L’ingénierie sociale est un terme générique qui désigne tout exploit de sécurité reposant sur la volonté des gens d’être utiles. La réussite d’un exploit d’ingénierie sociale dépend de la capacité de l’attaquant à amener quelqu’un d’autre à commettre une erreur.
L’objectif de ce type d’exploit de sécurité est de fournir à l’attaquant des informations d’identification légitimes qu’il peut utiliser pour se déplacer latéralement dans le réseau de la cible. Ce type de vecteur d’attaque exige du cyber pirate qu’il dispose à la fois de compétences non techniques et de compétences techniques. Les compétences générales l’aident à obtenir un accès initial et les compétences spécialisées l’aident à escalader les privilèges.
Les types de stratégies d’ingénierie sociale les plus répandus sont la compromission des courriels d’entreprise (BEC) et l’hameçonnage (phishing).
L’ingénierie sociale est aussi dangereuse et nuisible que n’importe quelle autre attaque de cybersécurité.
Le phishing et le spear phishing sont deux stratégies d’ingénierie sociale courantes qui ciblent une personne spécifique ou un petit groupe de personnes. Ces deux types d’attaques se font souvent par courrier électronique et contiennent des informations susceptibles d’intéresser la cible.
En règle générale, le courrier électronique de l’attaquant est présenté comme s’il avait été légitimement envoyé par le service informatique ou la direction de l’organisation. Le message contient généralement un avertissement sur les conséquences graves que pourrait avoir le fait de ne pas fournir les informations demandées.
Selon le F.B.I., le Business Email Compromise (BEC) est l’un des crimes les plus lucratifs aux États-Unis. Ce type d’exploitation de la sécurité cible à la fois les entreprises et les particuliers qui effectuent des demandes légitimes de transfert de fonds. Ce type de cyberfraude consiste à usurper l’identité d’un compte de courrier électronique professionnel légitime afin d’inciter la victime à transférer de l’argent sur un compte contrôlé par l’attaquant.