WOW !! MUCH LOVE ! SO WORLD PEACE !
Fond bitcoin pour l'amélioration du site: 1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ8o
  Dogecoin (tips/pourboires): DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp


Home | Publier un mémoire | Une page au hasard

 > 

La lutte contre la fraude par ingénierie sociale, enjeu majeur aujourd'hui pour les banques et leurs clients entreprises

( Télécharger le fichier original )
par Eliot Franklin Djoufack
Université de Strasbourg - Master 2 Juriste Sécurité Financière / Compliance officer 2015
  

précédent sommaire suivant

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy

Chapitre III- Fraude par ingénierie sociale : définition, mode opératoire et dispositif de lutte

La fraude par ingénierie sociale est la plus crainte actuellement au vu d'importants risques qui pèsent sur les banques et leurs clients. Elle n'a cessé d'évoluer ces cinqdernières années. En effet, les virements frauduleuxeffectuésen 2010 aux escrocs étaient chiffrés à 250 millions d'euros en France. Puis, ce montant est passé en 2013 à 350millions d'euros. Et aujourd'hui,il serait de 480 millions d'euros tandis que les tentatives sont de 865 millions d'euros (source : OCRGDF). On assiste également à de nouvelles variétés de fraude : fraude au Président, fraude au changement de RIB, fraude au test informatiquedémontrant ainsi la créativité de ces escrocs.

Ce chapitre définit d'abord clairement la notion d'ingénierie sociale afin d'en illustrer les différentes perceptions, ensuite il fait ressortir les différents modes opératoiresutilisés par ces escrocs de plus en plus créatifs. Enfin, le chapitrepréconise des solutions permettantd'identifier, déjouer et prévenir ces attaques.

3.1. Définition de l'ingénierie sociale

L'ingénierie sociale est tout simplementl'art de manipuler son interlocuteur afin que ce dernier réalise une opération frauduleuse ou divulgue une information sensible sur l'entreprise. Autrement dit,c'est une technique de manipulation psychologique humaine qui sert à acquérir invisiblement et de manière déloyale les informations d'une personne ciblée dans l'optique d'obtenir d'autrui l'exécution d'une opération frauduleuse (par exemple un virement).

Cette technique utilise d'avantage des moyens de communications traditionnels comme le téléphone, les mails et même le contact direct, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes. C'est l'une des technique de piratage les plus simples et les plus facilesà faire. Elle peut être utilisée partout et à tout moment.

Beaucoup de personnes aujourd'hui ne connaissent pas la valeur de l'information qu'elles possèdent et la nécessité de la garder confidentielle. Il faut en réalité s'adapter à la victime suivant le technique de l'attaque : apparence, charisme, flatterie, niveau de langage, persuasion, savoir mentir, c'est-à-dire apprendre à exploiter les failles humaines, confiance, manque d'information, etc. Il s'agit d'exploiter le facteur humain qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d'information.

3.2. Mode opératoire de la fraude par ingénierie sociale

3.2.1. Préparation de l'attaque ou collecte des informations

Les escrocs vont collecter pendant plusieurs mois le maximum d'informations sur l'entreprise ciblée. Ils vont se renseigner en détail à l'aide d'internet et des moteurs de recherche sur :

· les rapports annuels de l'entreprise, le K-bis, les statuts et le registre de commerce;

· les procès-verbaux d'assemblée générale et les comptes rendus des comités ;

· le site internet de l'entreprise ;

· les sites Internet comme YouTube comportant des vidéos avec les mots des dirigeants ;

· la presse et les réseaux sociaux personnels (Facebook et Twitter) et professionnels (LinkedIn, Viadeo, etc.). Il y'a quelques années, il était possible de visionner et de télécharger des photos privées sur Facebook de tout le monde en mettant la langue de sa page en US.

Les fraudeurs vont utiliser également les méthodes du Google Dork et du Google hacking lesquelles sont très efficaces pour trouver des informations sensibles et précises sur l'entreprise ciblée. Par exemple ajouté après le mot recherchésur Google la mention « filetype : pdf  ou doc ou xls» pour retrouver uniquement des fichiers de l'entreprise en version numérique, Powerpoint, Excel...Ainsi, ils pourront obtenir un maximum de renseignements concernant l'organigramme de l'entreprise, des adresses de messageries, les éventuels départs et nominations, les personnes chargées d'ordonner et de valider les virements et récupérer la signature des dirigeants en bas des documents officiels. Ils approfondiront sur les documents de communication interne afin de comprendre la stratégie de l'entreprise, adopté le langage et le vocabulaire qui leur sont propres ainsi que les phrases préférées des dirigeants.Ils peuvent également bénéficier de complicité dans l'entreprise pour obtenir par exemple les plans de congé de certaines personnes clés et les procédures.

Le coût pour obtenir tous ces informations serait d'environ 60 euros, d'où un retour sur investissement hallucinant. Ce travail de bénédictin qui demande notamment beaucoup de patience dure généralement 6 mois. Ainsi, l'escroc va décider de passer à l'action ou revendre ses précieuses informations à prix d'or à des personnes qualifiées généralement de « Roi des bagouts » c'est-à-dire des personnes avec une éloquence confirmée, une aisance de la parole et capable de convaincre facilement son interlocuteur.

précédent sommaire suivant






Bitcoin is a swarm of cyber hornets serving the goddess of wisdom, feeding on the fire of truth, exponentially growing ever smarter, faster, and stronger behind a wall of encrypted energy








"Qui vit sans folie n'est pas si sage qu'il croit."   La Rochefoucault