Social engineering : le cas « Caroline Paradis »

Tout d’abord qu’est ce que le « social engineering » ou ingénierie sociale dans la langue de Molière ? Voici ce que nous dit Wikipédia :

L’ingénierie sociale (ou social engineering en anglais), dans le contexte de la sécurité de l’information, fait référence à des pratiques de manipulation psychologique à des fins d’escroquerie. Les pratiques de social engineering exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles pour permettre d’obtenir quelque chose de la personne ciblée (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc. ). Utilisant ses connaissances, son charisme, l’imposture et le culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité des personnes possédant ce qu’il souhaite obtenir. 

Voilà vous avez les bases, basique, simple. La personne qui nous amène à parler de ce sujet aujourd’hui est une certaine « Caroline Paradis« , un profil que j’ai accepté il y a quelques jours. Pour le moment rien d’anormal.

Le déroulement

Ce qui est plus étonnant c’est un premier email de sa part avec pour sujet « CONTACT LINKEDIN » :

Bonsoir, Tout d’abord je suis vraiment désolée si je vous cause un petit dérangement. Par conte je suis un contact LINKEDIN, je me suis permis de vous écrire car votre profil me plais bien, envie d’échanger avec vous, si cela ne vous cause pas de soucis. Une réponse même négatif serais extrêmement apprécié, Au plaisir de vous lire. Cordialement 

Dès la première lecture, je trouve qu’il y a quelque chose qui ne va pas, je passe sur les fautes (étant le premier à en faire) mais les tournures de phrases semblent imprécises voire même étrange.

Mon premier réflexe est donc d’aller consulter le profil de cette personne; constat : nous n’avons pas grand chose en commun, pas de la même région, pas le même cœur de métier et surtout son profil semble bien vide. Je décide alors de rechercher son nom sur Linkedin, et je trouve 4 profils avec un nom identique, le même métier et surtout la même jeune femme en photo (certes les photos sont différentes)

Je fais aussi une petite recherche sur les noms Caroline Boutique et Caroline Boutik à Ajaccio: rien sur le web, ni sur google map, étonnant pour un magasin…

Mon échelle de crédulité est désormais à 0,01%, mais je reste quelqu’un de prudent et poli, je décide donc de répondre à l’email comme je le ferais avec n’importe quel contact :

Bonsoir Caroline, Se sera avec plaisir d’échanger avec vous, souhaitez vous échanger sur le management et l’innovation ? Bonne soirée, 

Cet email ne reste pas longtemps sans réponse et je reçois de la part de cette personne l’email suivant :

Bonjour, Comment allez vous? Bien je l’espère? Je vous remercie d’avoir accepté ma demande sur Linkedin et aussi de m’avoir passé votre adresse E-mail… Comme vous l’avez vue je suis Caroline 33 ans célibataire sans enfants. Pour être franche avec vous je suis ici sur Linkedin a la recherche d’une amitié et voir plus si y a affinité. Je m’excuse d’utilisé un site Professionnel pour faire des rencontres mais sachez que ma solitude me ronge vraiment et je ne sais pas quoi faire.. Je suis de la région de Corse précisément d’Ajaccio connaissez vous?? Et vous d’ou êtes vous? Êtes vous mariée??Avez vous des enfants? Moi je suis Commerçante de Vêtement Prêt a porter et vous? Je serais très heureuse de mieux vous connaitre Je vous joints des photos de moi et j’espère vous plaire. Cordialement 

Et voilà je viens de passer à 0%. Même si je sais que certaines personnes utilisent Linkedin pour faire des rencontres, c’est le début de l’email qui est important : il n’y a aucune corrélation avec ce que je dis précédemment.

Il est donc temps de creuser, en m’attardant sur les 5 photos : déjà elles ont été nettoyées de toutes leurs métadonnées, impossible de savoir la date de prise de vue, l’appareil utilisé, et pour certain la géolocalisation. Qui fait ça ? Vous nettoyez souvent vos photos persos ? Surtout celles que vous envoyez par email.

Un petit coup de Google images afin de voir si par hasard, elles ne seraient pas utiliser ailleurs : les 4 premières ne donnent rien, mais la cinquième me permet de trouver un profil twitter utilisant cette photo : une certaine Marie Berlion !

Ce profil, comme celui de Linkedin, ne contient (presque) que des hommes : pour Caroline Paradis, sur 371 contacts, seulement 3 sont des femmes.

Je voulais en savoir plus, voir ce qui allait être demandé dans l’étape d’après : mais mon email est resté sans réponse à ce jour. Je n’ai pas envie de perdre trop de temps pour ce genre d’arnaqueur/brouteur alors je préfère tout bloquer.

Ce qu’il faut retenir :

  • Faites attention aux informations que vous pourriez donner, hors infos pro
  • Un profil dupliqué en nombre est souvent synonyme de fake
  • Si un email est ambigu ou ne vous intéresse pas, n’y répondez pas, et même bloquez cet email
  • Ne téléchargez rien sans avoir un anti-virus, surtout des fichiers dont l’extension vous semble inconnue

Les différents outils en cas de doute :

  • Faites une recherche sur la même plateforme, ou sur des plateformes connexes
  • Vérifier la composition de l’adresse email, ici caroline.paradis00@gmail.com, semble être une itération d’un email standard
  • Vous pouvez utiliser le site https://pipl.com/ pour rechercher des personnes
  • Faire une recherche d’image similaire via https://images.google.com

Voilà pour la petite histoire, vous en retrouverez bien d’autres, via d’autres canaux, mais souvenez-vous que l’important c’est la masse : même sur 10 000 contacts, il n’en faut qu’un qui se prenne dans les mailles du filet pour faire des affaires.

Et nous sommes toutes et tous concernés : femmes, hommes, jeunes, vieux, célibataires ou non. Ingénierie sociale recherche à exploiter vos faiblesses, alors : Protégez-vous !

Article publié originellement sur LinkedIn.

2 réflexions au sujet de « Social engineering : le cas « Caroline Paradis » »

  1. Bonjour merci pour ses infos , ils ce trouve que moi aussi je suis tomber dans le panneau mais pas tant que ça fragilisé par un divorce cette fameuse caroline a tenter de m’escroquer avoir m’avoir endormis avec des je t’aimes et moi non plus
    elle dit  » je suis dos au mur j’ai besoin de ton secours  » je viens de commander des vetements de luxes et c’est bloquer la douane me réclame 3000 euros pour récupérer mes affaires peux tu me dépanner ?? je m’étonne car c’est une grosse somme pour des taxes ,je questionne des commerçant ils me disent que c’est affaires peuvent rester gratuitement sous douane pendant 30 jours de toute façon pour moi je ne peux donner de l’argent comme ça et puis je ne l’ai jamais vu ni entendu ça voix mais elle a eu le culot de m’envoyer son RIB , c’est pas tout j’avais le sentiment que je m’adresser a un enfant de 10 ans en faite c’est une escroquerie je vais retracer car au numéro IBAN cordialement

    1. Bonjour, j’espère que cette affaire est close désormais, n’oubliez-pas, n’envoyez jamais d’argent ou de données personnelles à une personne que vous ne connaissez pas !

Répondre à BENLOULOU Annuler la réponse

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.