Table des matières:
- Utiliser Internet
- Benne à ordures
- Les attaquants peuvent obtenir des informations en utilisant la fonctionnalité de composition par nom intégrée à la plupart des systèmes de messagerie vocale. Pour accéder à cette fonctionnalité, il suffit généralement d'appuyer sur 0 après avoir appelé le numéro principal de l'entreprise ou après avoir entré la boîte vocale de quelqu'un. Cette astuce fonctionne mieux après les heures pour s'assurer que personne ne répond.
- Le dernier engouement criminel est le
Vidéo: Enquêtes informatiques : des preuves pour vos litiges | détectives privés 2024
Une fois que les ingénieurs sociaux ont un objectif en tête, ils commencent généralement l'attaque en recueillant des informations publiques sur leurs victimes. De nombreux ingénieurs sociaux acquièrent des informations lentement au fil du temps afin qu'ils ne suscitent pas de suspicion. La collecte d'informations évidente est un indice pour défendre contre l'ingénierie sociale.
Indépendamment de la méthode de recherche initiale, tout pirate peut avoir besoin de pénétrer dans une organisation: une liste d'employés, quelques numéros de téléphone internes clés, les dernières nouvelles d'un site Web de médias sociaux ou un calendrier d'entreprise.
Utiliser Internet
Après quelques minutes de recherche sur Google ou d'autres moteurs de recherche, l'utilisation de mots-clés simples, tels que le nom de l'entreprise ou le nom de certains employés, génère souvent beaucoup d'informations. Vous pouvez trouver encore plus d'informations dans les dépôts SEC sur et sur des sites tels que Hoover's et Yahoo Finance. En utilisant ces informations du moteur de recherche et en naviguant sur le site Web de l'entreprise, l'attaquant dispose souvent de suffisamment d'informations pour lancer une attaque d'ingénierie sociale.
Les méchants peuvent payer seulement quelques dollars pour une vérification complète des antécédents en ligne sur les individus. Ces recherches peuvent révéler pratiquement toutes les informations publiques - et parfois privées - concernant une personne en quelques minutes.
Benne à ordures
La benne à ordures est un peu plus risquée - et certainement salissante. Mais, c'est une méthode très efficace pour obtenir des informations. Cette méthode consiste littéralement à fouiller dans les poubelles pour obtenir des informations sur une entreprise.
La benne à ordures peut contenir les informations les plus confidentielles, car de nombreux employés supposent que leurs informations sont en sécurité après leur mise à la poubelle. La plupart des gens ne pensent pas à la valeur potentielle du papier qu'ils jettent. Ces documents contiennent souvent une mine d'informations qui peuvent indiquer à l'ingénieur social les informations nécessaires pour pénétrer dans l'organisation. L'ingénieur social astucieux recherche les documents imprimés suivants:
-
Listes téléphoniques internes
-
Organigrammes
-
Manuels employés, qui contiennent souvent des règles de sécurité
-
Diagrammes réseau
-
Listes de mots de passe
-
Notes de réunion > Feuilles de calcul et rapports
-
Impressions d'e-mails contenant des informations confidentielles
-
Les documents de déchiquetage ne sont efficaces que si le papier est
déchiqueté en minuscules morceaux de confettis. Les déchiqueteurs bon marché qui déchiquettent les documents seulement en longues bandes sont fondamentalement sans valeur contre un ingénieur social déterminé. Avec un peu de temps et d'enregistrement, un ingénieur social peut reconstituer un document si c'est ce qu'il est déterminé à faire. Les méchants regardent aussi à la poubelle pour les CD-ROM et les DVD, les vieux boîtiers d'ordinateur (en particulier ceux avec des disques durs encore intacts), et les bandes de sauvegarde.
Systèmes téléphoniques
Les attaquants peuvent obtenir des informations en utilisant la fonctionnalité de composition par nom intégrée à la plupart des systèmes de messagerie vocale. Pour accéder à cette fonctionnalité, il suffit généralement d'appuyer sur 0 après avoir appelé le numéro principal de l'entreprise ou après avoir entré la boîte vocale de quelqu'un. Cette astuce fonctionne mieux après les heures pour s'assurer que personne ne répond.
Les attaquants peuvent protéger leur identité s'ils peuvent se cacher là où ils appellent. Voici quelques façons de masquer leur emplacement:
Les téléphones résidentiels
-
peuvent parfois masquer leurs numéros d'identification de l'appelant en composant * 67 avant le numéro de téléphone. Cette fonction n'est pas efficace lorsque vous appelez les numéros gratuits (800, 888, 877, 866) ou 911.
Les téléphones d'affaires
-
dans un bureau utilisant un commutateur téléphonique sont plus difficiles à usurper. Cependant, tout ce dont l'attaquant a habituellement besoin est le guide de l'utilisateur et le mot de passe de l'administrateur pour le logiciel du commutateur téléphonique. Dans de nombreux commutateurs, l'attaquant peut entrer le numéro de la source - y compris un numéro falsifié, tel que le numéro de téléphone de la victime. Cependant, les systèmes téléphoniques VoIP (Voice over Internet Protocol) n'en font pas un problème. Les serveurs VoIP
-
tels que Asterisk open source peuvent être utilisés et configurés pour envoyer n'importe quel numéro. E-mails de phishing
Le dernier engouement criminel est le
phishing : des criminels envoient de faux e-mails à des victimes potentielles pour les inciter à divulguer des informations sensibles ou à cliquer sur des liens malveillants. L'hameçonnage existe depuis des années, mais il a récemment gagné en visibilité grâce à des exploits de grande envergure contre des organisations apparemment impénétrables. L'efficacité du phishing est incroyable et les conséquences sont souvent laides. Il suffit de quelques courriels bien placés pour que les criminels glanent des mots de passe, volent des informations sensibles ou injectent des logiciels malveillants dans des ordinateurs ciblés.
Vous pouvez effectuer votre propre exercice de phishing. Une méthode rudimentaire consiste à créer un faux compte e-mail demandant des informations ou des liens vers un site malveillant, envoyer des e-mails aux employés ou autres utilisateurs que vous souhaitez tester, et voir ce qui se passe. C'est vraiment aussi simple que ça.
Vous seriez étonné de voir à quel point vos utilisateurs sont vraiment sensibles à cette astuce. La plupart des tests d'hameçonnage ont un taux de réussite de 10 à 15%. Cela peut atteindre 80%. Ces tarifs ne sont pas bons pour la sécurité ou pour les affaires!
Un moyen plus formel d'exécuter vos tests de phishing consiste à utiliser un outil spécialement conçu pour le travail. Même si vous avez une bonne expérience avec les fournisseurs commerciaux, vous devez réfléchir longuement à abandonner les informations potentiellement sensibles qui pourraient être envoyées directement ou par inadvertance hors site, pour ne plus jamais être contrôlées.
Si vous suivez cette voie, assurez-vous de bien comprendre ce qui est divulgué à ces fournisseurs d'hameçonnage tiers, comme vous le feriez avec n'importe quel fournisseur de services cloud. Faites confiance mais vérifiez.
Alternative simple aux outils de phishing commerciaux, Simple Phishing Toolkit, également connu sous le nom de spt.Mettre en place un environnement de projet spt n'est pas nécessairement simple, mais une fois que vous l'avez mis en place, il peut faire des choses incroyables pour vos initiatives de phishing.
Vous aurez des modèles de courrier électronique préinstallés, la possibilité de
gratter (copier la page depuis) des sites Web en direct afin de personnaliser votre propre campagne, et diverses fonctions de reporting pour Les utilisateurs de messagerie prennent l'appât et échouent à vos tests. Les ingénieurs sociaux peuvent parfois trouver des informations intéressantes, par exemple lorsque leurs victimes sont absentes de la ville, simplement en écoutant les messages vocaux. Ils peuvent même étudier la voix des victimes en écoutant leurs messages vocaux, leurs podcasts ou leurs diffusions sur le Web pour apprendre à imiter ces personnes.
