce que l’organisme SANS Institute qui a rédigé cet article ?
Les réponses varieront en fonction du site Web https://www.sans.org et du contenu affiché. La réponse doit inclure qu’il s’agit d’un fournisseur de formation et de certification en sécurité de l’information.