Accueil Finances personnelles Comment les ingénieurs sociaux recherchent des informations pour Hacks - dummies

Comment les ingénieurs sociaux recherchent des informations pour Hacks - dummies

Table des matières:

Vidéo: Enquêtes informatiques : des preuves pour vos litiges | détectives privés 2025

Vidéo: Enquêtes informatiques : des preuves pour vos litiges | détectives privés 2025
Anonim

Une fois que les ingénieurs sociaux ont un objectif en tête, ils commencent généralement l'attaque en recueillant des informations publiques sur leurs victimes. De nombreux ingénieurs sociaux acquièrent des informations lentement au fil du temps afin qu'ils ne suscitent pas de suspicion. La collecte d'informations évidente est un indice pour défendre contre l'ingénierie sociale.

Indépendamment de la méthode de recherche initiale, tout pirate peut avoir besoin de pénétrer dans une organisation: une liste d'employés, quelques numéros de téléphone internes clés, les dernières nouvelles d'un site Web de médias sociaux ou un calendrier d'entreprise.

Utiliser Internet

Après quelques minutes de recherche sur Google ou d'autres moteurs de recherche, l'utilisation de mots-clés simples, tels que le nom de l'entreprise ou le nom de certains employés, génère souvent beaucoup d'informations. Vous pouvez trouver encore plus d'informations dans les dépôts SEC sur et sur des sites tels que Hoover's et Yahoo Finance. En utilisant ces informations du moteur de recherche et en naviguant sur le site Web de l'entreprise, l'attaquant dispose souvent de suffisamment d'informations pour lancer une attaque d'ingénierie sociale.

Les méchants peuvent payer seulement quelques dollars pour une vérification complète des antécédents en ligne sur les individus. Ces recherches peuvent révéler pratiquement toutes les informations publiques - et parfois privées - concernant une personne en quelques minutes.

Benne à ordures

La benne à ordures est un peu plus risquée - et certainement salissante. Mais, c'est une méthode très efficace pour obtenir des informations. Cette méthode consiste littéralement à fouiller dans les poubelles pour obtenir des informations sur une entreprise.

La benne à ordures peut contenir les informations les plus confidentielles, car de nombreux employés supposent que leurs informations sont en sécurité après leur mise à la poubelle. La plupart des gens ne pensent pas à la valeur potentielle du papier qu'ils jettent. Ces documents contiennent souvent une mine d'informations qui peuvent indiquer à l'ingénieur social les informations nécessaires pour pénétrer dans l'organisation. L'ingénieur social astucieux recherche les documents imprimés suivants:

  • Listes téléphoniques internes

  • Organigrammes

  • Manuels employés, qui contiennent souvent des règles de sécurité

  • Diagrammes réseau

  • Listes de mots de passe

  • Notes de réunion > Feuilles de calcul et rapports

  • Impressions d'e-mails contenant des informations confidentielles

  • Les documents de déchiquetage ne sont efficaces que si le papier est

déchiqueté en minuscules morceaux de confettis. Les déchiqueteurs bon marché qui déchiquettent les documents seulement en longues bandes sont fondamentalement sans valeur contre un ingénieur social déterminé. Avec un peu de temps et d'enregistrement, un ingénieur social peut reconstituer un document si c'est ce qu'il est déterminé à faire. Les méchants regardent aussi à la poubelle pour les CD-ROM et les DVD, les vieux boîtiers d'ordinateur (en particulier ceux avec des disques durs encore intacts), et les bandes de sauvegarde.

Systèmes téléphoniques

Les attaquants peuvent obtenir des informations en utilisant la fonctionnalité de composition par nom intégrée à la plupart des systèmes de messagerie vocale. Pour accéder à cette fonctionnalité, il suffit généralement d'appuyer sur 0 après avoir appelé le numéro principal de l'entreprise ou après avoir entré la boîte vocale de quelqu'un. Cette astuce fonctionne mieux après les heures pour s'assurer que personne ne répond.

Les attaquants peuvent protéger leur identité s'ils peuvent se cacher là où ils appellent. Voici quelques façons de masquer leur emplacement:

Les téléphones résidentiels

  • peuvent parfois masquer leurs numéros d'identification de l'appelant en composant * 67 avant le numéro de téléphone. Cette fonction n'est pas efficace lorsque vous appelez les numéros gratuits (800, 888, 877, 866) ou 911.

    Les téléphones d'affaires

  • dans un bureau utilisant un commutateur téléphonique sont plus difficiles à usurper. Cependant, tout ce dont l'attaquant a habituellement besoin est le guide de l'utilisateur et le mot de passe de l'administrateur pour le logiciel du commutateur téléphonique. Dans de nombreux commutateurs, l'attaquant peut entrer le numéro de la source - y compris un numéro falsifié, tel que le numéro de téléphone de la victime. Cependant, les systèmes téléphoniques VoIP (Voice over Internet Protocol) n'en font pas un problème. Les serveurs VoIP

  • tels que Asterisk open source peuvent être utilisés et configurés pour envoyer n'importe quel numéro. E-mails de phishing

Le dernier engouement criminel est le

phishing : des criminels envoient de faux e-mails à des victimes potentielles pour les inciter à divulguer des informations sensibles ou à cliquer sur des liens malveillants. L'hameçonnage existe depuis des années, mais il a récemment gagné en visibilité grâce à des exploits de grande envergure contre des organisations apparemment impénétrables. L'efficacité du phishing est incroyable et les conséquences sont souvent laides. Il suffit de quelques courriels bien placés pour que les criminels glanent des mots de passe, volent des informations sensibles ou injectent des logiciels malveillants dans des ordinateurs ciblés.

Vous pouvez effectuer votre propre exercice de phishing. Une méthode rudimentaire consiste à créer un faux compte e-mail demandant des informations ou des liens vers un site malveillant, envoyer des e-mails aux employés ou autres utilisateurs que vous souhaitez tester, et voir ce qui se passe. C'est vraiment aussi simple que ça.

Vous seriez étonné de voir à quel point vos utilisateurs sont vraiment sensibles à cette astuce. La plupart des tests d'hameçonnage ont un taux de réussite de 10 à 15%. Cela peut atteindre 80%. Ces tarifs ne sont pas bons pour la sécurité ou pour les affaires!

Un moyen plus formel d'exécuter vos tests de phishing consiste à utiliser un outil spécialement conçu pour le travail. Même si vous avez une bonne expérience avec les fournisseurs commerciaux, vous devez réfléchir longuement à abandonner les informations potentiellement sensibles qui pourraient être envoyées directement ou par inadvertance hors site, pour ne plus jamais être contrôlées.

Si vous suivez cette voie, assurez-vous de bien comprendre ce qui est divulgué à ces fournisseurs d'hameçonnage tiers, comme vous le feriez avec n'importe quel fournisseur de services cloud. Faites confiance mais vérifiez.

Alternative simple aux outils de phishing commerciaux, Simple Phishing Toolkit, également connu sous le nom de spt.Mettre en place un environnement de projet spt n'est pas nécessairement simple, mais une fois que vous l'avez mis en place, il peut faire des choses incroyables pour vos initiatives de phishing.

Vous aurez des modèles de courrier électronique préinstallés, la possibilité de

gratter (copier la page depuis) ​​des sites Web en direct afin de personnaliser votre propre campagne, et diverses fonctions de reporting pour Les utilisateurs de messagerie prennent l'appât et échouent à vos tests. Les ingénieurs sociaux peuvent parfois trouver des informations intéressantes, par exemple lorsque leurs victimes sont absentes de la ville, simplement en écoutant les messages vocaux. Ils peuvent même étudier la voix des victimes en écoutant leurs messages vocaux, leurs podcasts ou leurs diffusions sur le Web pour apprendre à imiter ces personnes.

Comment les ingénieurs sociaux recherchent des informations pour Hacks - dummies

Le choix des éditeurs

Comment gérer votre temps pour le test GED Science - les mannequins

Comment gérer votre temps pour le test GED Science - les mannequins

Le test GED Science a environ 50 questions (le nombre exact varie d'un test à l'autre) auxquelles vous devez répondre en 90 minutes, ce qui signifie que vous avez environ 90 secondes pour lire chaque passage textuel ou visuel et les questions correspondantes et déterminer la bonne réponse. Si un passage a plus d'une question, vous ...

Comment décrire un ensemble de données statistiquement pour le test GED Science - mannequins

Comment décrire un ensemble de données statistiquement pour le test GED Science - mannequins

Le Le test GED Science posera des questions liées aux statistiques descriptives. Vous pouvez souvent résumer une collection de données (à partir d'une expérience, d'observations ou d'enquêtes, par exemple) en utilisant des statistiques descriptives, des chiffres utilisés pour résumer et analyser les données et en tirer des conclusions. Les statistiques descriptives pour une collection de données sont les suivantes: Fréquence: ...

Comment prédire un résultat sur la base des données ou des preuves du test scientifique GED

Comment prédire un résultat sur la base des données ou des preuves du test scientifique GED

Utiliser des preuves pour prédire les résultats est une compétence nécessaire pour le test GED Science. Les plus grands avantages des études scientifiques peuvent souvent être attribués au fait que leurs conclusions permettent aux gens de prédire les résultats. (Vous souhaiterez probablement que la science puisse vous aider à prédire vos résultats au test!) Vous êtes témoin de la science en action tous les jours ...

Le choix des éditeurs

Mettez les contrats en place pour vous protéger et protéger votre maman Écrivains de blog - parités

Mettez les contrats en place pour vous protéger et protéger votre maman Écrivains de blog - parités

Le temps et l'argent pour créer des accords légaux avec tous vos auteurs. Traitez votre entreprise comme une véritable entreprise. Trouver un bon avocat qui se spécialise dans le droit d'auteur et le droit des contrats pour vous aider à naviguer dans ces eaux légales. La loi sur le droit d'auteur est étrange et délicate, et défie souvent le bon sens. Voici les plus importants ...

Sélectionnez une plate-forme de blog - hébergée ou hébergée - des nuls

Sélectionnez une plate-forme de blog - hébergée ou hébergée - des nuls

Si vous démarrez un blog à partir de zéro, vous devez choisir une plate-forme de blog avant de pouvoir commencer à travailler sur la conception de votre blog. Le choix d'une plateforme de blog n'est pas une décision facile, car les plateformes de blogs ont plusieurs goûts différents. Une liste des plates-formes les plus couramment utilisées est incluse dans le tableau pour vous ...

Communiquer avec d'autres blogueurs pour promouvoir votre blogue - Les mannequins

Communiquer avec d'autres blogueurs pour promouvoir votre blogue - Les mannequins

N'oublient pas que les autres blogueurs peut être votre public principal. Ces gens sont en ligne et connaissent déjà les blogs, et vous êtes susceptible de trouver d'autres blogueurs avec qui vous avez beaucoup en commun. Rencontrer des blogueurs en personne et communiquer avec eux en ligne sont des moyens formidables de réseauter et de commercialiser votre blog. Les blogueurs sont bien ...

Le choix des éditeurs

En déployant suffisamment d'efforts pour bâtir l'estime de soi - des nuls

En déployant suffisamment d'efforts pour bâtir l'estime de soi - des nuls

Construisent une estime de soi saine. Les buts qui valent la peine d'être atteints exigent beaucoup de dévouement et de travail acharné, et abandonner est trop facile quand les choses se compliquent. Continuez à faire des efforts en vous rappelant de tenir ces types d'attitudes motivationnelles: je peux supporter la douleur et l'inconfort qui accompagnent le travail acharné. Il peut ...

Expliquant ce qui se passe lors d'une séance d'hypnothérapie - mannequins

Expliquant ce qui se passe lors d'une séance d'hypnothérapie - mannequins

Brièvement, voici les étapes d'une séance d'hypnothérapie typique . Cependant, gardez à l'esprit qu'une session «typique» varie beaucoup selon l'hypnothérapeute et le patient. Vous vous familiarisez avec votre hypnothérapeute. Votre hypnothérapeute rassemble des informations sur vous (principalement complétées lors de la session initiale). La transe est induite. La transe est approfondie. La réalité ...

Examinant les avantages et les inconvénients de la colère - les nuls

Examinant les avantages et les inconvénients de la colère - les nuls

La colère, comme toute autre chose, n'est pas bonne ou tout mauvais: il a beaucoup de pour et de contre. Les sections suivantes expliquent celles pour vous, afin que vous obteniez une image claire de la colère et de l'effet qu'elle peut avoir sur votre vie. Regarder les points positifs de la colère La colère peut être une émotion très pénible ...