SOCIAL ENGINEERING

Ingénierie sociale (générique)

Le terme «ingénierie sociale» englobe toutes les interactions humaines-intelligentes qui sont conçues pour susciter une réponse involontaire ou inconsciente qui répond aux besoins de l’ingénieur social. Dans de nombreux cas, cela signifie que l’ingénierie sociale est menée pour obtenir des informations sensibles / privées ou pour inciter les utilisateurs finaux ou les entreprises à adopter un certain ensemble de comportements.

En règle générale, l’ingénierie sociale est un précurseur d’attaques technologiques ou simultanées à celles-ci. L’attaque globale a donc une composante technique et une composante sociale, permettant aux attaquants d’affiner leurs méthodes et leurs réactions au comportement de l’utilisateur final ou de l’entreprise.

Plus la recherche de base et l’intelligence de l’ingénieur social seront nombreuses, plus il sera difficile de reconnaître la tentative d’ingénierie sociale (voir la figure 1).

Figure 1: Ingénierie sociale (principe)

Le terme «ingénierie» est utilisé pour désigner l’approche élaborée, parfois astucieuse derrière ce type d’attaque sociale. Le tableau suivant montre certains modèles (mais pas tous) qui sont utilisés pour contrôler le comportement des utilisateurs finaux et des entreprises entières afin de contourner les défenses.

Les utilisateurs sont amenés à divulguer (généralement via un formulaire Web) des informations personnelles et / ou sensibles qui peuvent être utilisées pour affaiblir ou enfreindre les défenses de périmètre, par exemple, les identifiants d’utilisateur et les mots de passe.

Le repère désigne les millions de destinataires contactés. Alors que le taux de réponse positif est faible, le dragueur génère généralement au moins quelques hits. Étant donné que l’effort d’une drague est faible (habituellement déployé par l’intermédiaire des communautés de réseaux de zombies), ce type d’attaque se produit très fréquemment, c’est-à-dire quotidiennement.

La « dynamite » fait référence aux rafales typiques d’activité de courrier contenant le même type de pièce jointe de phishing ou de logiciel malveillant. Ce type d’attaque a tendance à s’éteindre après quelques courriers, c’est-à-dire généralement le même jour.

Les techniques comprennent le talonnage, l’utilisation de faux identifiants ou le camouflage en tant que personnel de réparation.

Bien que les attaques sociales occasionnelles au niveau physique se produisent, ils sont relativement rares. Il est plus fréquent de voir des attaques bien documentées et soigneusement préparées par des professionnels (en arrière-plan) et des mules (en première ligne). Dans des cas rares, des spécialistes sont utilisés pour effectuer l’attaque.

Ce type de modèle d’attaque est classé comme ingénierie sociale car il contient une composante humaine significative sans laquelle l’attaque ne fonctionnerait jamais. Contrairement aux attaques purement techniques, il a besoin de connaissances internes et d’interactions humaines pour réussir.

TYPE D’ATTAQUE / SCÉNARIO DÉTAILS REMARQUES
Dragnet or dynamite phish (Dragnet ou hameçon à la dynamite) Les mailings de masse sont envoyés contenant des demandes fausses ou trompeuses pour « mise à jour du compte », « tirages de loterie » ou d’autres incitations coercitives / incitatives pour l’action.
Abus de confiance Les mailings de masse sont envoyés avec diverses classes de contenus souvent connus par des surnoms. Les exemples incluent des appels d ‘«amis» (adresses postales usurpées) ayant fait voler tout leur argent, des appels à la gentillesse humaine, de fausses demandes d’assistance ou d’informations techniques, etc. Il existe un grand nombre de courriers « con » typiques suivant plusieurs modèles distincts et connus. Il n’y a souvent pas de composante technique directe, car les gens sont trompés en «aidant des amis» en envoyant de l’argent ou en faisant d’autres choses apparemment irrationnelles.

Comme dans le cas du hameçonnage, le nombre de ces courriers entraîne parfois des pertes, étant donné les millions de courriers envoyés quotidiennement.

Plusieurs approche des médias Les auteurs utilisent à la fois les moyens informatiques et les moyens de communication traditionnels tels que le téléphone ou la lettre pour livrer leurs attaques. Ce type d’attaque affiche souvent un niveau de préparation et d’intelligence de fond plus élevé et est donc généralement pris plus au sérieux. Conformément aux trois éléments de motivation, d’opportunité et d’effort, l’utilisation de plus d’un canal médiatique indique généralement un ciblage et un effort.

Le contenu et la livraison sont souvent assez professionnels, au point où l’usurpation d’identité et / ou l’utilisation d’informations internes sont réussies. Il peut être assez difficile de repérer une attaque d’ingénierie sociale bien documentée et soigneusement préparée.

Attaque physique Ce type d’attaque d’ingénierie sociale est conçu pour fournir un accès non autorisé aux locaux de l’entreprise, de préférence dans des zones sensibles ou sécurisées.

Les sous-sections suivantes décrivent comment l’ingénierie sociale est subdivisée en phases. Chaque phase a des caractéristiques distinctes et peut être reconnaissable par la cible. Cependant, il est noté qu’une défense précoce (ou même préemptive) contre l’ingénierie sociale est très difficile et souvent impossible.

 

PHASE 1: CIBLAGE

L’ingénierie sociale est, par définition, dirigée contre les gens. Selon le niveau d’effort planifié ou toléré par l’ingénieur social, le temps et les efforts consacrés au ciblage varient entre zéro et très haut (par exemple, dans les scénarios de menaces persistantes avancées [APT]).

L’inverse s’applique également: Les attaques non ciblées sont souvent livrées par de vastes envois de masse, espérant des réponses positives occasionnelles qui peuvent être exploitées. Un ciblage précis implique un intérêt accru de l’ingénieur social, jusqu’au point où l’espionnage industriel ou la cyberguerre sont en arrière-plan.

L’acquisition de cibles est fonction des objectifs sous-jacents. Dans la pratique, les ingénieurs sociaux peuvent être à la recherche d’informations sensibles et / ou personnelles, d’argent ou d’informations d’entreprise précieuses à divulguer par des individus vulnérables. Dans tous ces cas, la cible consiste en un groupe de personnes raisonnablement homogène.

Les choses que les personnes ciblées par l’ingénierie sociale ont en commun sont parmi les choses les plus importantes à savoir lors de la conduite d’enquêtes ou de la médecine légale (voir le tableau ci-dessous pour des exemples).

Aucun Indique un haut niveau de sophistication.

ÉCHANTILLON CIBLE MOTIF POTENTIEL CARACTÉRISTIQUES COMMUNES
Monde entier (par exemple, publipostages non sophistiqués) Les intervenants coïncidents divulgueront des informations intéressantes / utiles ou enverront de l’argent via Western Union.
Tous les employés d’une entreprise Vol d’informations, obtention d’un accès non autorisé à l’entreprise Emploi et accès dans un certain contexte d’entreprise
Les employés de vente dans un certain nombre d’entreprises de taille moyenne Accès indirect à un grand client desservi par toutes ces entreprises Tout le personnel de vente a la même relation avec la cible ultime (c’est-à-dire le client).
Employées travaillant comme assistante personnelle (PA), tranche d’âge 40-50 L’accès indirect aux cadres supérieurs par le bureau PA On suppose que toutes les personnes ciblées entretiennent des relations de confiance professionnelle avec les cibles ultimes, y compris l’accès à des informations sensibles ou sécurisées. Administrateur informatique individuel Accès direct aux privilèges d’administrateur, contrôle de l’environnement informatique Les personnes ciblées sont connues et feront l’objet de recherches. Jeunes vivant dans un certain quartier Accès indirect à l’environnement informatique parental ou à l’information sensible Les cibles ultimes peuvent être vulnérables à la coercition ou à une fuite d’information indirecte.

En règle générale, un ciblage plus précis et individuel effectué par certains ingénieurs sociaux signale des niveaux d’effort plus élevés et, par conséquent, des enjeux plus élevés. En partie, cette phase montre un certain chevauchement avec la phase de recherche / renseignement de base discutée ci-dessous.

PHASE 2: RECHERCHE DE BASE ET INTELLIGENCE

Selon le ciblage (voir ci-dessus), cette phase comprend la recherche sur le contexte des individus, des groupes ou des entreprises entières. L’information est souvent recueillie dans le domaine public, étant donné que la plupart des gens et la plupart des entreprises ont tendance à avoir une empreinte publique significative.

Lorsque plusieurs sources existent, les ingénieurs sociaux déduisent souvent des informations pertinentes en «reliant les points» entre différents profils et éléments d’information uniques. Le problème de l’inférence est un fait connu et constitue l’une des menaces les plus critiques à la sécurité de l’information.

Les ingénieurs sociaux capables sont capables de déduire et de deviner des profils d’arrière-plan étonnamment précis à partir de faits apparemment sans lien.

Figure 2: Recherche de base et renseignement

Comme le montre la figure 2, le type d’attaque sociale sélectionné affectera la quantité d’effort nécessaire. L’intelligence et la recherche de fond sont des entreprises coûteuses, et les ingénieurs sociaux ont généralement des ressources limitées à leur disposition lorsqu’ils tentent des attaques plus sophistiquées. Il convient toutefois de noter qu’en termes de bonnes pratiques de sécurité, seule la quantité minimale tolérable de renseignements personnels devrait être accessible au public.

PHASE 3: DÉPLOIEMENT

La plupart des attaques d’ingénierie sociale suivent un modèle distinct en termes de déploiement. En pratique, les étapes essentielles comprennent le contact initial, le suivi et l’exploitation. Chacune de ces étapes est susceptible d’être soutenue par des techniques typiques qui vont renforcer le cas de l’ingénieur social et conduire à un contrôle accru sur la victime.

Même dans le cas d’un marché de masse, les types d’attaques sociales se multiplient, un premier contact réussi ouvrira la voie à d’autres étapes. Toute interaction réussie doit être considérée comme un succès pour l’ingénieur social, car l’information est échangée et la relation entre l’ingénieur social et la victime est progressivement établie.

Figure 3: Phases de déploiement (illustrative)

La phase de déploiement de toute attaque d’ingénierie sociale est caractérisée par une interaction fréquente et une relation solide qui a été construite par l’ingénieur social. Les victimes échouent souvent à observer cette accumulation à ses débuts, étant donné que la crédibilité et la plausibilité de l’information offerte par l’ingénieur social sont assez solides.

Le jeu de fin consiste généralement en des demandes financières ou autres faites par l’ingénieur social, en ligne avec l’histoire présentée au préalable. En pratique, la phase d’exploitation est souvent accompagnée d’éléments coercitifs, par exemple des références à un comportement indésirable de la part de la victime ou d’autres informations compromettantes.

EXEMPLES D’INGÉNIERIE SOCIALE ET RÉFÉRENCES

Le tableau suivant répertorie des exemples typiques d’ingénierie sociale. Ces exemples illustrent les différentes menaces en fournissant des preuves empiriques. Pour des raisons pratiques, l’ingénieur social est désigné par SE et la victime comme V.

Ce type d’ingénierie sociale a été populaire au cours des dernières années, ciblant les professionnels et les individus ayant un profil de communication publique largement visible. La SE fait usage du fait que ces individus reçoivent généralement beaucoup de demandes d’expression au cours de l’année. Ce type d’ingénierie sociale, bien que populaire depuis un certain temps, a été moins fréquent dans un passé récent, principalement en raison de problèmes d’usurpation d’identité. de renseignement / information de la part de la SE. La méthode est maintenant impopulaire parce que l’attaque sociale est facilement découverte par un appel téléphonique au contact réel. Le but est d’obtenir des données sensibles telles que des mots de passe. Bien que ce type d’attaque semble invraisemblable à première vue, il est étonnamment réussi. La principale raison du succès de la SE est que de nombreuses fonctions d’assistance et d’administration sont sous-traitées et accessibles via des numéros de téléphone centraux anonymes ou des boîtes aux lettres fonctionnelles.

CAS DESCRIPTION REMARQUES
Escroquerie à la loterie / héritage La V est informé d’une somme d’argent importante qui lui est due. En cas de réponse positive, la SE construit une histoire de petits frais à payer avant que le « gros poisson » puisse être capturé. Le V sera présenté avec de nouveaux appâts de temps en temps, parfois même avec un petit « paiement en nature » afin de confirmer sa volonté de payer des « frais ». Ce type d’ingénierie sociale est apparu au Nigeria au début des années 2000 et est connu sous le nom de 419 arnaque après l’article 419 du code pénal nigérian. De manière caractéristique, les victimes de ce type d’ingénierie sociale paieront pour une période de temps considérable (et des montants assez importants).
Arnaque à la conférence La V est invité à une conférence sur un sujet sans rapport, avec des termes et conditions atypiquement favorables. La SE construit une histoire crédible et demande une petite redevance pour permettre le traitement de l’identité, du visa, etc.
Le Bon ami en cas de détresse (escroquerie) La V est contacté (par email spoofé) par un contact connu. Le contact prétend avoir perdu son argent, ses cartes de crédit et ses informations d’identification. Typiquement, le contact exige une somme d’argent modérée. Le SE exploite la fonctionnalité « Répondre à » dans les messages électroniques et peut essayer d’usurper l’identité du contact.
Tentative d’administration / d’assistance La V est contacté (souvent par téléphone) par le SE usurpant l’identité d’un administrateur ou d’un employé du service d’assistance, se référant à un ticket d’incident inexistant.
Arnaque La V est contacté par le SE et invité à soumissionner pour un appel d’offres. Selon le degré de sophistication, le scénario peut être très réaliste. Ce type d’attaque est utilisé pour obtenir des données d’entreprise confidentielles telles que des données financières. La SE exploite la confiance implicite que la V placerait normalement dans la confidentialité d’une relation soumissionnaire / soumissionnaire. Si le SE mène une recherche approfondie, l’appât peut sembler irrésistible. Cette méthode est souvent soutenue par des points d’eau qui ressemblent à des plates-formes d’enchères en ligne typiques.
Talonnage physique Le SE personnifie un employé en se fondant, à la fois physiquement et dans le comportement. La victime dans ces scénarios est généralement une entreprise dont les défenses de périmètre sont pénétrées. Bien que ce soit l’un des schémas d’attaque d’ingénierie sociale les plus anciens (pré-IT), il est toujours populaire et réussi. Une personne discrète qui semble appartenir est souvent facilement admis dans l’environnement sécurisé.
Officiel au téléphone Le SE personnifie un fonctionnaire représentant une autorité publique ou l’application de la loi. Le V est contraint de divulguer des informations confidentielles. Encore une fois, c’est l’un des modèles d’ingénierie sociale les plus anciens (pré-IT). La SE exploite le fait que le V est peu susceptible de connaître les procédures, les droits et les obligations.
Un compromis individuel à long terme Le SE construit progressivement (et lentement) une relation professionnelle avec la V, y compris « couper les coins » ensemble. Finalement, la V est confronté à ces violations et forcé de répondre aux demandes de la SE. Ce modèle d’ingénierie sociale implique un effort important et une recherche de fond approfondie. Il est généralement utilisé lorsqu’une cible privilégiée et exposée a été identifiée.

Source : ISACA – Cybersecurity CSX

Page :  https://cybersecurity.isaca.org/csx-threats-and-controls/threats/social-engineering

Tagged with:
%d blogueurs aiment cette page :