Le social engineering est une technique d'intrusion dans un système ou un réseau informatique qui repose sur les points faibles des personnes qui en sont responsables.
Le but du social engineering est de piéger les gens en leur faisant révéler leurs mots de passe ou en les devinant (prénom des enfants, dates de naissance, plaque d'immatriculation de leur voiture,...
Il faut garder à l'esprit qu'une attaque par Social Engineering peut très bien commencer sous diverses formes :
Exemple : Le FAI de votre société peut prendre rendez-vous avec vous par téléphone et vous envoyer une confirmation par courrier pour effectuer une opération de maintenance sur votre ligne depuis les locaux de votre entreprise.
Une fois sur place, le technicien pourra prétexter un besoin de faire un test de débit ADSL par exemple et demandera à se connecter à Internet...
Vous lui autorisez l'accès et là, une fois qu'il est connecté à votre réseau, il pourra faire ce qu'il veut...
Vous avez été piégé par Social Engineering !
Il est très difficile de déjouer une attaque par Social Engineering, à cause du charisme du hacker. Souvent, vous êtes persuadé de son honnêteté.
Toutefois, lors de la discussion, n'hésitez pas à demander un maximum de renseignements "concrets" (nom de la personne, nom et adresse de la société, etc), pour, par la suite, vérifier auprès des organismes compétents l'existence réelle de votre interlocuteur.
N'hésitez pas à téléphoner à la société pour savoir si la personne existe et si elle est au courant de votre contact avec elle...
Sensibiliser votre personnel à ce genre d'attaque semble à ce jour être la meilleure solution.
