La collecte d’informations joue un rôle crucial dans la préparation de toute mission d’ingénierie sociale professionnelle. La collecte d’informations est la phase la plus longue et la plus laborieuse du cycle d’attaque, mais elle est souvent un facteur déterminant du succès ou de l’échec de l’engagement. L’ingénieur
social professionnel doit être conscient si les éléments suivants :
- Des outils de collecte d’informations librement disponibles en ligne
- Des emplacements en ligne qui abritent des éléments de données précieux
- Des logiciels qui aident à trouver et à rassembler les données
- La valeur ou l’utilisation de données apparemment insignifiantes qui sont collectées en ligne, au téléphone ou en personne
Comment recueillir des informations
Il existe de nombreuses façons différentes d’accéder à des informations sur une organisation ou un individu. Certaines de ces options requièrent des compétences techniques tandis que d’autres requièrent les compétences douces du piratage humain. Certaines options peuvent être utilisées depuis n’importe quel endroit disposant d’un accès à Internet. D’autres ne peuvent être utilisées qu’en personne, à un endroit précis. Il y a des options qui ne nécessitent pas plus d’équipement qu’une voix, des options qui ne nécessitent qu’un téléphone, et d’autres encore qui nécessitent des gadgets sophistiqués.
Un ingénieur social peut combiner de nombreux petits éléments d’information recueillis à partir de différentes sources dans une image utile des vulnérabilités d’un système. L’information peut être importante, qu’elle provienne du concierge ou du bureau du PDG ; chaque morceau de papier, chaque employé à qui l’on parle ou chaque zone visitée par l’ingénieur social peut s’additionner à suffisamment d’informations pour accéder à des données sensibles ou à des ressources organisationnelles. La leçon à tirer ici est que toute information, aussi insignifiante soit-elle aux yeux de l’employé, peut aider à identifier une vulnérabilité pour une entreprise et une entrée pour un ingénieur social.
Les sources « traditionnelles » sont généralement des sources d’information ouvertes, accessibles au public, dont l’obtention ne nécessite aucune activité illégale. Tandis que les sources « non traditionnelles » sont toujours des sources d’information légales mais moins évidentes et souvent négligées, comme la fouille des poubelles. Il est possible que ces sources puissent fournir des données qu’un programme de sensibilisation à la sécurité de l’entreprise ne voudrait ou ne pourrait pas prendre en compte. Enfin, il existe des moyens illégaux d’obtenir des informations, tels que les logiciels malveillants, le vol et l’usurpation de l’identité des forces de l’ordre ou des organismes gouvernementaux. Comme vous pouvez l’imaginer, nous abordons cette dernière catégorie avec prudence dans le Cadre. Nous ne soutenons que les activités légales menées dans le cadre d’un test de pénétration sanctionné.
Recherche/Sources
Commencez par définir votre objectif de réussite. Un objectif clair permettra de déterminer quelles informations sont pertinentes et celles que vous pouvez ignorer. Après cela, la collecte d’informations pour soutenir les exercices d’ingénierie sociale est à peu près la même que la recherche que vous faites pour toute autre chose. Cela vaut non seulement pour le type d’informations, mais aussi pour la manière dont vous les recueillez.
Les sources d’information ne sont limitées que par la pertinence des informations qu’elles peuvent légalement fournir. Lorsque vous effectuez des recherches pour l’ingénierie sociale, vous pouvez vous retrouver à examiner un large éventail de sources (techniques ou physiques) afin d’obtenir un petit bout de renseignement de chaque source. Ces éléments sont comme des pièces de puzzle. Individuellement, elles ne ressemblent pas à grand-chose, mais lorsqu’elles sont combinées, une image plus grande et plus cohérente apparaît. Pour une exploration plus détaillée des sources, visitez les pages de collecte d’informations techniques et physiques.
Image
https://wall-street.com/better-information-gathering-professionals/
.