"Deception": une ruse, supercherie, un stratagème, une technique, un truc.
Dans la première partie de son livre, Mitnick détaille différentes manière d'attaquer des organisations pour en extraire des informations. Bien qu'il soit généralement considéré comme un 'hacker', il préfère le terme de 'social engineer':
Social engineering uses influence and persuasion to deceive people by convincing them that the social engineer is someone he is not, or by manipulation. As a result, the social engineer is able to take advantage of people to obtain information with or without the use of technology.
Le facteur le plus faible de n'importe quel système de sécurité est le facteur humain.C'est celui là que Mitnick essaie de hacker en premier.
Travail de préparation en accumulant un maximum d'informations disponible publiquement: Noms, numéros de téléphones, employeurs passés, collègues, amis, hobbies, dans le cas d'une personne spécifique; employés, organigramme, processes, etc.. Pour une entreprise.
Pour cela internet est une source exceptionelle. Ensuite, le téléphone. (La poubelle?)
La technique la plus simple pour obtenir quelque chose: demander. Souvent, cela suffit.
Il est également très facile de se faire passer pour un supérieur ou un collègue d'une autre branche de l'entreprise.
Pour mettre en confiance sa cible, on peut:
-Lâcher des noms de personnes connues.
-Dire qu'on appelle de la part d'untel.
-Utiliser le 'lingo' de l'entreprise: mots à part entière, sigles,..
-Mener la cible à nous contacter de son propre chef.
Pour forcer la cible à donner ses informations:
-Jouer la carte de la contrainte de temps
-Menace indirectes ("pas de problèmes, je dirai au patron que vous n'avez pas voulu m'aider, ce n'est pas grave").
-Provoquer des émotions: Jouer la carte de la pitié et demander de l'aide, jouer la carte de l'autorité et donner des ordres.
Le social engineer vole des informations. Or, a contrario d'argent, quand une information est copiée, la victime ne s'en rend pas souvent compte.
-Pour cela, il faut toujours couvrir ses ses traces: C'est une petite opération mais qui permet de ne pas être recherché après son opération. Et dans le cas ou l'on est, de ne pas se faire retrouver.
Quelques exemples d'anecdotes recupérés sur wikipedia par flemme de taper :o
All, or nearly all, of the examples are fictional, but quite plausible. They expose the ease with which a skilled social engineer can subvert many rules most people take for granted. A few examples:
- A person gets out of a speeding ticket by fooling the police into revealing a time when the arresting officer will be out of town, and then requesting a court date coinciding with that time.
- A person gains access to a company's internal computer system, guarded by a password that changes daily, by waiting for a snowstorm and then calling the network center posing as a snowed-in employee who wants to work from home, tricking the operator into revealing today's password and access through duplicity.
- A person gains lots of proprietary information about a start-up company by waiting until the CEO is out of town, and then showing up at the company headquarters pretending to be a close friend and business associate of the CEO.
- A person gains access to a restricted area by approaching the door carrying a large box of books, and relying on people's propensity to hold the door open for others in that situation.
[BOOK] Kevin Mitnick - Art of Deception (2002)
![[BOOK] Kevin Mitnick - Art of Deception (2002)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhY4PyxMiSKHGIf07z_i_tS1BdDqYaCOtpWnztgSBu-xnN9_5g7d-q1yiABk43qlwyiBZiXVBuwJbqvrbxeVxU8QHV1WUiBGX_9Ql5IQQ6ZRgZP4KjN0d912VaHoFiR54GQpwt25UHDDWjc/s72-c/Art+of+Deception.jpg)
Reviewed by Jul
on
20:14
Rating:
Reviewed by Jul
on
20:14
Rating:
Aucun commentaire: