Les leçons «Les bases de la finance» sont vérifiées par
Le « social engineering », une méthode de collecte d'informations dont l'objectif est de manipuler les personnes pour qu'elles autorisent des accès, révèlent des données confidentielles et sensibles, partagent des informations ou déplacent des sommes d'argent. Le « social engineering » ne consiste pas à pirater des systèmes ou à percer des pare-feu (système qui protège un réseau ou un ordinateur contre les accès indésirables via Internet), en effet, c'est l'individu lui-même qui révèle des informations ou effectue une action « de sa propre volonté ». L'ingénierie sociale se produit aussi bien dans le monde analogique, réel, c'est-à-dire lors de rencontres directes avec des personnes, que dans le monde numérique, lorsque l'on communique en ligne (e-mails).
Les méthodes manipulatrices de collecte d'informations existent depuis le début de la civilisation humaine, mais aujourd'hui, le terme social engineering est le plus souvent utilisé dans le contexte de la fraude numérique sur Internet. Nous sommes fortement connectés via Internet et les médias sociaux et de temps en temps, des personnes inconnues nous contactent par ces canaux de communication.
La numérisation rend la plupart des processus plus complexes au sein du secteur financier. Les clients ne sont pas forcément conscients des différentes étapes du processus et peuvent donc facilement être victimes du « social engineering ». Il est particulièrement tentant pour les spécialistes de “social engineering” de tenter leur chance auprès des clients des établissements financiers (banques, assurances), car c'est là que l’argent est éventuellement déplacé.
Les « social engineers » se construisent une fausse identité à partir des informations collectées sur la victime, de sorte qu'ils paraissent suffisamment légitimes. Ils jouent un rôle différent en fonction de ce qu'ils veulent voler à la personne. Cela peut varier d'une connaissance ou d'un employé de banque à un artisan. Sans établir de contact direct, ils utilisent souvent des moyens de communication tels que le téléphone, le courrier électronique ou les SMS. Pour gagner la confiance des gens, les « social engineers » font attention à plusieurs aspects afin d'imiter les comportements humains typiques : ils se font passer pour particulièrement gentils et aimables ou se présentent comme une figure d'autorité dont les instructions doivent être suivies. Ils disent qu'ils ont une demande urgente ou exigent que quelque chose soit fait absolument et rapidement.
Avec les e-mails dits de « phishing », les « social engineers » tentent d'obtenir des mots de passe ou de diffuser des virus / logiciels malveillants (programmes nuisibles). L'e-mail peut, par exemple, contenir une offre alléchante, une fausse facture ou une demande de mise à jour. L'objectif est d'obtenir une action immédiate, par exemple, que tu révèles des informations, que tu cliques sur un lien ou que tu ouvres une pièce jointe dangereuse.
Le « phishing » peut également se faire par SMS ou par appel téléphonique. Pour les SMS, on parle de « smishing », pour les appels de « vishing ».
L'attaque par appât : dans ce cas, l'agresseur tente d'attirer la victime avec un appât et espère susciter la curiosité ou même la cupidité de la victime. L'agresseur utilise un appât physique ou numérique qui cache généralement un logiciel malveillant (programme nuisible). Il peut s'agir, par exemple, d'une clé USB avec des contenus apparemment intéressants ou d'un lien de téléchargement qui doit mener à un logiciel sympa.
L'attaquant vise à obtenir l'accès à des données sensibles ou à des systèmes protégés. Il commence par instaurer la confiance en se présentant comme une personne digne de confiance et en imaginant une histoire bien ficelée. L'agresseur se fait passer pour un collaborateur d'une grande entreprise, un policier ou un employé de banque, par exemple. Il peut poser des questions soi-disant nécessaires pour confirmer l'identité de la victime, mais il s'agit en fait de collecter un maximum de données et d'informations sur la victime (p. ex. des informations internes à l'entreprise, des données personnelles, des documents bancaires ou des informations sur la sécurité). Attention : cela peut également se produire lors d'un contact direct avec une personne, et pas seulement en ligne, par e-mail ou par téléphone.
Tu reçois un e-mail apparemment légitime de ton chef (CEO, de l'anglais « Chief Executive Officer »), dans lequel on te demande d'effectuer une mission pour lui ou de lui rendre un service. Dans l'e-mail, la personne se présente spécialement comme une personne d'autorité (précisément comme le chef d'entreprise/le CEO). Les gens ont tendance à exécuter plus facilement une mission qui leur est confiée par une personne d'autorité/de respect, même s'ils enfreignent les règles ou agissent contre leur propre volonté. Lorsque la pression du temps est forte et que l'urgence est clairement indiquée, la pensée rationnelle est encore plus négligée. Ceci avant tout : ne réponds jamais à un tel e-mail, ne clique pas sur le lien qu'il contient et n'ouvre pas la pièce jointe au mail !
Les « social engineers » exploitent les caractéristiques humaines et non les faiblesses techniques. Une entreprise peut donc disposer d'une infrastructure informatique (réseau, serveurs) entièrement et parfaitement sécurisée, mais les escrocs parviennent tout de même à accéder aux données de ses clients.
Ceci est la leçon dans laquelle vous vous trouvez actuellement et l'objectif du parcours.
Créer un compte pour commencer les exercices
Le « social engineering » est une méthode de collecte d'informations dont l'objectif est de manipuler les gens pour qu'ils révèlent des informations.
Les « social engineers » se construisent une fausse identité et contactent la victime par téléphone, e-mail ou SMS.
Avec des e-mails dits de « phishing », les « social engineers » tentent d'obtenir des mots de passe ou de diffuser des virus / logiciels malveillants.
Beta