Ingénierie sociale
Objectifs
- Définir l'ingénierie sociale
- Identifier les différentes techniques d'ingénierie sociale
- Hameçonnage (phishing)
- Appâtage (baiting)
- Attaque de point d'eau (watering hole)
- Prétexter (pretexting)
- Talonnage (tailgating)
- Reconnaître les signes d'une attaque d'ingénierie sociale
- Lister les moyens de protection contre l'ingénierie sociale
- Définir le hacking éthique
Cours
Version plein écran ou imprimable.
Exercices
Lisez l'article sur https://www.lecho.be/entreprises/banques/crelan-la-fraude-etait-d-origine-humaine/9725467.html et répondez aux questions suivantes :
- Quelles est le lien avec le sujet de ce cours ?
- Quels techniques ont été utilisées ?
- Quelles erreurs ont été commises ?
- Quelles mesures de protection auraient pu être mises en place ?
Correction
- La fraude a été commise par un employé de la banque Crelan, le système informatique n'est pas en cause. C'est donc un cas d'ingénierie sociale.
- Le fraudeur a prétexté être le CEO de la banque pour obtenir des informations confidentielles et/ou pousser les employés à effectuer des virements.
- Les employés ont cédé à la pression et n'ont pas vérifié l'identité de la personne.
- Les employés auraient peut-être pu vérifier l'identité de la personne en appelant le CEO par exemple. La banque aurait pu mieux former ses employés à reconnaître les techniques d'ingénierie sociale.
Lisez l'article sur https://www.blick.ch/fr/news/suisse/soyez-vigilents-des-escrocs-faussent-les-factures-de-redevance-searfe-id19385891.html et répondez aux questions suivantes :
- Est-ce un cas d'ingénierie sociale ?
- Quelles techniques ont été utilisées ?
- Quelles erreurs ont été commises ?
- Comment aurait-on pu éviter cette fraude ?
Correction
- Oui, c'est un cas d'ingénierie sociale car on a tenté de tromper les gens pour obtenir de l'argent.
- C'est un cas de phishing par courrier. Les escrocs ont envoyé des factures de redevance Serafe falsifiées.
- Les gens ont payé sans vérifier l'authenticité de la facture.
- Serafe aurait peut-être pu informer ses clients de cette fraude (si elle est au courant). Les clients auraient pu mieux vérifier les données de paiement (IBAN, nom, ...) avant de payer.