social engineering

Phishing, Phoning, USB piégé...

Le « social engineering » aussi appelé « ingénierie sociale » en français, consiste à tromper la vigilance d’un collaborateur afin de pouvoir obtenir des informations sensibles ou de faire réaliser des actions malveillantes (ouverture de fichiers, arnaque au président etc.). Les auditeurs de Synetis peuvent adopter une approche offensive et de sensibilisation en contextualisant leurs attaques (USB dropper, phoning, etc.).

En 2015, il était estimé qu’un collaborateur sur cinq avait tendance à brancher une clé USB « oubliée » ou « offerte ». Sans aucune précaution au préalable, ce comportement peut être dangereux pour plusieurs raisons comme par exemple des infections via ransomware ou autre, une utilisation du dispositif USB Killer, etc. Synetis est en mesure de créer des clés USB malveillantes puis de les “abandonner” afin de piéger des collaborateurs.

Le hameçonnage est une méthode très utilisée par les attaquants afin de permettre la détonation de leurs charges malveillantes directement sur le réseau de votre organisation. Ce genre d’attaques peut également inviter les utilisateurs à se connecter sur de fausses mires d’authentification en vue de compromettre des secrets.

Nous pouvons réaliser des campagnes de type social engineering en utilisant plusieurs vecteurs :

  • Le hameçonnage par mail (utilisation d’un nom de domaine proche de l’entreprise comme le typosquatting ou domaine “oublié”) ou appel téléphonique
  • Le hameçonnage par clés USB piégées

Nous sommes en mesure de réaliser des statistiques de connexion aux mires, de branchement de clés USB…

Le phishing reste l’un des principaux vecteurs de la cybercriminalité. Ce type d’attaque vise à obtenir du destinataire d’un courriel d’apparence légitime qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion (par exemple, à des services financiers afin de lui dérober de l’argent). L’hameçonnage peut être utilisé dans des attaques plus ciblées pour essayer d’obtenir d’un employé ses identifiants d’accès aux réseaux professionnels auxquels il peut avoir accès ou bien de faire exécuter un code contenu dans une pièce jointe malveillante.

Les figures ci-dessous présentent deux campagnes de phishing réalisées par Synetis :

N’hésitez pas à prendre contact avec nous pour discuter des modalités de réalisation de ces campagnes.

Construisez votre
Cybersécurité
avec Synetis !