Social Engineering


Social Engineering: The Science of Human Hacking, 2nd Edition, Christopher Hadnagy

Penser en algorithmes, Tom Griffiths, Brian Christian

Introduction

Christopher Hadnagy dĂ©finit l'ingĂ©nierie sociale comme tout acte qui influence une personne Ă  faire une action, qui pourrait, ou ne pas ĂȘtre, dans son intĂ©rĂȘt.

Avec cette définition, on comprend que la finalité de l'ingénierie sociale dépend de l'intention de la personne qui l'utilise.

L'ingénierie sociale consiste à utiliser les mécanismes humains et leurs limites pour influencer la prise de décision d'un individu. Par exemple, l'escroquerie, le marketing, la politique, le renseignement sont des applications possibles.

Pour se protĂ©ger de ces utilisations qui peuvent ĂȘtre malveillantes, il est important de comprendre comment ça fonctionne, pour pouvoir se protĂ©ger.

Je pense qu'on se fait avoir parce que notre cerveau est héritée de millions d'années d'évolution.
Pendant longtemps, il était vital de décider rapidement, sur la base de peu d'informations.
Ces fonctionnements sont encore indispensables de nos jours,
Mais ils peuvent maintenant nous jouer des tours.
En quelques milliers d'annĂ©es, nos civilisations ont Ă©voluĂ©es extrĂȘmement rapidement,
Alors que notre cerveau Ă©volue, sur une autre Ă©chelle de temps.

Ainsi, un bon attaquant tirera profit de la multitude de biais cognitifs auxquels nous sommes sujet :

cognitive-bias-codex

cliquez sur l'image pour voir la carte interactive

Nous aurions deux modes de pensée, tout l'enjeu pour l'attaquant est de nous faire rester dans le systÚme 1, en exploitant nos biais cognitifs, pour que nous agissions sans remise en question.

L'ingĂ©nierie sociale tire aussi partie d'une propriĂ©tĂ© de l'ĂȘtre humain : nous sommes des ĂȘtres vivants sociaux, et c'est dans notre instinct d'aider notre semblable lorsqu'il nous sollicite. C'est pour l'argent par empathie qu'on vient en aide au prince nigĂ©rian.

La pyramide du Social Engineering

Cette représentation permet de comprendre l'ordre et l'importance des différentes étape de la réalisation d'une attaque, sous l'angle d'un professionel dont le but est de faire comprendre au client ses vulnérabilités, et lui permettre de s'améliorer, pour mieux se protéger.

The SE Pyramid

  1. OSINT (Open Source Intelligence)
  2. Développement du prétexte
  3. Plan d'attaque
  4. Lancement de l'attaque
  5. Compte rendu

1. OSINT (Open Source Intelligence)

L'OSINT, pour Open Source Intelligence, consiste à se renseigner sur une personne/entreprise, à partir d'informations disponibles publiquement. C'est la partie essentielle de l'ingénierie sociale, sur laquelle l'attaquant passe le plus de temps. Il existe des moyens techniques de récolter ces informations (recherche google), et non techniques (discussion, observation). Pour l'attaquant il convient de bien documenter ses recherches, pour mieux les exploiter plus tard.

Non-Technical OSINT

Par l'observation, un attaquant peut obtenir des informations utiles :

Technical OSINT

Outils :

Trafic en temps réel :

Acronymes :

Base de connaissances :

2. Développement du prétexte

Cette partie consiste à trouver une raison valable de rentrer en contact avec la cible. Partie cruciale qui peut grandement faciliter la tùche de l'attaquant s'il s'est bien renseigné. C'est aussi ici que l'attaquant détermine s'il aura besoin d'équipements, car bien équipé, on peut entrer presque partout.

En fonction de ses compétences, et du niveau d'accÚs qu'il veut obtenir, l'attaquant utilisera des moyens plus ou moins avancés pour parvenir à ses fins.

Ainsi, les utilisations mal intentionnĂ©es de l'ingĂ©nierie sociale peuvent ĂȘtre classĂ©es en 3 vecteurs d'attaque :

L'approche

Il nous faut réaliser que nous sommes tous différents dans notre façon de percevoir le Monde, et utiliser cette compréhension comme un guide pour communiquer avec les autres, Tony Robbins

Que ce soit le modĂšle de Shannon-Weaver ou le modĂšle SMCR de Berlo, pour qu'il y ait communication, il faut :

  1. un expéditeur (humain, machine)
  2. un message
  3. un canal (la voix dans l'air, un texte sur un fil)
  4. un destinataire (humain, machine)

Quand une personne nous approche pour interagir avec nous, on a tendance Ă  se demander :

Si l'attaquant répond à ces 4 questions dans les premiers instants de l'interaction, il peut influencer la communication. Bien sûr ce n'est pas une vérité universelle, mais c'est ce qu'un attaquant aura tendance à faire pour mettre à l'aise sa cible. Comprendre cela permet de mieux s'en protéger.

Dans cette situation, l'habit fait le moine, car simplement avec son apparence, l'attaquant peut déjà répondre à deux de ces quatre questions.

Le modĂšle DISC

PlutÎt que d'établir le profil psychologique d'un individu rapidement, ce qui peut conduire à des erreurs d'interprétation, le modÚle DISC de William Moulton Marston se concentre sur la compréhension du profil de communication d'une personne. Cette compréhension permet de mieux s'adapter à l'interlocuteur lors de l'approche initiale, et de construire une relation de confiance.

Il existe différentes descriptions de l'acronyme DISC, mais Chris.H utilise :

Pour connaĂźtre ton profil de communication, il suffit de se poser deux questions :

  1. Est-tu plus direct ou indirect dans ta façon de communiquer ? Tu vas au point rapidement ou tu prend ton temps ?
  2. Est-tu plus orienté sur les tùches ou sur les personnes ? Quand tu doit faire une tùche, tu t'occupe plus de faire la tùche ou de trouver des personnes qui vont t'aider à l'accomplir ?

En fonction de ces deux réponses, on peut se placer sur le modÚle DISC, qui nous permet de connaßtre notre profil de communication :

The DISC model

Ainsi, en fonction de notre profil de communication, l'attaquant va adapter sa maniĂšre de communiquer pour mieux nous convaincre.

Bien communiquer permet de construire un rapport de confiance avec une personne, et de lui donner envie de nous aider. Le modÚle DISC n'est pas un outil magique, et comme tout outil, on peut l'utiliser de maniÚre bienveillante, ou malveillante, tout dépend de nous.

Leave them feeling better for having met you, Chris.H

3. Plan d'attaque

Un prĂ©texte ne suffit pas, il faut un plan. Quel est le but de l'attaquant ? Que recherche le client ? Quel est le meilleur moment pour lancer l'attaque ? Qui doit ĂȘtre disponible Ă  tout moment pour pouvoir nous aider ?

4. Lancement de l'attaque

Il est important d'ĂȘtre prĂ©parĂ©, mais pas au mot prĂȘt, car il faut pouvoir s'adapter aux imprĂ©vus, de grandes lignes suffisent.

5. Compte rendu

C'est pas fun, mais cette partie permet de faire comprendre au client comment il peut s'améliorer.

Se protéger

Tout l'enjeu pour se protéger de l'utilisation malveillante de l'ingénierie sociale est de rester dans le systÚme de pensée 2. Pour cela, comme dans la vie de tous les jours :

Dans un mail, un appel ou une discussion que vous initiez, il est toujours bon de rappeler le contexte à votre interlocuteur (comme demandé, suite à votre appel, suite à notre discussion, j'ai vu ton mail, etc) pour plusieurs raisons :

  1. C'est sympa ;
  2. Pour vous, ça crĂ©e un lien entre les Ă©changes qui permet de savoir quand il y a eu une rupture dans la suite des Ă©vĂšnements, et peut-ĂȘtre un changement d'interlocuteur. Par exemple, si votre interlocuteur vous rĂ©pond Je t'ai pas appelĂ© aujourd'hui, t'es sĂ»r que c'Ă©tait moi ?, c'est peut-ĂȘtre le signe d'un problĂšme de communication, anodin, ou malveillant ;
  3. Pour votre interlocuteur, ça lui permet d'augmenter la confiance que c'est bien vous, en lui donnant des informations de contexte qu'un attaquant n'aura peut-ĂȘtre pas.

Accompagner un visiteur et ne pas le laisser seul, c'est poli, et il ne risque pas de se perdre.

Dans tous les cas, la meilleure solution pour ne pas se faire arnaquer sur l'Internet reste de s'offrir les services d'un chien anti-bamboozle :

bamboozle-guarantee-dog