Ingénierie sociale : Qu’est-ce que le baiting (ou appâtage ?)

Qu’est-ce que le baiting (ou appâtage ?)

Qu'est-ce que le Baiting (ou appâtage)

Un « heureux gagnant » se voit offrir un lecteur audio numérique gratuit. En fait, ce cadeau compromettra tous les ordinateurs auxquels il on le connectera. Pas de chance, hein ? Il s’agit d’un exemple typique de baiting (ou appâtage – lien en anglais), un type d’ingénierie sociale.

Le baiting peut être comparé à un Cheval de Troie du monde moderne. Il utilise des supports physiques et exploite la curiosité ou l’avidité de la victime. Il s’agit d’une escroquerie qui, sur bien des plans, ressemble à une attaque de phishing. Toutefois, ce qui le distingue des autres types d’ingénierie sociale, c’est la promesse d’un objet ou d’un bien que les pirates utilisent pour séduire les victimes. Les baiters (ou appâteurs) peuvent proposer aux utilisateurs de télécharger gratuitement de la musique ou des films s’ils communiquent leurs identifiants de connexion à un certain site.

Ces attaques ne se limitent pas à Internet. Les assaillants peuvent également concentrer leurs efforts sur l’exploitation de la curiosité humaine en utilisant des supports physiques.

Comment se déroule le baiting ?

Prenons un exemple – avec pour objectif final d’infiltrer le réseau d’une entreprise. L’ingénieur social distribue aux employés des périphériques infectés par des logiciels malveillants. Ainsi, cela permettra de diffuser un code malveillant. Les employés considèreront les clés USB infectées comme une récompense pour avoir participé à une enquête. Par exemple, les clés apparemment inoffensives pourront être placées dans un panier de cadeaux placé dans le hall de l’entreprise. Les employés n’auront qu’à se servir au moment de retourner à leur poste de travail.

Une autre possibilité consiste à placer stratégiquement des appareils contaminés dont des employés ciblés pourront se saisir. Les appareils qui comportent des étiquettes intrigantes telles que « Confidentiel » ou « Informations sur le salaire » sont parfois trop tentants pour certains travailleurs. Ces employés peuvent alors mordre à l’hameçon et insérer le dispositif infecté dans l’ordinateur de leur entreprise. Et voilà !

Quelle est la différence entre le baiting et les autres techniques d’ingénierie sociale ?

La spécificité de l’appâtage est d’inciter une victime à mordre à l’hameçon, d’où son nom. Le contenu tentant peut être la promesse d’un cadeau ou la possibilité d’obtenir une récompense. Le travail du hacker consiste donc à créer un piège pour sa victime.

À part cette petite subtilité, cette technique est assez similaire à d’autres techniques d’ingénierie sociale, comme le phishing, le pretexting (« faux-semblant ») ou le smishing.

Le baiting ou appâtage

Comment protéger votre système contre le baiting ?

La défense la plus efficace contre l’appâtage ou tout autre type d’ingénierie sociale tient dans votre formation et celle de votre équipe. Chacun de nous doit s’efforcer de disposer d’une forte culture de la sécurité dans son environnement – bureau, domicile, etc. En d’autres termes, partout où un individu considére que la « sécurité de l’entreprise » fait partie intégrante de ses propres responsabilités.

C’est particulièrement vrai en matière d’appâtage : chacun devrait discuter ouvertement avec sa famille, ses amis et ses collègues et les avertir des risques induits par des imprudences qui semblent souvent insignifiantes à première vue.

Il existe d’autres conseils que vous pouvez suivre pour éviter les stratagèmes d’ingénierie sociale. Notre cours de sensibilisation à la sécurité et à la confidentialité des emails vous fournira des informations complètes sur ce sujet spécifique afin de vous protéger, autant que possible, contre l’ingénierie sociale.

Vous éduquer et éduquer les autres est de loin la défense la plus efficace que vous puissiez opposer contre toutes les formes d’ingénierie sociale.

Ouvrez dès maintenant un compte Mailfence gratuit et protégez vos données contre l’ingénierie sociale.

Obtenez votre messagerie privée

– L’équipe Mailfence

Avatar for M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt incluent la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem

Vous aimerez aussi...