Ligne directe 24/7 | Réponse à incidents
Nous contacter
Accueil Audit SSI Social Engineering

Social Engineering

Adopter une approche offensive et de sensibilisation grâce à l’ingénierie sociale.
 
Contacter nos équipes

Évaluez la résistance de votre organisation face aux scénarios d’ingénierie sociale

Le « social engineering » aussi appelé « ingénierie sociale » en français, consiste à tromper la vigilance d’un collaborateur afin de pouvoir obtenir des informations sensibles ou de faire réaliser des actions malveillantes (ouverture de fichiers, arnaque au président, etc.). Nos auditeurs peuvent adopter une approche offensive et de sensibilisation en contextualisant leurs attaques (USB dropping, phoning, vishing, smsing, whatsapping, etc.).

En 2015, il était estimé qu’un collaborateur sur cinq avait tendance à brancher une clé USB « oubliée » ou « offerte ». Sans aucune précaution au préalable, ce comportement peut être dangereux pour plusieurs raisons comme des infections via ransomware ou autre, une utilisation du dispositif USB Killer, etc. Synetis est en mesure de créer des clés USB malveillantes puis de les « abandonner » afin de piéger des collaborateurs.

Testez la vigilance de votre organisation face aux techniques de hameçonnage

Le hameçonnage est une méthode très utilisée par les attaquants afin de permettre la détonation de leurs charges malveillantes directement sur le réseau de votre organisation. Ce genre d’attaques peut également inviter les utilisateurs à se connecter sur de fausses mires d’authentification en vue de compromettre des secrets.

Nous pouvons réaliser des campagnes de type social engineering en utilisant plusieurs vecteurs :
  • Le hameçonnage par mail (utilisation d’un nom de domaine proche de l’entreprise comme le typosquatting ou domaine « oublié ») ou appel téléphonique ;
  • Le hameçonnage par clés USB piégées ;
  • L’appel téléphonique afin de récupérer une information sensible (mot de passe, donnée client, etc.).

Le phishing reste l’un des principaux vecteurs de la cybercriminalité. Ce type d’attaque vise à obtenir du destinataire d’un courriel d’apparence légitime qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion (par exemple, à des services financiers afin de lui dérober de l’argent). L’hameçonnage peut être utilisé dans des attaques plus ciblées pour essayer d’obtenir d’un employé ses identifiants d’accès aux réseaux professionnels pour lesquels il a les droits ou bien de faire exécuter un code contenu dans une pièce jointe malveillante.

N’hésitez pas à prendre contact avec nous pour discuter des modalités de réalisation de ces campagnes.

Vous avez un projet d'audit ?
Pentest
Architecture
Configuration
Red Team
Social Engineering
Organisationnel et Physique
Code Source

Réponse à incident

Coordonnées du CERT

 

Mail : cert@synetis.com

Téléphone : 02 30 21 31 04

USER ID : CERT SYNETIS

KEY ID : 2F6F A FE30 7877

Empreinte clé PGP : 8D8ACAAC20557C7C1FF58332F6FA110FE307877

Le CERT Synetis est en cours de qualification PRIS (Prestataires de Réponse aux Incidents de Sécurité) par l’ANSSI

Contactez notre équipe Audit