🔑
Cybersécurité
  • Introduction
  • Activité pratique
  • Contrôle de connaissance
  • Mots de passe
    • Activité pratique
    • 1-2-3 Protégez-vous
  • Ingénierie sociale
    • Tactique
    • Activité pratique - Gagnant du concours
      • Solution pour le gagnant du concours Phish
    • Activité pratique - Informations sur le paiement
      • Solution à l'hameçonnage des informations de paiement
    • Activité pratique - Commande égarée
      • Solutions au problème de commande égarée
    • Protégez-vous
  • Piratage
    • Piratage éthique
    • Des pirates informatiques de renommée
    • Les carrières dans la cybersécurité
  • Conclusion
  • Diaporama
Powered by GitBook
On this page
  • ''Phishing''
  • ''Smishing''
  • ''Vishing''
  • ''Spoofing''
  1. Ingénierie sociale

Tactique

Nous nous concentrons sur quatre tactiques principales utilisées en ingénierie sociale : ''Phishing'', ''Smishing'', ''Vishing'' et ''Spoofing''.

''Phishing''

Dans cette tactique, un agent malveillant (attaquant) envoie des courriels frauduleux prétendant provenir d'une source connue, qu'il s'agisse d'un membre de la famille, d'un ami, d'un magasin en ligne ou même de votre école, dans le but d'obtenir vos informations personnelles telles que votre nom, votre adresse, votre âge, votre sexe, vos identifiants et vos mots de passe.

Les messages de phishing sont conçus pour susciter la curiosité, l'inquiétude ou l'intrigue des destinataires, afin de provoquer une action rapide et irréfléchie, comme cliquer sur un lien ou répondre au message.

''Smishing''

Le ''smishing'' suit les mêmes concepts que le ''phishing'', mais il se fait uniquement par le biais de la messagerie texte.

Certaines des attaques de ''smishing'' les plus courantes consistent à envoyer des messages textes tels que:

  • Un lien vers un site frauduleux.

  • Des pièces jointes contenant des logiciels malveillants pour infecter votre appareil.

''Vishing''

Dans ce cas, l'attaquant se fait passer pour une source fiable par le biais d'un appel téléphonique. Voici quelques exemples de ''vishing'' :

  • L'attaquant se fait passer pour l'un de vos services numériques (banque, magasin, abonnement vidéo) et vous demande votre identifiant et votre mot de passe afin de résoudre un incident sur votre compte.

  • Vous avez gagné un prix et pour le réclamer, vous devez fournir des informations personnelles ou payer des frais.

  • Le pirate prétend travailler à l'agence de recouvrement des impôts et tente de vous effrayer en utilisant un langage menaçant et en évoquant des conséquences juridiques potentielles.

  • Le pirate prétend avoir détecté un problème sur votre appareil (ordinateur ou téléphone) et vous demande d'installer une application pour le résoudre.

''Spoofing''

Il s'agit d'une méthode qui permet à quelqu'un de se faire passer pour quelqu'un d'autre en ligne. Il s'agit d'usurper ou de fabriquer l'identité d'une personne ou d'un site. Il existe différentes formes d'usurpation d'identité :

  • L'usurpation de site web. Cette technique consiste à créer un site web qui semble légitime. Elle peut tromper l'utilisateur en collectant des informations personnelles telles que des mots de passe, des identifiants de connexion, des informations sur les cartes de crédit, etc.

  • L'usurpation d'adresse électronique. Même chose que pour l'usurpation de site web, mais dans ce cas, il s'agit de manipuler des courriels pour faire croire qu'ils proviennent d'une source fiable.

  • Usurpation d'adresse IP

  • Espionnage du GPS

  • Identification de l'appelant par usurpation d'identité

Exemples:

  • URL légitime : www.paypal.com - Faux : www.p4ypal.com

  • URL légitime : www.facebook.com - Faux: www.fac3book.com URL l

  • URL légitime : www.amazon.com - Faux: www.amaz0n.com

  • URL légitime : www.microsoft.com - Faux: www.micr0soft.com

Dans les prochaines sections, nous examinerons quelques exemples pour nous aider à identifier les éléments communs utilisés pour tenter de nous amener à donner nos informations.

PreviousIngénierie socialeNextActivité pratique - Gagnant du concours

Last updated 1 year ago

Optionnel : Approndir vos connaissances - Tactique

Voici quelques autres tactiques :

  • ''Tailgating'': attaque simpliste d'ingénierie sociale utilisée pour obtenir un accès physique à un lieu non autorisé. Le talonnage consiste à suivre de près un utilisateur autorisé dans la zone sans être remarqué par ce dernier. Un attaquant peut suivre un autre individu en enfonçant rapidement son pied ou un autre objet dans la porte juste avant qu'elle ne soit complètement fermée et verrouillée.

  • ''Piggybacking'': similaire au talonnage, mais dans un scénario de piggybacking, l'utilisateur autorisé est conscient et permet à l'autre personne de "piggybacker" ses informations d'identification. Un utilisateur autorisé peut se sentir obligé, par gentillesse, de tenir une porte sécurisée ouverte pour une femme portant ce qui semble être de lourdes boîtes ou pour une personne prétendant être un nouvel employé qui a oublié son badge d'accès.

  • ''Baiting'': placer quelque chose d'attrayant ou de curieux devant la victime pour l'attirer dans le piège de l'ingénierie sociale. Un système d'appât pourrait offrir un téléchargement gratuit de musique ou une carte-cadeau dans le but d'inciter l'utilisateur à fournir des informations d'identification.

  • ''Pretexting'': l'attaquant invente un scénario ou un prétexte pour gagner la confiance d'une personne. Il peut se faire passer pour un collègue, un client ou un fournisseur de services afin d'obtenir des informations.

  • ''Quid Pro Quo'': l'attaquant propose un service, comme une assistance technique ou un logiciel, en échange d'identifiants de connexion ou d'informations personnelles. Il promet de l'aide mais vole en réalité des données.

  • Usurpation d'identité: les attaquants se font passer pour quelqu'un d'autre, comme un collègue, un patron ou un fournisseur de services de confiance, afin de manipuler les individus pour qu'ils entreprennent certaines actions.

  • Ingénierie sociale inversée: avec cette tactique, l'attaquant convainc la cible qu'il a besoin d'aide ou que la cible l'aide, ce qui conduit souvent à la divulgation d'informations ou à d'autres concessions.

  • L'autorité et la peur: l'agresseur se fait passer pour une figure d'autorité, comme un policier, et utilise des tactiques de peur pour créer un sentiment d'urgence et convaincre les gens de se plier à leurs exigences.

  • Appel à la confiance et à la sympathie: l'attaquant peut créer une histoire triste ou une crise, en faisant appel aux émotions et à l'empathie de la cible, dans l'espoir de l'amener à révéler des informations ou à fournir de l'aide.

  • et plus encore.

🤿
Page cover image