๐Ÿง Concepts / Principes / Attaques

Les concepts importants

Acting

Ce concept vise ร  vous rendre lรฉgitime aux yeux de votre victime, il s'agit de prendre un rรดle tel un acteur de thรฉรขtre et d'รชtre assez convaincant pour tromper celle-ci.

Si une personne malveillante souhaite s'introduire dans les locaux d'une entreprise elle peut par exemple:

  • Se faire passer pour un employรฉ en portant l'uniforme / la tenue de travail de l'entreprise.

  • Se faire passer pour un ouvrier pendant des travaux.

  • ...

OSINT

Ce concept quant ร  lui vise ร  rรฉcupรฉrer un maximum d'information sur votre victime (entreprise, employรฉs, technologies utilisรฉes...) afin de mettre en place un vรฉritable scรฉnario d'attaque ciblรฉ et personnalisรฉ rendant donc beaucoup plus crรฉdible votre acting.

Phishing

Il s'agit des formes d'ingรฉnierie sociale les plus utilisรฉ par les cybercriminels. le phishing est un acte visant ร  envoyรฉ un mail, un sms ou autre ร  votre victime en le rendant le plus lรฉgitime possible aux yeux de celle-ci. Il peut s'agir de cacher un logiciel malicieux qui sera tรฉlรฉchargรฉ par la victime, envoyer un lien de redirection vers un site malveillant ou parfois simplement de manipuler la victime afin d'obtenir des informations.

Smiphing

Phishing par SMS

Spear phishing

Phishing ciblรฉ, Cette attaque repose gรฉnรฉralement sur une usurpation de l'identitรฉ de l'expรฉditeur, et procรจde par ingรฉnierie sociale forte afin de lier l'objet du courriel et le corps du message ร  l'activitรฉ de la personne ou de l'organisation ciblรฉe

Whaling

Type de phishing ciblant un supรฉrieur au sein d'une entreprise / ciblant directement la haute direction ou d'autres membres importants, dans le but de voler de l'argent, des informations sensibles ou d'avoir accรจs ร  leurs systรจmes informatiques, le tout bien sรปr ร  des fins criminelles. Aussi connue sous le nom de fraude au prรฉsident, la "chasse ร  la baleine" est semblable au phishing car elle utilise des mรฉthodes d'imitation d'emails et de sites Web pour inciter une cible ร  effectuer des actions spรฉcifiques, comme rรฉvรฉler des informations confidentielles ou transfรฉrer de l'argent.

Vishing

Le Vishing est une pratique d'ingรฉnierie sociale qui consiste ร  communiquer avec des gens par tรฉlรฉphone dans le but de les frauder. Cette fraude utilise habituellement la voix sur IP ร  cause des flexibilitรฉs de cette technologie et de son coรปt trรจs bas.

Cette technique est plus complexe ร  mettre en place par un attaquant car elle requiรจre des compรฉtences en improvisation et une solide connaissance de la cible mais cela la rend de ce fait bien plus crรฉdible aux yeux de la victime.

Cette attaque permet รฉgalement ร  l'attaquant d'avoir directement le rรฉsultat de celle-ci au lieu d'attendre qu'un mail ou un sms soit ouvert ce qui peut parfois รชtre long.

Exemples d'attaques:

  • Faux SMS de la poste vous signalant l'arrivรฉ d'un colis. (Smishing)

  • Faux mail de votre banque vous redirigeant vers un site malicieux vous demandant vos coordonnรฉes bancaires, identifiants etc. (Phishing)

  • Envoie d'un fichier malicieux ร  un supรฉrieur par le billet d'une adresse mail lรฉgitime usurpรฉe. (Whaling)

  • Appel d'une personne malveillante se faisant passer pour un PDG pour inciter un service PAIE de faire un virement sur un compte distant. (Vishing)

Baiting

Ce concept vise ร  leurrer la victime en l'incitant ร  effectuer une action qu'elle pense bรฉnigne pour laquelle celle-ci n'aurais pas le rรฉflexe de vรฉrifier la lรฉgitimitรฉ tel que laisser une clรฉ USB par terre pour l'inciter ร  la brancher sur son ordinateur ou coller des code QR ร  des endroits tels que des restaurants ou autre endroit dans lesquels il n'est pas rare d'en trouver.

Exemples:

  • Rubber Ducky (USB)

  • Faux menu sans contact sur une table de restaurant (Code QR)

  • Juice jacking (fausses bornes de recharge publiques)

Diversion theft

Ce concept est ร  la fois simple et รฉlรฉborรฉ demandant une bonne connaissance de la cible et de ses fournisseurs ainsi que de son calendrier de livraisons. Elle demande รฉgalement du matรฉriel ainsi qu'une bonne capacitรฉ d'improvisation. Ce type d'attaque vise ร  convaincre l'entreprise livrant un produit ou un service qu'elle est attendue autre part en se faisant passer pour l'entreprise cible afin de se prรฉsenter ร  chez celle-ci ร  la place du prรฉstataire ou livreur lรฉgitime.

Water howling

Ce concept quant ร  lui se base sur la confiance des utilisateurs d'un site lรฉgitime en celui-ci. Il nรฉcessite d'avoir prรฉalablement dรฉcouvert une vulnรฉrabilitรฉ du type XSS ou HTML injection par exemple qui vont permettre d'interagir avec les utilisateur du site. En effet, un utilisateur ayant l'habitude d'utiliser un site lรฉgitime sans n'avoir jamais eu aucun problรจme avec sera plus ร  mรชme d'effectuer des actions inconciemment et sans aucune forme de vigilance. L'attaquant peut alors profiter de cette mรฉgarde pour rediriger un utilisateur vers un lien malicieux, lui faire tรฉlรฉcharger un malware, lui voler ses identifiants de connexions ou autre.

Quid pro quo

Ce concept est une attaque trรจs utilisรฉ ร  bas niveau notamment sur des personnes agรฉs peut sensibilisรฉs ร  la cybersรฉcuritรฉ et nรฉcessitant une assistance constante sur les appareils numรฉriques. Ce type d'attaque vise ร  se faire passer pour un support informatique auprรจs d'une cible en pretextant l'aider ร  rรฉsoudre une panne ou autre problรจme informatique et de guider cette personne ร  faire des actions qui permettront ร  l'attaquant de prendre le contrรดle de la machine de la cible.

Tailgating

Trรจs utilisรฉ lors de tests d'intrusion physique notamment, ce concept vise ร  entrer par un accรจs sรฉcurisรฉ par badge soit en attendant qu'un employรฉ lรฉgitime passe et en passant derriรจre lui pendant que l'accรจs est ouvert, soit d'exploiter la gรฉnรฉrositรฉ d'un employรฉ pour lui faire tenir la porte pour nous (comme la technique connue visant ร  faire comme si on รฉtait au tรฉlรฉphone), soit en ramenant un faux badge et en demendant de nous ouvrir en prรฉtextant un bug avec le badge.

Dumpster Diving

Un dernier concept de social engineering souvent oubliรฉ est le dumpster diving visant ร  collecter le contenu des beines ร  ordures de la cible dans le but de retrouver des documents et notes sensibles.

Dans ce genre de cas l'attaquant peut par exemple se faire passer pour un employรฉ de la sociรฉtรฉ d'รฉboueur de l'entreprise afin qu'on lui donne accรจs aux beines ร  ordures.

Si les documents confidentiels jetรฉs ne sont pas dรฉtruits alors ce type d'attaque peut donner accรจs ร  une mine d'informations.

Concepts psychologiques

En effet, contrairement aux autres types d'attaques effectuรฉs dans le domaine des tests d'intrusion, les attaques faisant usage de l'ingรฉnierie sociale requiรจre peu voir parfois aucune compรฉtences en informatique.

L'ingรฉnierie sociale relรจve principalement de la psychologie humaine, c'est pourquoi il s'agit d'un sujet complรฉtement ร  part dans le domaine du hacking car les compรฉtences attendues sont radicalement diffรฉrentes.

A titre d'information, les attaques provoquant une rรฉaction sont majoritairement prรฉparรฉes pour susciter les peurs, la serviabilitรฉ, la curiositรฉ, la cupiditรฉ, la nรฉcessitรฉ, le besoin dโ€™espoir. Les besoins de domination, de pouvoir et de plaisir (sexe et argent) sont quant ร  eux les vecteurs les plus difficiles ร  contrรดler รฉmotionnellement.

Influence

L'influence est la capacitรฉ d'entraรฎner une personne "influenรงable" ร  effectuer une action qui ne lui est pas forcรฉment nรฉcessaire.

On peut par exemple parler des influenceurs aujourd'hui devenu un mรฉtier ร  part entiรจre et qui dรฉcrit parfaitement ce concepts.

Les influenceurs incitent ร  la consommation par leur audience et les rรฉseaux sociaux.

Manipulation

La manipulation est souvent associรฉe ร  l'influence ce qui n'est pas forcรฉment vrai. En effet, influencer n'a pas forcรฉment pour but de porter prรฉjudice ร  quelqu'un, il arrive mรชme parfois d'influencer sans le savoir. Il existe รฉgalement de bonnes influences (exp: Cette personne est un modรจle pour moi, elle me motive ร  progresser et ร  ne pas abandonner).

La manipulation quant a elle est utilisรฉ avec l'objectif d'effectuer une action malveillante.

Rapport

Ce concept est probablement l'un des concepts les plus importants pour la rรฉussite d'une attaque d'ingรฉnierie sociale. En bref, il s'agit de confiance mutuelle entre l'attaquant et la victime. En effet, si l'attaquant n'arrive pas ร  donner ร  sa cible confiance en lui, les chances de rรฉussite de son attaque deviennent trรจs faibles.

Comme dans une thรฉrapie ou une nรฉgociation de police, l'attaquant va alors tenter de crรฉer un lien entre lui et sa cible en รฉchangeant avec sur des expรฉriences partagรฉes (vraies ou inventรฉes de toutes piรจces), sur ses centres d'intรฉrรชts etc. L'OSINT a alors une grande place dans la mise en pratique de ce concept car il est important de bien connaitre sa cible.

Principes de persuasion

Autoritรฉ

Se faire passer pour un supรฉrieur hiรฉrarchique et donner des ordres en tant que PDG ou autre figure d'autoritรฉ ร  une victime s'est montrรฉ trรจs persuasif dans une multitude de fraudes au prรฉsident depuis des annรฉes.

En effet, se faire passer pour un PDG est un acte trรจs menaรงant pour un employรฉ. Une personne non sensibilisรฉ ร  ce type d'attaque ne se doutera ร  aucun moment qu'une personne inconnue ร  la vie de l'entreprise puisse la contacter directement par tรฉlรฉphone en lui donnant des ordres. D'autant plus que les fraudes au prรฉsidents sont parfois ajoutรฉ ร  un contexte d'urgence ou stressant dont nous allons parler par la suite.

Sympathie

Eh oui, la sympathie tout simplement. Il est รฉvident qu'une personne sympathique tisse bien plus facilement des liens avec les individus avec lesquels elle est en contact. Un simple "bonjour comment vas-tu aujourd'hui ?" ou "J'adore tes chaussures ! Tu les as achetรฉ oรน ?", c'est tellement de maniรจre de donner envie ร  votre cible d'รฉcouter ce que vous avez ร  dire. Avez vous dรฉjร  connu un commercial qui ne se montre pas sympathique avec ses clients ? ๐Ÿ˜„

Urgence / situation stressante

Les situations d'urgence et situations stressantes sont souvent persuasives du fait du manques de temps de rรฉflexion de la cible pour prendre sa dรฉcision. Ces situations entraรฎnent des erreurs de jugement de la part de la personne victime. C'est ce type de procรฉdรฉ qu'utilise les "ransomgangs" pour mener leur victime ร  agir dans la prรฉcipitation avant d'avoir le temps d'analyser la situation. (exp: vous avez X heures pour payer avant que vos donnรฉes soient rendus publiques).

Constance

La constance est un moyen intรฉressant de mettre en place un rapport de confiance. En effet, l'humain n'aime gรฉnรฉralement pas le changement, la plupart des gens se sentent en sรฉcuritรฉ dans leur routine et ne voient dans le changement qu'une perte de temps (exp: Ce sous-traitant connais bien notre entreprise, pourquoi changer pour reformer toute une รฉquipe ?).

La constance pourrait donc permettre ร  un attaquant d'รฉtablir un rapport de confiance avec une entreprise ou un employรฉ sur du long terme lui permettant de prendre connaissance d'informations et secrets sur une possible cible plus grande.

Preuve sociale

Ce concept vise ร  convaincre une personne d'effectuer une action en la comparant ร  d'autre personne de la mรชme gรฉnรฉration ou classe sociale.

En psychologie sociale, la preuve sociale concerne un individu ne sachant quoi faire ou quoi penser qui aura tendance ร  adopter le comportement ou le point de vue dโ€™autres personnes. Par exemple, si un individu cherche ร  manger dans une rue, il va prรฉfรฉrer se rendre dans un restaurant oรน la terrasse est bondรฉe plutรดt que le restaurant oรน la terrasse est vide. En effet, le nombre de clients va permettre au restaurant de renvoyer une image positive au passant.

Dans une campagne d'ingรฉnierie sociale, ce genre de procรฉdรฉ passe par une phase d'OSINT approfondie afin de repรฉrer les personnes les plus influenรงables de l'entreprise. la victime est alors contactรฉ par email (par exemple) dans lequel on pourrait lui propose un poste intรฉressant son profil ayant รฉtรฉ recommandรฉ par une personne qui tenait ร  rester anonyme. Linkedin donne par exemple les membres de votre rรฉseau ayant travaillรฉ sur le mรชme poste dans les offres d'emplois pour vous inciter ร  suivre leur chemin ou du moins ร  vous intรฉresser ร  l'offre.

Rรฉciprocitรฉ

Le concept de dette peut รฉgalement รชtre utilisรฉ dans le cadre d'ingรฉnierie sociale. Aider une cible ร  rรฉgler un problรจme quel qu'il soit peut permettre ร  un attaquant de donner ร  sa victime l'impression d'รชtre obligรฉ de faire quelque chose pour lui en retour.

Par exemple, un attaquant aide un employรฉ d'une entreprise cible dans une tรขche de la vie courante puis demande si en retour cet employรฉ peut donner les coordonnรฉes de son supรฉrieur hiรฉrarchique pour "une candidature spontanรฉe". Service contre service, l'employรฉ n'aurais peut-รชtre pas acceptรฉ en temps normal mais la situation fait qu'il se sent obligรฉ de le faire.

En gรฉnรฉral, plus le service rendu est grand, moins la personne bรฉnรฉficiaire n'a le courage de refuser.

Empathie

Probablement le concept le plus dangereux et contraire ร  l'รฉthique utilisรฉ par les personnes malveillantes. L'empathie est la capacitรฉ de comprendre les sentiments d'une personne comme si vous รฉtiez dans sa situation, elle utilise des sentiments partagรฉs contrairement ร  la sympathie qui n'utilise que les propre sentiments de l'attaquant. L'association de ces deux concepts est l'outil parfait pour รฉtablir une relation avec un autre individu.

Il est important de savoir ร  la fois parler de ses sentiment sans entrer dans l'รฉgoรฏsme, c'est-ร -dire qu'il faut trouver le bon รฉquilibre entre sentiments personnels et sentiments de la victime pour รชtre capable d'exercer son influence et de savoir quelle limite ne doit pas รชtre dรฉpassรฉ.

Les utilisateurs expรฉrimentรฉ d'ingรฉnierie sociale sont ainsi capable d'adapter leurs histoires en fonction du vรฉcu / du passif de leur victime afin de les transporter et de leur faire รฉprouver de l'empathie. Inversement , si leur victime se confient ร  eux ils sauront faire preuve d'empathie et utiliseront la sympathie pour prรฉsenter leurs condolรฉances et mรชme parfois rebondir sur une expรฉrience similaire.

Attention: Il est important d'utiliser cette technique subtilement et intelligemment car si vous trouvez une anecdote pour chaque situation vous passerez rapidement pour un menteur.

Appartenance

Ce concept d'appartenance ร  une communautรฉ / un groupe peut รฉgalement รชtre exploitรฉ car il touche une grande partie de la population, l'effet de groupe a toujours eu son importance dans l'existance de l'humanitรฉ amenant ร  de trรจs belles choses comme ร  de terribles choses. Exploiter une telle vulnรฉrabilitรฉ est une manipulation assez vicieuse car elle peut permettre de manipuler plusieurs emotions. La peur (la peur de la solitude, du jugement, de l'abandon, l'intimidation...), la griserie (l'effet de "meute" a un effet encourageant pouvant mener ร  faire des actions non volontaire pouvant รชtre regrรฉtรฉs par la suite), la confiance (faire une bรชtise accompagnรฉ est plus rassurant que la faire seule :p, on peut aussi prendre l'exemple de la terrasse de restaurant bondรฉe de monde qui attirera plus de personne que celle vide car on a confiance en les goรปt des autres).

C'est autant de maniรจres de manipuler une personne a faire des actions qu'il sait pourtant pertinament qu'il ne devrait pas faire.

Attaques avancรฉes

Les attaques les plus avancรฉes en terme d'ingenierie sociale mettent en oeuvre ce qu'on appel les principes de double voir triple extorsion.

Ces attaques font appel ร  deux voir trois des concepes de persuasion citรฉs ci-dessus.

Il n'est en effet pas rare de voir des attaques notamment contre les รฉtablissement hospitalier dans lesquel on va utiliser la peur ainsi que l'urgence en utilisant un ransomware muni d'un timer qui va publier les donnรฉes volรฉes ร  terme (double extorsion). Certains acteurs vont mรชme jusqu'ร  ajouter une notion de nรฉcessitรฉ en menacant leur victime d'effectuer des attaques part dรฉni de service distribuรฉ si celles-ci venaient ร  prรฉvenir les autoritรฉs. (triple extorsion)

Vecteurs d'attaque principaux

Les principaux vecteurs d'attaque mettant en pratique des notions d'ingenierie sociale sont les suivants:

  • Le spear phishing

  • La consultation des sites web contenant des charges virales, certains sites sont plus souvent attaquรฉs que visitรฉs (attaque par point dโ€™eau)

  • Lโ€™exploitation des fuites de donnรฉes rรฉfรฉrenรงant des ยซ loggins ยป et des mots de passe (montrer a la victime qu'on dรฉtient ses identifiants pour lui faire peur)

  • Les mises ร  jour corrompues fournies par un faux รฉditeur

  • Les attaques par rebond en provenance des partenaires, des sous-traitants de la ยซ supply chain ยป. (notion de confiance)

Facteurs de vulnรฉrabilitรฉs principaux

Le tรฉlรฉtravail

  • Entraรฎne un dรฉsรฉquilibre entre vie professionnel et vie privรฉe qui demande une grande maturitรฉ pour รชtre correctement รฉquilibrรฉe en tรฉlรฉtravail

  • Crรฉer des changements dans la gestion de la sรฉcurisation des systรจmes d'informations enraรฎnant des risques de mauvaises configuration de sรฉcuritรฉ par exemple(nรฉcessitรฉ de mise en place de VPN, de chiffrement des appareils nomades etc)

  • Favorisation des mauvaises pratique ร  la maison car personne pour surveiller (pas de mise en veille des รฉcrans, sauvegarde des donnรฉes sur des disques non sรฉcurisรฉs, transferts de fichiers non sรฉcurisรฉs etc)

  • Pas d'interaction physique (il est plus facile d'usurper une identitรฉ quand il n'y a pas de risque que la personne se trouve dans le mรชme open space...)

  • Des personnes non informaticiens qui se retrouvent ร  devoir utiliser des technologies nouvelles pour eux (ce qui engendre stress, colรจre, frustration...)

L'infobรฉsitรฉ et la charge mentale

l'infobรฉsitรฉ est l'excรจs d'informations propre ร  l'รจre du numรฉrique, elle a รฉtรฉ apportรฉ par la multiplications des mรฉdia, canaux de diffusions, source d'informations etc et a รฉtรฉ amplifiรฉ avec l'arrivรฉ du tรฉlรฉtravail obligeant ร  augmenter d'avantage le nombre d'outils numรฉriques ร  utiliser au quotidien.

L'infobรฉsitรฉ est en quelque sorte l'รฉquivalent d'un DoS (Dรฉni de services) sur le cerveau humain. Tout comme un botnet qui va bombarder de requรชtes un serveur jusqu'ร  ce que celui-ci ne soit plus en capacitรฉ de fonctionner correctement, la quantitรฉ d'informations ingรฉrรฉ par le cerveau humain via les mails, les copies de mails, les rรฉseaux sociaux, la tรฉlรฉvision etc va litรฉrallement inonder le cerveau humain jusqu'ร  mener dans certains cas au "burnout".

Cela va รฉgalement favoriser la nรฉcessitรฉ d'รชtre multitรขches ce qui est physiologiquement ingรฉrable et qui implique plus d'erreurs et donc plus de perte de temps qu'ร  l'origine ainsi qu'une fatigue due au surmenage. Sensation de surmenage qui va nous inciter ร  nous rendre sur les rรฉseaux sociaux par exemple pour se changer les idรฉes et qui aura l'effet inverse car ceux-ci enverrons encore plus d'informations accumulant de ce fait toujours plus de fatigue et de stress.

PrรฉcรฉdentIngรฉnierie socialeSuivantEthique

Derniรจre mise ร  jour

Cet article vous a-t-il รฉtรฉ utile ?