Académique Documents
Professionnel Documents
Culture Documents
Objectifs du module
Ce module donne un aperçu des techniques d'ingénierie sociale. Bien qu'il se focalise sur les
techniques de manipulation et préconise des contre-mesures efficaces, les méthodes pour
soutirer des informations à un autre être humain reposent sur l'ingéniosité des attaquants.
Ce module donne un aperçu des techniques d'ingénierie sociale basées sur l'homme, celles
basées sur l'ordinateur et celles basées sur le mobile. Il aborde également diverses menaces
d'initiés et traite tout particulièrement l'usurpation d'identité, et passe en revue des contre-
mesures possibles.
À la fin de ce module, vous serez en mesure de :
▪ Décrire les concepts d'ingénierie sociale.
▪ Pratiquer l'ingénierie sociale à l'aide de diverses techniques.
▪ Décrire les menaces d'initiés.
▪ Décrire l'usurpation d'identité.
▪ Appliquer les contre-mesures à l'ingénierie sociale.
▪ Appliquer les connaissances sur les menaces d'initiés et les contre-mesures d'usurpation
d'identité.
Module Flow
01 03
Discuss Social Discuss Insider Threats
Engineering Concepts and Identity Theft
and its Phases
04
02 Discuss Social Engineering
Discuss Social Countermeasures
Engineering Techniques
3 System Administrators
6 Senior Executives
1 2 3
Economic losses Damage of Loss of privacy
goodwill
4 5 6
Dangers of Lawsuits and Temporary or
terrorism arbitration permanent
closure
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Authority Urgency
Scarcity Greed
3 4
Several organizational Lack of security
units policies
01 03
Discuss Social Discuss Insider Threats
Engineering Concepts and Identity Theft
and its Phases
04
02 Discuss Social Engineering
Discuss Social Countermeasures
Engineering Techniques
Impersonation (Vishing)
Vishing Example
Abusing the Over-Helpfulness of Help Desks
❑ The attacker calls a company’s help desk, pretends to be someone in a position of authority or relevance and tries to
extract sensitive information from the help desk
“A man calls a company’s help desk and says he has forgotten his password. He adds that if he misses the deadline on a
big advertising project, his boss might fire him.
The help desk worker feels sorry for him and quickly resets the password, unwittingly giving the attacker a clear entrance
into the corporate network.”
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Human-based Social Engineering
(Cont’d)
Piggybacking
❑ An authorized person intentionally or unintentionally allows an
unauthorized person to pass through a secure door e.g., “I forgot
my ID badge at home. Please help me”
Tailgating
❑ The attacker, wearing a fake ID badge, enters a secured area by
closely following an authorized person through a door that
requires key access
Spam Email
Irrelevant, unwanted, and unsolicited emails that attempt to
collect financial information, social security numbers, and
network information
Scareware
Malware that tricks computer users into visiting malware
infested websites, or downloading/buying potentially
malicious software
▪ Canular
Un canular est un message avertissant ses lecteurs d'une menace de virus informatique
inexistante. Le canular s'appuie sur l'ingénierie sociale pour se propager. En général, ils
ne causent pas de dommages physiques ou de pertes d'informations, mais ils entraînent
une perte de productivité et utilisent les précieuses ressources réseau de l'entreprise.
▪ Chaîne de lettres
Une chaîne de lettres est un message offrant des cadeaux, comme que de l'argent ou
des logiciels, à condition que l'utilisateur fasse suivre le courrier électronique à un
nombre prédéterminé de destinataires. Les thèmes couramment utilisés dans les
chaînes de lettres sont les histoires qui suscitent une forte émotion, les systèmes
pyramidaux d'enrichissement rapide, les croyances spirituelles et les menaces de
mauvais sort proférées par des superstitions à l'encontre du destinataire s'il "brise la
chaîne" et ne transmet pas le message ou refuse simplement de lire son contenu. Les
chaînes de lettres utilisent également l'ingénierie sociale pour se propager.
▪ Messagerie instantanée par chat
Un attaquant discute avec des utilisateurs en ligne sélectionnés via des messageries
instantanées et tente de recueillir leurs informations personnelles telles que leur date
de naissance ou leur nom de jeune fille. Il utilise ensuite les informations obtenues pour
pirater les comptes des utilisateurs.
▪ Courrier électronique non sollicité (Spam)
Le spam est un courrier électronique non pertinent, non désiré et non sollicité, conçu
pour recueillir des informations financières, des numéros de sécurité sociale et des
informations sur le réseau. Les attaquants envoient des spams à la cible pour recueillir
des informations sensibles, telles que des coordonnées bancaires. Ils peuvent également
envoyer des pièces jointes contenant des programmes malveillants cachés, comme des
virus et des chevaux de Troie. Les ingénieurs sociaux essaient de cacher l'extension du
fichier en donnant à la pièce jointe un nom de fichier long.
▪ Alarmiciel (Scareware)
Les scareware sont des logiciels malveillants qui incitent les utilisateurs d'ordinateurs à
consulter des sites Web infestés de logiciels malveillants ou à télécharger ou acheter des
logiciels potentiellement malveillants. Les scareware se présentent souvent sous la
forme de fenêtres contextuelles qui avertissent l'utilisateur que son ordinateur a été
infecté par un logiciel malveillant. Ces pop-ups donnent l'impression de provenir d'une
source fiable, telle qu'une société d'antivirus. De plus, ces publicités de type pop-up ont
toujours un caractère d'urgence et demandent à la victime de télécharger rapidement le
logiciel si elle veut se débarrasser du supposé virus.
Computer-based Social Engineering: Phishing
Phishing is the practice of sending an illegitimate email claiming to be from a legitimate site in an
attempt to acquire a user’s personal or account information
Phishing emails or pop-ups redirect users to fake webpages that mimic trustworthy sites, which ask
them to submit their personal information
From: info171581@inbox.net
To: text@abc.com
CC:
Subject: Tax Refund Notice !
Hi,
After the last annual calculations of your fiscal activity, we have
determined that you are eligible to receive a tax refund of $800. Please
submit the tax refund request and click here by having your tax refund
sent to your bank account in due time.
Please Click "Get Started" to have your tax refund sent to your bank
account, your tax refund will be sent to your bank account in due time
take your time to go through the bank we have on our list Clicking the link directs you to a
Get Started fraudulent web page that looks
Note: A refund can be delayed a variety of reasons, for example similar to a genuine HMRC page
submitting invalid records or applying after deadline.
Best Regards
HM Revenue & Customs
http://www.hmrc.gov.uk
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
https://its.tntech.edu
Spear Phishing
1
A targeted phishing attack aimed at specific individuals within an organization
Whaling
2
An attacker targets high profile executives like CEOs, CFOs, politicians, and celebrities who
have complete access to confidential and highly valuable information
Pharming
3
The attacker redirects web traffic to a fraudulent website by installing a malicious program
on a personal computer or server
Spimming
4
A variant of spam that exploits Instant Messaging platforms to flood spam across the networks
Hameçonnage (Phishing)
L'hameçonnage est une technique qui consiste pour un attaquant à envoyer un courrier
électronique ou à fournir un lien qui prétend provenir d'un site légitime afin d'obtenir des
informations personnelles ou relatives à un compte utilisateur. L'attaquant enregistre un faux
nom de domaine, crée un site Web similaire à un site réel et légitime, puis envoie le lien du faux
site Web aux utilisateurs. Lorsqu'un utilisateur clique sur le lien envoyé par courrier
électronique, il est redirigé vers la fausse page Web sur laquelle il est incité à communiquer des
informations sensibles, telles que son adresse et les numéros de sa carte de crédit. Le succès
des arnaques par hameçonnage s'explique notamment par le manque de connaissances des
utilisateurs, le fait qu'ils soient visuellement trompés et le fait qu'ils ne prêtent pas attention
aux indicateurs de sécurité.
La capture d'écran ci-dessous est un exemple d'un courrier électronique illégitime qui prétend
provenir d'un expéditeur légitime. Le lien contenu dans le courrier électronique redirige les
utilisateurs vers une fausse page Web qui leur demande de communiquer leurs données
personnelles ou financières.
Figure 5.2 : Illustration de la technique d'hameçonnage
Types d'hameçonnage
▪ Harponnage (Spear Phishing)
Au lieu d'envoyer des milliers de courriers électroniques, certains attaquants optent
pour le "spear phishing" et utilisent un contenu d'ingénierie sociale spécialisé destiné à
un employé spécifique ou à un petit groupe d'employés d'une organisation pour voler
des données sensibles telles que des informations financières et des secrets
commerciaux.
Les messages d'harponnage semblent provenir d'une source fiable avec un site Web
d'apparence officielle et légitime. Le courrier électronique semble également provenir
d'une personne de l'entreprise du destinataire, généralement une personne en position
d'autorité. En réalité, le message est envoyé par un attaquant qui tente d'obtenir des
informations critiques sur un destinataire spécifique et son organisation, telles que des
identifiants de connexion, des numéros de carte de crédit, des numéros de compte
bancaire, des mots de passe, des documents confidentiels, des informations financières
et des secrets commerciaux. Le harponnage génère un taux de réponse plus élevé
qu'une attaque par hameçonnage classique, car le message semble provenir d'une
source fiable.
▪ Chasse à la baleine (Whaling)
Le whaling est un type d'hameçonnage qui cible les cadres supérieurs tels que les PDG,
les directeurs financiers, les politiciens et les célébrités qui ont un accès complet à des
informations confidentielles et de grande valeur. Il s'agit d'une tactique d'ingénierie
sociale par laquelle l'attaquant incite la victime à révéler des informations personnelles
et professionnelles essentielles (telles que des informations sur les comptes bancaires,
les employés, les clients et les cartes de crédit), généralement par le biais d'une
usurpation d'identité dans un courrier électronique ou sur un site Web. Le whaling est
différent d'une attaque de d'hameçonnage normale ; le courrier électronique ou le site
Web utilisé pour l'attaque est soigneusement conçu, ciblant généralement un membre
de la direction.
▪ Dévoiement (Pharming)
Le pharming est une technique d'ingénierie sociale dans laquelle l'attaquant exécute des
programmes malveillants sur l'ordinateur ou le serveur d'une victime. Lorsque la victime
saisit une URL ou un nom de domaine, il redirige automatiquement le trafic de la victime
vers un site Web contrôlé par l'attaquant. Cette attaque est également connue sous le
nom de "Phishing sans leurre". L'attaquant vole des informations confidentielles telles
que des données d'identification, des coordonnées bancaires et d'autres informations
liées à des services en ligne.
L'attaque par pharming peut être réalisée de deux façons : L'empoisonnement du cache
DNS et la modification du fichier hosts. Les attaques de pharming peuvent également
être réalisées à l'aide de logiciels malveillants tels que des chevaux de Troie ou des vers.
▪ Spimming
Le SPIM (Spam over Instant Messaging) exploite les plates-formes de messagerie
instantanée et utilise la MI comme outil de diffusion du spam. Une personne qui génère
du spam sur la messagerie instantanée est appelée Spimmer. Les spimmers utilisent
généralement des bots (une application qui exécute des tâches automatisées sur le
réseau) pour récolter des identifiants de messagerie instantanée et leur transmettre des
messages non sollicités. Les messages SPIM, comme le spam par courrier électronique,
contiennent généralement des publicités et des logiciels malveillants sous forme de
pièce jointe ou de lien hypertexte intégré. L'utilisateur clique sur la pièce jointe et est
redirigé vers un site web malveillant qui collecte des informations financières et
personnelles telles que des informations de connexion, de compte bancaire et de carte
de crédit.
Phishing Tools
ShellPhish
A phishing tool used to phish user credentials from various social networking BLACKEYE
platforms such as Instagram, Facebook, Twitter, LinkedIn, etc. https://github.com
PhishX
https://github.com
Modlishka
https://github.com
Trape
https://github.com
Evilginx
https://github.com
https://github.com
Outils d'hameçonnage
Les outils d'hameçonnage peuvent être utilisés par les attaquants pour générer de fausses
pages de connexion afin de collecter des noms d'utilisateur et des mots de passe, d'envoyer des
courriers électroniques frauduleux et d'obtenir l'adresse IP et les cookies de session de la
victime. Ces informations peuvent ensuite être utilisées par l'attaquant pour se faire passer
pour un utilisateur légitime et lancer d'autres attaques contre l'organisation ciblée.
▪ ShellPhish
Source : https://github.com
ShellPhish est un outil d'hameçonnage utilisé pour récupérer les informations
d'identification des utilisateurs sur diverses plateformes de réseaux sociaux telles
qu'Instagram, Facebook, Twitter et LinkedIn. Il affiche également l'adresse IP publique
du système victime, les informations du navigateur, le nom d'hôte, la géolocalisation et
d'autres informations.
Figure 5.6 : ShellPhish
Attacker
Creates malicious publishes malicious
mobile mobile apps on
application app store
User
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Legitimate
Developer
01 03
Discuss Social Discuss Insider Threats
Engineering Concepts and Identity Theft
and its Phases
04
02 Discuss Social Engineering
Discuss Social Countermeasures
Engineering Techniques
Company’s Company
Disgruntled secret Internet Competitors
Employee
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Negligent Insider
Insiders who are uneducated on potential security threats or who simply bypass
general security procedures to meet workplace efficiency
Professional Insider
Harmful insiders who use their technical knowledge to identify
weaknesses and vulnerabilities in the company’s network and sell
confidential information to competitors or black-market bidders
Compromised Insider
An insider with access to critical assets of an organization who is
compromised by an outside threat actor
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Le vol d'identité
Le vol d'identité est un problème auquel de nombreux utilisateurs sont confrontés aujourd'hui
et les médias font souvent état de cas d'usurpation d'identité. Aux États-Unis, certains États ont
imposé des lois interdisant aux employés de fournir leur numéro de sécurité sociale (SSN) lors
de leur recrutement. Il est essentiel que les entreprises soient bien informées sur le vol
d'identité afin de ne pas compromettre leurs propres démarches pour lutter contre la fraude.
La loi "Identity Theft and Assumption Deterrence Act" de 1998 définit le vol d'identité comme
l'utilisation illégale des identifiants d'une personne. Le vol d'identité se produit lorsque
quelqu'un vole les informations d'identification personnelle d'un individu à des fins
frauduleuses. Les agresseurs obtiennent illégalement des informations d'identification
personnelle pour commettre une fraude ou tout autre acte criminel.
Types d'informations d'identification personnelle qui sont dérobées lors d'un vol d'identité :
▪ Nom ▪ Numéro de compte bancaire
▪ Adresse du domicile et du bureau ▪ Informations sur la carte de crédit
▪ Numéro de sécurité sociale ▪ Dossier de crédit
▪ Le numéro de téléphone ▪ Numéro de permis de conduire
▪ Date de naissance ▪ Numéro de passeport
L'attaquant vole l'identité de personnes dans un but frauduleux tel que :
▪ Ouvrir de nouveaux comptes de carte de crédit au nom de l'utilisateur sans payer les
factures.
▪ Ouvrir un nouvel abonnement de téléphone ou de téléphonie mobile au nom de
l'utilisateur, ou augmenter les frais sur le compte existant.
▪ Utiliser les informations des victimes pour obtenir l'accès à des services publics tels que
l'électricité, le chauffage ou la télévision par câble.
▪ Ouvrir des comptes bancaires dans le but d'émettre de faux chèques en utilisant les
coordonnées de la victime.
▪ Cloner une carte de débit ou une carte de crédit pour effectuer des retraits
électroniques sur les comptes de la victime.
▪ Obtenir des prêts pour lesquels la victime est responsable.
▪ Obtenir un permis de conduire, un passeport ou une autre pièce d'identité officielle
contenant les données de la victime et les photos de l'attaquant.
▪ Utiliser le nom et le numéro de sécurité sociale de la victime pour recevoir ses
allocations sociales.
▪ Se faire passer pour un employé d'une organisation cible pour accéder physiquement à
ses installations.
▪ Récupérer les polices d'assurance de la victime.
▪ Vendre les informations personnelles de la victime.
▪ Commander des marchandises en ligne en utilisant un site de dépôt.
▪ Détourner des comptes de messagerie.
▪ Obtenir des services de santé.
▪ Soumettre des déclarations de revenus frauduleuses.
▪ Commettre d'autres délits dans le but de fournir le nom de la victime aux autorités lors
de son arrestation, au lieu du sien.
Types of Identity Theft
01 03
Discuss Social Discuss Insider Threats
Engineering Concepts and Identity Theft
and its Phases
04
02 Discuss Social Engineering
Discuss Social Countermeasures
Engineering Techniques
https://www.netcraft.com https://www.phishtank.com
▪ PhishTank
Source : https://phishtank.com
PhishTank est un site collaboratif d'échange de données et d'informations sur le
phishing sur Internet. Il fournit une API publique permettant aux développeurs et aux
chercheurs d'intégrer des données sur la lutte contre le phishing dans leurs applications.
Comme le montre la capture d'écran ci-dessous, les professionnels de la sécurité
peuvent utiliser PhishTank pour vérifier si une URL malveillante est un site de phishing
ou non.
Figure 5.15 : PhishTank
Social Engineering Tools: Social Engineering Toolkit (SET)
The Social-Engineer Toolkit (SET) is an open-source Python-driven SpeedPhish Framework (SPF)
tool aimed at penetration testing around social engineering https://github.com
Gophish
https://getgophish.com
King Phisher
https://github.com
LUCY
https://www.lucysecurity.com
https://www.trustedsec.com
https://ohphish.eccouncil.org
The module discussed insider threats, including the various types of insider threats
In the next module, we will discuss in detail on various network level attacks and
countermeasures
Résumé du module
Ce module a abordé les concepts de l'ingénierie sociale ainsi que les différentes phases d'une
attaque d'ingénierie sociale. Il a également abordé les différentes techniques d'ingénierie
sociale basées sur l'homme, l'ordinateur et le mobile ainsi que les menaces internes, et les
différents types de menaces internes. Il a aussi traité de l'usurpation d'identité et des types
d'usurpation d'identité. Le module s'est terminé par une présentation détaillée des contre-
mesures à employer pour se défendre contre les attaques d'ingénierie sociale, les menaces
d'initiés et le vol d'identité.
Dans le prochain module, nous aborderons en détail les différentes attaques au niveau du
réseau et les contre-mesures.