Les concepts importants

Acting

Ce concept vise à vous rendre légitime aux yeux de votre victime, il s'agit de prendre un rôle tel un acteur de théâtre et d'être assez convaincant pour tromper celle-ci.

Si une personne malveillante souhaite s'introduire dans les locaux d'une entreprise elle peut par exemple:

• Se faire passer pour un employé en portant l'uniforme / la tenue de travail de l'entreprise.

• Se faire passer pour un ouvrier pendant des travaux.

• ...

OSINT

Ce concept quant à lui vise à récupérer un maximum d'information sur votre victime (entreprise, employés, technologies utilisées...) afin de mettre en place un véritable scénario d'attaque ciblé et personnalisé rendant donc beaucoup plus crédible votre acting.

Phishing

Il s'agit des formes d'ingénierie sociale les plus utilisé par les cybercriminels. le phishing est un acte visant à envoyé un mail, un sms ou autre à votre victime en le rendant le plus légitime possible aux yeux de celle-ci. Il peut s'agir de cacher un logiciel malicieux qui sera téléchargé par la victime, envoyer un lien de redirection vers un site malveillant ou parfois simplement de manipuler la victime afin d'obtenir des informations.

Smiphing

Phishing par SMS

Spear phishing

Phishing ciblé, Cette attaque repose généralement sur une usurpation de l'identité de l'expéditeur, et procède par ingénierie sociale forte afin de lier l'objet du courriel et le corps du message à l'activité de la personne ou de l'organisation ciblée

Whaling

Type de phishing ciblant un supérieur au sein d'une entreprise / ciblant directement la haute direction ou d'autres membres importants, dans le but de voler de l'argent, des informations sensibles ou d'avoir accès à leurs systèmes informatiques, le tout bien sûr à des fins criminelles. Aussi connue sous le nom de fraude au président, la "chasse à la baleine" est semblable au phishing car elle utilise des méthodes d'imitation d'emails et de sites Web pour inciter une cible à effectuer des actions spécifiques, comme révéler des informations confidentielles ou transférer de l'argent.

Vishing

Le Vishing est une pratique d'ingénierie sociale qui consiste à communiquer avec des gens par téléphone dans le but de les frauder. Cette fraude utilise habituellement la voix sur IP à cause des flexibilités de cette technologie et de son coût très bas.

Cette technique est plus complexe à mettre en place par un attaquant car elle requière des compétences en improvisation et une solide connaissance de la cible mais cela la rend de ce fait bien plus crédible aux yeux de la victime.

Cette attaque permet également à l'attaquant d'avoir directement le résultat de celle-ci au lieu d'attendre qu'un mail ou un sms soit ouvert ce qui peut parfois être long.

Exemples d'attaques:

• Faux SMS de la poste vous signalant l'arrivé d'un colis. (Smishing)

• Faux mail de votre banque vous redirigeant vers un site malicieux vous demandant vos coordonnées bancaires, identifiants etc. (Phishing)

• Envoie d'un fichier malicieux à un supérieur par le billet d'une adresse mail légitime usurpée. (Whaling)

• Appel d'une personne malveillante se faisant passer pour un PDG pour inciter un service PAIE de faire un virement sur un compte distant. (Vishing)

Baiting

Ce concept vise à leurrer la victime en l'incitant à effectuer une action qu'elle pense bénigne pour laquelle celle-ci n'aurais pas le réflexe de vérifier la légitimité tel que laisser une clé USB par terre pour l'inciter à la brancher sur son ordinateur ou coller des code QR à des endroits tels que des restaurants ou autre endroit dans lesquels il n'est pas rare d'en trouver.

Exemples:

• Rubber Ducky (USB)

• Faux menu sans contact sur une table de restaurant (Code QR)

• Juice jacking (fausses bornes de recharge publiques)

Diversion theft

Ce concept est à la fois simple et éléboré demandant une bonne connaissance de la cible et de ses fournisseurs ainsi que de son calendrier de livraisons. Elle demande également du matériel ainsi qu'une bonne capacité d'improvisation. Ce type d'attaque vise à convaincre l'entreprise livrant un produit ou un service qu'elle est attendue autre part en se faisant passer pour l'entreprise cible afin de se présenter à chez celle-ci à la place du préstataire ou livreur légitime.

Water howling

Ce concept quant à lui se base sur la confiance des utilisateurs d'un site légitime en celui-ci. Il nécessite d'avoir préalablement découvert une vulnérabilité du type XSS ou HTML injection par exemple qui vont permettre d'interagir avec les utilisateur du site. En effet, un utilisateur ayant l'habitude d'utiliser un site légitime sans n'avoir jamais eu aucun problème avec sera plus à même d'effectuer des actions inconciemment et sans aucune forme de vigilance. L'attaquant peut alors profiter de cette mégarde pour rediriger un utilisateur vers un lien malicieux, lui faire télécharger un malware, lui voler ses identifiants de connexions ou autre.

Quid pro quo

Ce concept est une attaque très utilisé à bas niveau notamment sur des personnes agés peut sensibilisés à la cybersécurité et nécessitant une assistance constante sur les appareils numériques. Ce type d'attaque vise à se faire passer pour un support informatique auprès d'une cible en pretextant l'aider à résoudre une panne ou autre problème informatique et de guider cette personne à faire des actions qui permettront à l'attaquant de prendre le contrôle de la machine de la cible.

Tailgating

Très utilisé lors de tests d'intrusion physique notamment, ce concept vise à entrer par un accès sécurisé par badge soit en attendant qu'un employé légitime passe et en passant derrière lui pendant que l'accès est ouvert, soit d'exploiter la générosité d'un employé pour lui faire tenir la porte pour nous (comme la technique connue visant à faire comme si on était au téléphone), soit en ramenant un faux badge et en demendant de nous ouvrir en prétextant un bug avec le badge.

Dumpster Diving

Un dernier concept de social engineering souvent oublié est le dumpster diving visant à collecter le contenu des beines à ordures de la cible dans le but de retrouver des documents et notes sensibles.

Dans ce genre de cas l'attaquant peut par exemple se faire passer pour un employé de la société d'éboueur de l'entreprise afin qu'on lui donne accès aux beines à ordures.

Si les documents confidentiels jetés ne sont pas détruits alors ce type d'attaque peut donner accès à une mine d'informations.

Concepts psychologiques

En effet, contrairement aux autres types d'attaques effectués dans le domaine des tests d'intrusion, les attaques faisant usage de l'ingénierie sociale requière peu voir parfois aucune compétences en informatique.

L'ingénierie sociale relève principalement de la psychologie humaine, c'est pourquoi il s'agit d'un sujet complétement à part dans le domaine du hacking car les compétences attendues sont radicalement différentes.

Influence

L'influence est la capacité d'entraîner une personne "influençable" à effectuer une action qui ne lui est pas forcément nécessaire.

On peut par exemple parler des influenceurs aujourd'hui devenu un métier à part entière et qui décrit parfaitement ce concepts.

Les influenceurs incitent à la consommation par leur audience et les réseaux sociaux.

Manipulation

La manipulation est souvent associée à l'influence ce qui n'est pas forcément vrai. En effet, influencer n'a pas forcément pour but de porter préjudice à quelqu'un, il arrive même parfois d'influencer sans le savoir. Il existe également de bonnes influences (exp: Cette personne est un modèle pour moi, elle me motive à progresser et à ne pas abandonner).

La manipulation quant a elle est utilisé avec l'objectif d'effectuer une action malveillante.

Rapport

Ce concept est probablement l'un des concepts les plus importants pour la réussite d'une attaque d'ingénierie sociale. En bref, il s'agit de confiance mutuelle entre l'attaquant et la victime. En effet, si l'attaquant n'arrive pas à donner à sa cible confiance en lui, les chances de réussite de son attaque deviennent très faibles.

Comme dans une thérapie ou une négociation de police, l'attaquant va alors tenter de créer un lien entre lui et sa cible en échangeant avec sur des expériences partagées (vraies ou inventées de toutes pièces), sur ses centres d'intérêts etc. L'OSINT a alors une grande place dans la mise en pratique de ce concept car il est important de bien connaitre sa cible.

Principes de persuasion

Autorité

Se faire passer pour un supérieur hiérarchique et donner des ordres en tant que PDG ou autre figure d'autorité à une victime s'est montré très persuasif dans une multitude de fraudes au président depuis des années.

En effet, se faire passer pour un PDG est un acte très menaçant pour un employé. Une personne non sensibilisé à ce type d'attaque ne se doutera à aucun moment qu'une personne inconnue à la vie de l'entreprise puisse la contacter directement par téléphone en lui donnant des ordres. D'autant plus que les fraudes au présidents sont parfois ajouté à un contexte d'urgence ou stressant dont nous allons parler par la suite.

Sympathie

Eh oui, la sympathie tout simplement. Il est évident qu'une personne sympathique tisse bien plus facilement des liens avec les individus avec lesquels elle est en contact. Un simple "bonjour comment vas-tu aujourd'hui ?" ou "J'adore tes chaussures ! Tu les as acheté où ?", c'est tellement de manière de donner envie à votre cible d'écouter ce que vous avez à dire. Avez vous déjà connu un commercial qui ne se montre pas sympathique avec ses clients ? 😄

Urgence / situation stressante

Les situations d'urgence et situations stressantes sont souvent persuasives du fait du manques de temps de réflexion de la cible pour prendre sa décision. Ces situations entraînent des erreurs de jugement de la part de la personne victime. C'est ce type de procédé qu'utilise les "ransomgangs" pour mener leur victime à agir dans la précipitation avant d'avoir le temps d'analyser la situation. (exp: vous avez X heures pour payer avant que vos données soient rendus publiques).

Constance

La constance est un moyen intéressant de mettre en place un rapport de confiance. En effet, l'humain n'aime généralement pas le changement, la plupart des gens se sentent en sécurité dans leur routine et ne voient dans le changement qu'une perte de temps (exp: Ce sous-traitant connais bien notre entreprise, pourquoi changer pour reformer toute une équipe ?).

La constance pourrait donc permettre à un attaquant d'établir un rapport de confiance avec une entreprise ou un employé sur du long terme lui permettant de prendre connaissance d'informations et secrets sur une possible cible plus grande.

Preuve sociale

Ce concept vise à convaincre une personne d'effectuer une action en la comparant à d'autre personne de la même génération ou classe sociale.

En psychologie sociale, la preuve sociale concerne un individu ne sachant quoi faire ou quoi penser qui aura tendance à adopter le comportement ou le point de vue d’autres personnes. Par exemple, si un individu cherche à manger dans une rue, il va préférer se rendre dans un restaurant où la terrasse est bondée plutôt que le restaurant où la terrasse est vide. En effet, le nombre de clients va permettre au restaurant de renvoyer une image positive au passant.

Dans une campagne d'ingénierie sociale, ce genre de procédé passe par une phase d'OSINT approfondie afin de repérer les personnes les plus influençables de l'entreprise. la victime est alors contacté par email (par exemple) dans lequel on pourrait lui propose un poste intéressant son profil ayant été recommandé par une personne qui tenait à rester anonyme. Linkedin donne par exemple les membres de votre réseau ayant travaillé sur le même poste dans les offres d'emplois pour vous inciter à suivre leur chemin ou du moins à vous intéresser à l'offre.

Réciprocité

Le concept de dette peut également être utilisé dans le cadre d'ingénierie sociale. Aider une cible à régler un problème quel qu'il soit peut permettre à un attaquant de donner à sa victime l'impression d'être obligé de faire quelque chose pour lui en retour.

Par exemple, un attaquant aide un employé d'une entreprise cible dans une tâche de la vie courante puis demande si en retour cet employé peut donner les coordonnées de son supérieur hiérarchique pour "une candidature spontanée". Service contre service, l'employé n'aurais peut-être pas accepté en temps normal mais la situation fait qu'il se sent obligé de le faire.

En général, plus le service rendu est grand, moins la personne bénéficiaire n'a le courage de refuser.

Empathie

Probablement le concept le plus dangereux et contraire à l'éthique utilisé par les personnes malveillantes. L'empathie est la capacité de comprendre les sentiments d'une personne comme si vous étiez dans sa situation, elle utilise des sentiments partagés contrairement à la sympathie qui n'utilise que les propre sentiments de l'attaquant. L'association de ces deux concepts est l'outil parfait pour établir une relation avec un autre individu.

Il est important de savoir à la fois parler de ses sentiment sans entrer dans l'égoïsme, c'est-à-dire qu'il faut trouver le bon équilibre entre sentiments personnels et sentiments de la victime pour être capable d'exercer son influence et de savoir quelle limite ne doit pas être dépassé.

Les utilisateurs expérimenté d'ingénierie sociale sont ainsi capable d'adapter leurs histoires en fonction du vécu / du passif de leur victime afin de les transporter et de leur faire éprouver de l'empathie. Inversement , si leur victime se confient à eux ils sauront faire preuve d'empathie et utiliseront la sympathie pour présenter leurs condoléances et même parfois rebondir sur une expérience similaire.

Appartenance

Ce concept d'appartenance à une communauté / un groupe peut également être exploité car il touche une grande partie de la population, l'effet de groupe a toujours eu son importance dans l'existance de l'humanité amenant à de très belles choses comme à de terribles choses. Exploiter une telle vulnérabilité est une manipulation assez vicieuse car elle peut permettre de manipuler plusieurs emotions. La peur (la peur de la solitude, du jugement, de l'abandon, l'intimidation...), la griserie (l'effet de "meute" a un effet encourageant pouvant mener à faire des actions non volontaire pouvant être regrétés par la suite), la confiance (faire une bêtise accompagné est plus rassurant que la faire seule :p, on peut aussi prendre l'exemple de la terrasse de restaurant bondée de monde qui attirera plus de personne que celle vide car on a confiance en les goût des autres).

C'est autant de manières de manipuler une personne a faire des actions qu'il sait pourtant pertinament qu'il ne devrait pas faire.

Attaques avancées

Les attaques les plus avancées en terme d'ingenierie sociale mettent en oeuvre ce qu'on appel les principes de double voir triple extorsion.

Ces attaques font appel à deux voir trois des concepes de persuasion cités ci-dessus.

Il n'est en effet pas rare de voir des attaques notamment contre les établissement hospitalier dans lesquel on va utiliser la peur ainsi que l'urgence en utilisant un ransomware muni d'un timer qui va publier les données volées à terme (double extorsion). Certains acteurs vont même jusqu'à ajouter une notion de nécessité en menacant leur victime d'effectuer des attaques part déni de service distribué si celles-ci venaient à prévenir les autorités. (triple extorsion)

Vecteurs d'attaque principaux

Les principaux vecteurs d'attaque mettant en pratique des notions d'ingenierie sociale sont les suivants:

• Le spear phishing

• La consultation des sites web contenant des charges virales, certains sites sont plus souvent attaqués que visités (attaque par point d’eau)

• L’exploitation des fuites de données référençant des « loggins » et des mots de passe (montrer a la victime qu'on détient ses identifiants pour lui faire peur)

• Les mises à jour corrompues fournies par un faux éditeur

• Les attaques par rebond en provenance des partenaires, des sous-traitants de la « supply chain ». (notion de confiance)

Facteurs de vulnérabilités principaux

Le télétravail

• Entraîne un déséquilibre entre vie professionnel et vie privée qui demande une grande maturité pour être correctement équilibrée en télétravail

• Créer des changements dans la gestion de la sécurisation des systèmes d'informations enraînant des risques de mauvaises configuration de sécurité par exemple(nécessité de mise en place de VPN, de chiffrement des appareils nomades etc)

• Favorisation des mauvaises pratique à la maison car personne pour surveiller (pas de mise en veille des écrans, sauvegarde des données sur des disques non sécurisés, transferts de fichiers non sécurisés etc)

• Pas d'interaction physique (il est plus facile d'usurper une identité quand il n'y a pas de risque que la personne se trouve dans le même open space...)

• Des personnes non informaticiens qui se retrouvent à devoir utiliser des technologies nouvelles pour eux (ce qui engendre stress, colère, frustration...)

L'infobésité et la charge mentale

l'infobésité est l'excès d'informations propre à l'ère du numérique, elle a été apporté par la multiplications des média, canaux de diffusions, source d'informations etc et a été amplifié avec l'arrivé du télétravail obligeant à augmenter d'avantage le nombre d'outils numériques à utiliser au quotidien.

L'infobésité est en quelque sorte l'équivalent d'un DoS (Déni de services) sur le cerveau humain. Tout comme un botnet qui va bombarder de requêtes un serveur jusqu'à ce que celui-ci ne soit plus en capacité de fonctionner correctement, la quantité d'informations ingéré par le cerveau humain via les mails, les copies de mails, les réseaux sociaux, la télévision etc va litérallement inonder le cerveau humain jusqu'à mener dans certains cas au "burnout".

Cela va également favoriser la nécessité d'être multitâches ce qui est physiologiquement ingérable et qui implique plus d'erreurs et donc plus de perte de temps qu'à l'origine ainsi qu'une fatigue due au surmenage. Sensation de surmenage qui va nous inciter à nous rendre sur les réseaux sociaux par exemple pour se changer les idées et qui aura l'effet inverse car ceux-ci enverrons encore plus d'informations accumulant de ce fait toujours plus de fatigue et de stress.