Piratage éthique - Ingénierie sociale

Essayons de comprendre le concept d'attaques d'ingénierie sociale à travers quelques exemples.

Exemple 1

Vous devez avoir remarqué que d'anciens documents de l'entreprise étaient jetés dans des poubelles. Ces documents peuvent contenir des informations sensibles telles que des noms, des numéros de téléphone, des numéros de compte, des numéros de sécurité sociale, des adresses, etc. de données sensibles. Bien que cela semble improbable, les attaquants peuvent facilement récupérer des informations dans les bennes à ordures de l'entreprise en pillant les ordures.

Exemple 2

Un attaquant peut se lier d'amitié avec le personnel d'une entreprise et établir de bonnes relations avec lui sur une période de temps. Cette relation peut être établie en ligne via les réseaux sociaux, les salles de discussion ou hors ligne à une table basse, dans une aire de jeux ou par tout autre moyen. L'attaquant prend le personnel du bureau en toute confiance et finit par extraire les informations sensibles requises sans donner d'indice.

Exemple 3

Un ingénieur social peut se faire passer pour un salarié ou un utilisateur valide ou un VIP en simulant une carte d'identité ou simplement en convaincant les employés de sa position dans l'entreprise. Un tel attaquant peut accéder physiquement à des zones restreintes, offrant ainsi de nouvelles opportunités d'attaques.

Exemple 4

Il arrive dans la plupart des cas qu'un attaquant soit près de vous et puisse faire shoulder surfing pendant que vous saisissez des informations sensibles telles que l'ID utilisateur et le mot de passe, le code PIN du compte, etc.

Une attaque par phishing

Une attaque de hameçonnage est une ingénierie sociale informatique, où un attaquant crée un e-mail qui semble légitime. Ces e-mails ont le même aspect et la même sensation que ceux reçus du site d'origine, mais ils peuvent contenir des liens vers de faux sites Web. Si vous n'êtes pas assez intelligent, vous saisirez votre ID utilisateur et votre mot de passe et tenterez de vous connecter, ce qui entraînera un échec et à ce moment-là, l'attaquant aura votre identifiant et votre mot de passe pour attaquer votre compte d'origine.

Solution rapide

  • Vous devez appliquer une bonne politique de sécurité dans votre organisation et organiser les formations nécessaires pour sensibiliser tous les employés aux possibles attaques d'ingénierie sociale et à leurs conséquences.

  • Le déchiquetage de documents devrait être une activité obligatoire dans votre entreprise.

  • Assurez-vous que tous les liens que vous recevez dans votre e-mail proviennent de sources authentiques et qu'ils pointent vers des sites Web corrects. Sinon, vous risquez d'être victime du phishing.

  • Soyez professionnel et ne partagez en aucun cas votre identifiant et votre mot de passe avec qui que ce soit.