Si beaucoup de cyberattaques ne sont pas ciblées, certaines entreprises, de par leur notoriété, leur activité ou leur culture d'entreprise, peuvent être prises pour cible par des attaquants. Dans cet article, nous vous présentons les étapes que va suivre un cybercriminel lors d'une attaque par ingénierie sociale contre un individu ou une entreprise.
Les données, éléments essentiels pour l'attaque par ingénierie sociale
Lorsqu'un attaquant souhaite réaliser une attaque auprès d'une entité en particulier, il va dans un premier temps chercher de l'information pour simplifier son attaque. En effet, de nombreuses données "évidentes" intéressent l'attaquant :
- Les noms de domaine et adresses IP
- Les e-mails des employés
- Les noms et prénoms des employés
D'autres données, auxquelles on pense moins facilement, peuvent lui être très utiles :
- L'organigramme : selon l'objectif que l'attaquant s'est fixé, celui-ci n'attaquera pas les mêmes personnes. Par exemple, pour procéder à une attaque visant à récupérer frauduleusement de l'argent à une entreprise, l'attaquant pourrait cibler le service comptabilité. Cependant, pour s'infiltrer de manière durable sur l'infrastructure de la société à des fins d'espionnage, il peut être préférable de tenter de cibler un administrateur système, ou un technicien du support.
- Les technologies : ces informations, disponibles sur les pages de recrutement ou les sites d'offres d'emploi, permettant à l'attaquant de connaître les technologies utilisées dans l'entreprise, afin de mener une attaque plus efficace.
Il va sans dire que les réseaux sociaux sont des sources d'information de grande qualité pour rechercher des informations sur les individus.
La phase de récupération de l'ensemble des informations publiques que l'on peut trouver sur un individu ou une entreprise est appelée OSINT pour Open Source INTelligence ou Renseignement Source Ouverte en français. Pour un attaquant ou un auditeur Red Team, l'OSINT est utilisé pour obtenir le plus d'informations possible sur la cible.
Adresse email : a-t-elle déjà fuité ?
Connaissez-vous le site Have I Been Pwned ? Il permet à tout un chacun de savoir si une adresse email et les potentielles données personnelles qui y sont rattachées ont déjà fuité à la suite d'une cyberattaque. Un attaquant peut également utiliser ce site afin de savoir s'il peut récupérer plus d'informations sur sa cible, ce qui simplifiera ses attaques de type phishing ou usurpation d'identité.
L'exploitation
Il existe plusieurs outils qui permettent de récupérer des informations sur une organisation ou une entreprise, tel que theHarvester. Il permet très rapidement de retrouver une liste d'emails, de domaines et d'adresses IP associées à un nom de domaine.
Pour obtenir ces résultats, l'outil va utiliser différentes sources (Google, LinkedIn, Twitter, Yahoo, Bing etc.) et extraire les informations publiques qui intéressent l'attaquant. Grâce à ces informations, l'attaquant pourra cibler son attaque de phishing, et ainsi maximiser ses chances de pénétrer dans le système d'information de sa victime.
Ci-dessous un exemple d'utilisation de l'outil, contre une cible consentante bien entendu !
L'audit Red Team d'AlgoSecure
AlgoSecure réalise des audits Red Team pour le compte de ses clients qui permettent de simuler une attaque réelle sur votre système d'informations (en attaquant les infrastructures informatiques depuis nos bureaux) ainsi que sur les locaux de l'entreprise (en tentant de s'introduire physiquement). Nous définissons les objectifs avec vous, l'un d'eux étant généralement de savoir si nous arrivons à brancher un implant dans les locaux, ou accéder à des données sensibles.
Concrètement, l'audit Red Team a pour but d'évaluer la sécurité globale du système d'informations, mais également de sensibiliser les employés de votre entreprise sur les risques cyber et physiques. Comme tous les autres audits d'AlgoSecure, l'audit Red Team est non-destructif.
Vous pouvez obtenir plus d'informations sur nos audits Red Team sur notre site Internet et en contactant notre équipe commerciale.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !