SysFailure

Imprimer

Ingéniérie sociale

.

Page 4 sur 5

Quelles méthodes utilisables ?

Multi-téléphoneLes théoriciens de la manipulation ont déjà bien défriché le sujet :

  • effet de gel, théorie de l'engagement, dissonnance cognitive : on fait entrer l'interlocuteur dans une relation de confiance, et on agit ensuite sur cette confiance pour obtenir des informations de plus en plus sensibles.
  • pied dans la porte : les premières questions vont être anodines, et devenir plus précises par la suite (escalade)
  • porte au nez : à l'inverse, la première question a pour objectif d'être rejetée. Les questions suivantes, beaucoup moins sensibles que la première, sont en réalité celles dont les réponses nous importent.

Ingenierie sociale

L'hameçonnage

Il y a une différence notable avec l'hameçonnage classique, en cela que l'on veut récupérer des informations précises et relativement extensives sur la cible, et non pas sur celui dont on usurpe l'identité. Ensuite, différents niveaux techniques sont possibles, du plus facile à détecter (un message électronique simple, sans fioritures et bourré de fautes d'orthographes) au plus difficile (nécessaire d'analyser le code source du message).

Ces différents niveaux d'hameçonnage sont intéressant lorsque le commanditaire veut corréler les résultats de l'ingéniérie sociale.

Le scénario d'hameçonnage

La construction d'un scénario permet de maximiser l'efficacité de l'hameçonnage. Cela peut être lié à l'actualité, au métier de l'organisation cible, aux profils visés, etc. Il faut correctement identifier le facteur déclenchant qui va amener la victime à cliquer sur le lien proposé et à fournir les informations demandées. Souvent, l'ajout d'un facteur d'urgence, qui limite le temps de réponse et donc le temps de réflexion, améliore l'efficacité de l'hameçonnage.

Le scénario d'hameçonnage doit inclure la construction d'un site Web spécifique (avec son domaine, l'hébergement, un certificat SSL éventuel, une charte graphique, des logos, etc.), prévoir sa durée de vie et son déphasage. Il faut ensuite envoyer les messages électroniques aux cibles (le mieux étant de le faire en copie cachée, avec un destinataire officiel inconnu).