Social Engineering : étudier une poubelle peut en dire beaucoup sur vous

Social Engineering – Il y a des jours comme ça ou l’envie de punir des pollueurs prend plus de place qu’à l’habitude. Sur un parking, un sac jeté au sol. Dommage pour son propriétaire, toute sa vie y est contée. ZATAZ l’a retrouvé !

Comme vous le savez, le Social Engineering est un outil, parmi d’autres, dans la boîte à malice d’un spécialiste de la cybersécurité, ou d’un pirate.

Le Social Engineering, c’est l’étude d’une cible, son environnement, afin de collecter un maximum d’information avant de lancer une attaque : fraude aux faux virements, hack … ou retrouver un gros dégueulasse qui a pris la rue pour une poubelle.

Voici un exemple que j’ai vécu ce vendredi 07 juin 2019. Je me gare et au pied de mon véhicule, un sac d’une marque de restauration rapide. L’ancien propriétaire du paquet, après avoir mangé, a jeté le package sur le sol. Bilan, c’est sale, ça traîne… Quand j’ai ramassé le paquet, à l’intérieur, toute la vie de l’inconnu. A se demander si les pollueurs ont deux sous de jugeote.

Entrainement quotidien au Social Engineering

A l’intérieur des tickets de caisse. Cela m’a donné les boutiques, les achats et les dates de présence de ma cible. Présent aussi dans le sac, des enveloppes.

Un professionnel qui en mangeant lisait donc ses courriers postaux. Sur 4 enveloppes, 3 « anonymes ». Pas la 4ème.

Nom et adresse présents sur le papier blanc d’une lettre reçue le 05 juin. Document frais ! Sur l’une des facturettes, un coiffeur.

L’inconnu semble être allé se couper les cheveux dans la matinée de ce 07 juin. Info fraîche ! Un coiffeur à deux pas du parking. Merci Google Map !

Un peu de matériel, 10€ et un beau sourire

Je me suis équipé d’un portefeuille vide. J’y ai rajouté les tickets de caisse, deux cartes de visites qui traînaient dans mon sac, l’enveloppe, un billet de 10€ et un post-il.

Sur ce dernier, le nom du coiffeur. J’y ai écrit « RDV vendredi matin, 10h« . J’ai tenté le bluff. Le bluff est l’une des briques du Social Engineering.

Sur la facturette, un montant qui me faisait dire que l’inconnu coiffé était très certainement une femme. Un homme passe moins de temps chez le coiffeur, fait rarement une couleur et paie moins cher sa prestation capillaire.

Ensuite, l’identité sur l’enveloppe, une dame. Deux informations concordantes, même si le fait de manger en restauration rapide n’est pas l’apanage de la gente féminine. Du moins si l’hamburger n’est pas au Quinoa saupoudré de 1 000 graines des quatre coins du monde !

Je me suis donc rendu chez ce coiffeur. Demande à parler avec la patronne. Je lui indique avoir trouvé un portefeuille. A l’intérieur l’adresse du coiffeur, un post-il et un billet de 10€ que je montre à l’intérieur du porte-feuille. La patronne va donc récupérer le ticket de caisse et comparer sa liste avec les clients de sa matinée !

Jouer l’empathie !

Bingo ! Elle connait cette cliente « qui était bien là ce matin« . Avoir son numéro de téléphone sera un jeu d’enfant. Il était inscrit sur le cahier de rendez-vous. Je n’ai eu qu’à regarder. Si la patronne n’avait pas fait du zèle, j’aurai laissé le porte-feuille. Mais… « Voici aussi sa seconde ligne, si jamais cela ne répondait pas » va conclure la charmante patronne.

Me voici donc avec le portable personnel et le numéro de téléphone de l’entreprise employant l’inconnue. Une société de vente d’objets promotionnels.

Voilà qui confirme la professionnelle, qui n’a pas le temps de se poser. J’ai stoppé là mon entrainement (oui, le SE demande un entrainement quotidien) mais j’aurai pu ramener le sachet à cette dame… ou le porte-feuille en le laissant à l’accueil de son entreprise.

Un pirate, un escroc, un espion aurait laissé les 10€ dans ce portefeuille … avec une clé USB floquée au nom de l’entreprise ! Je vous laisse imaginer le reste !

Bref, les poubelles sont des pipelettes ! La rudologie est l’art de faire parler ces pipelettes.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Chantoine Reply

    Vous confondez RIB et facturette…

    • Damien Bancal Reply

      Bonjour,
      Lapsus révélateur … il y avait d’autres papiers dans ce sac… dont un RIB ! Merci d’avoir repéré l’erreur 🙂

  2. Fabrice PIERROT Reply

    Un professionnel qui en mangeant lisait donc ses courriers postaux.
    qui me semble avoir un peu plus de sens.

    • Damien Bancal Reply

      Bonjour,
      La tristesse de l’alcool… 🙂 🙂 merci pour la correction !

  3. Laurent Reply

    Bonjour,
    Excellent article. Je sensibilise régulièrement les nouveaux arrivants de ma société (ainsi que les anciens ;)) et je dois avouer que cet article illustre très bien ce que l’on peut faire en SE avec juste un sac poubelle.
    Merci pour votre travail.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.