Table des matières[Cacher][Montrer]
Bien que la plupart des cybercriminels soient des manipulateurs qualifiés, cela ne signifie pas qu'ils sont toujours des manipulateurs technologiques qualifiés ; d'autres cybercriminels préfèrent la pratique de la manipulation des personnes.
En d'autres termes, ils adoptent l'ingénierie sociale, qui consiste à lancer une cyberattaque en profitant des failles de la nature humaine.
Dans un cas simple d'ingénierie sociale, cela peut se produire si un cybercriminel se fait passer pour un expert en informatique et demande vos informations de connexion pour corriger une faille de sécurité dans votre système.
Si vous donnez les informations, vous venez de donner à une mauvaise personne l'accès à votre compte sans même qu'elle ait à se soucier d'accéder à votre courrier électronique ou à votre ordinateur.
Dans chaque chaîne de sécurité, nous sommes presque généralement le maillon le plus faible car nous sommes sensibles à une variété de supercheries. Les techniques d'ingénierie sociale tirent parti de cette vulnérabilité chez les personnes pour inciter les victimes à divulguer des informations privées.
L'ingénierie sociale est en constante évolution, tout comme la majorité des cybermenaces.
Dans cet article, nous discuterons de l'état actuel de l'ingénierie sociale, des différents types d'attaques à surveiller et des signes avant-coureurs à surveiller.
Commençons l'introduction à l'ingénierie sociale.
Qu'est-ce que l'ingénierie sociale?
L'ingénierie sociale en informatique fait référence aux techniques employées par les cybercriminels pour persuader les victimes d'accomplir une action douteuse, qui implique souvent une atteinte à la sécurité, la transmission d'argent ou la divulgation d'informations personnelles.
Ces activités défient fréquemment la logique et vont à l'encontre de notre meilleur jugement.
Cependant, les fraudeurs peuvent nous convaincre d'arrêter de penser logiquement et de commencer à agir par instinct sans penser à ce que nous faisons réellement en manipulant nos émotions, positives et négatives, comme la rage, la peur et l'amour.
En termes simples, l'ingénierie sociale est la façon dont les pirates compromettent nos cerveaux, tout comme ils le font avec les logiciels malveillants et les virus pour compromettre nos machines.
Les attaquants utilisent fréquemment l'ingénierie sociale car il est souvent plus simple de profiter des individus que d'identifier une faiblesse de réseau ou de logiciel.
Parce que les criminels et leurs victimes n'ont jamais à interagir en personne, l'ingénierie sociale est toujours une composante d'une arnaque plus large.
Amener les victimes à : est généralement l'objectif principal :
- Des logiciels malveillants sur leur smartphone.
- Renoncez à votre nom d'utilisateur et à votre mot de passe.
- Autorisez un plug-in, une extension ou une application tierce malveillants.
- Envoyez de l'argent par mandat postal, virement électronique de fonds ou cartes-cadeaux.
- Jouez le rôle d'une mule financière pour transmettre et blanchir de l'argent illégal.
Les techniques d'ingénierie sociale sont utilisées par les criminels car il est souvent plus simple de profiter de votre tendance inhérente à faire confiance aux autres que de trouver comment pirater votre programme.
Par exemple, à moins que le mot de passe ne soit vraiment faible, il est considérablement plus simple de tromper quelqu'un pour qu'il vous dise son mot de passe que d'essayer de le pirater.
Comment fonctionne l'ingénierie sociale ?
Les ingénieurs sociaux mènent des cyberattaques en utilisant une gamme de stratégies. La plupart des agressions d'ingénierie sociale commencent par l'attaquant effectuant une reconnaissance et des recherches sur la victime.
Par exemple, si la cible est une entreprise, le pirate pourrait en apprendre davantage sur la structure organisationnelle de l'entreprise, les processus internes, le jargon de l'industrie, les partenaires commerciaux potentiels et d'autres détails.
Se concentrer sur les actions et les habitudes des travailleurs ayant un accès de bas niveau mais initial, comme un agent de sécurité ou une réceptionniste, est une stratégie utilisée par les ingénieurs sociaux.
Les attaquants peuvent rechercher réseaux sociaux comptabilise des informations personnelles et observe leur comportement en ligne et en personne.
L'ingénieur social peut ensuite utiliser les preuves recueillies pour planifier un assaut et profiter des failles découvertes lors de la phase de reconnaissance.
Si l'attaque a effectivement lieu, l'attaquant pourrait obtenir des systèmes ou des réseaux protégés, de l'argent des cibles ou l'accès à des données privées telles que des numéros de sécurité sociale, des détails de carte de crédit ou des coordonnées bancaires.
Types courants d'attaques d'ingénierie sociale
Apprendre les techniques typiques utilisées dans l'ingénierie sociale est l'une des meilleures stratégies pour se défendre contre une attaque d'ingénierie sociale.
De nos jours, l'ingénierie sociale se produit couramment en ligne, y compris par le biais d'escroqueries sur les réseaux sociaux, lorsque les attaquants usurpent l'identité d'une source fiable ou d'un haut fonctionnaire pour inciter les victimes à divulguer des informations sensibles.
Voici quelques autres attaques d'ingénierie sociale courantes :
Phishing
L'hameçonnage est une sorte d'approche d'ingénierie sociale dans laquelle les communications sont déguisées afin qu'elles semblent provenir d'une source fiable.
Ces communications, qui sont souvent des courriels, visent à duper les victimes pour qu'elles divulguent des renseignements personnels ou financiers.
Après tout, pourquoi devrions-nous soupçonner la légitimité d'un e-mail d'un ami, d'un membre de la famille ou d'une entreprise que nous connaissons ? Les escrocs profitent de cette confiance.
vishing
Le vishing est un type complexe d'attaque par hameçonnage. Il est également connu sous le nom de « hameçonnage vocal ». Dans ces agressions, un numéro de téléphone est souvent falsifié pour sembler authentique - les attaquants peuvent se faire passer pour du personnel informatique, des collègues ou des banquiers.
Certains attaquants peuvent utiliser des changeurs de voix pour masquer encore plus leur identité.
Hameçonnage
De grandes entreprises ou des particuliers sont la cible de harponnage, une sorte d'attaque d'ingénierie sociale. Les cibles des attaques de harponnage sont des individus forts ou de petits groupes, tels que des chefs d'entreprise et des personnalités publiques.
Cette forme d'attaque par ingénierie sociale est souvent bien documentée et camouflée de manière trompeuse, ce qui la rend difficile à repérer.
Le smishing
Le smishing est une sorte d'attaque de phishing qui utilise des messages texte (SMS) comme moyen de communication. En présentant des URL nuisibles à cliquer ou des numéros de téléphone à contacter, ces agressions exigent généralement une action rapide de la part de leurs victimes.
Les victimes sont fréquemment invitées à fournir des informations privées que les agresseurs peuvent utiliser contre elles.
Afin de persuader les victimes d'agir rapidement et de tomber dans le piège de l'agression, les attaques par smishing expriment souvent un sentiment d'urgence.
Scareware
L'utilisation de l'ingénierie sociale pour inciter les individus à installer de faux logiciels de sécurité ou à accéder à des sites Web infectés par des logiciels malveillants est connue sous le nom de scareware.
Les scarewares se manifestent généralement sous la forme de fenêtres contextuelles qui vous proposent de vous aider à éradiquer une prétendue infection informatique de votre ordinateur portable. En cliquant sur la fenêtre contextuelle, vous pourriez involontairement installer d'autres logiciels malveillants ou être redirigé vers un site Web dangereux.
Utilisez un programme d'éradication de virus fiable pour analyser souvent votre ordinateur si vous pensez avoir un scareware ou une autre fenêtre contextuelle intrusive. Il est important pour l'hygiène numérique d'examiner périodiquement votre appareil pour détecter les risques.
Cela pourrait également aider à protéger vos informations personnelles en empêchant de futures agressions d'ingénierie sociale.
Baiting
Les attaques d'ingénierie sociale peuvent également commencer hors ligne ; ils ne sont pas nécessairement lancés en ligne.
L'appâtage est la pratique d'un attaquant laissant un objet infecté par un logiciel malveillant, tel qu'une clé USB, quelque part où il est susceptible d'être découvert. Ces appareils sont souvent marqués exprès pour susciter l'intérêt.
Un utilisateur qui prend le gadget et le met dans son propre ordinateur par curiosité ou par cupidité risque d'infecter involontairement cette machine avec un virus.
Pêche à la baleine
L'une des tentatives de phishing les plus audacieuses, avec des résultats désastreux, est la chasse à la baleine. La cible typique de ce type d'attaque d'ingénierie sociale est une personne célibataire de grande valeur.
Le terme «fraude au PDG» est parfois utilisé pour décrire la chasse à la baleine, ce qui vous donne une indication de la cible.
Parce qu'ils adoptent efficacement un ton de discours professionnel approprié et utilisent à leur avantage les connaissances d'initiés de l'industrie, les attaques de chasse à la baleine sont plus difficiles à repérer que les autres attaques de phishing.
Pré-texto
Le faux-semblant est le processus de fabrication d'une fausse circonstance, ou "prétexte", que les escrocs utilisent pour tromper leurs victimes.
Les agressions factices, qui peuvent se produire hors ligne ou en ligne, font partie des techniques d'ingénierie sociale les plus efficaces, car les attaquants déploient beaucoup d'efforts pour se faire passer pour dignes de confiance.
Soyez prudent lorsque vous divulguez des informations privées à des étrangers, car il peut être difficile de repérer le canular d'un prétexte.
Pour exclure une tentative d'ingénierie sociale, contactez directement l'entreprise si quelqu'un vous téléphone pour un besoin urgent.
Piège à miel
Un piège à miel est une sorte d'approche d'ingénierie sociale dans laquelle l'agresseur séduit la victime dans un cadre sexuel dangereux.
L'agresseur profite alors de la circonstance pour faire du chantage ou se livrer à la sextorsion. En envoyant des spams sous le faux prétexte qu'ils vous "voyaient à travers votre caméra" ou quelque chose d'aussi néfaste, les ingénieurs sociaux tendent fréquemment des pièges à miel.
Si vous recevez un message comme celui-ci, assurez-vous que votre webcam est protégée.
Ensuite, restez calme et abstenez-vous de répondre, car ces e-mails ne sont rien de plus que du spam.
Quid Pro Quo
Le latin signifie "quelque chose pour quelque chose", dans ce cas, il fait référence à la victime recevant une récompense en échange de sa coopération.
Une excellente illustration est lorsque les pirates se font passer pour des assistants informatiques. Ils téléphoneront au plus grand nombre possible d'employés d'une entreprise et prétendront avoir une solution simple, ajoutant que "vous n'avez qu'à désactiver votre AV".
Quiconque y succombe a un rançongiciel ou d'autres virus installés sur son ordinateur.
Talonnage
Le talonnage, également connu sous le nom de ferroutage, se produit lorsqu'un pirate suit une personne utilisant une carte d'accès valide dans un bâtiment sécurisé.
Afin de mener à bien cette attaque, on suppose que la personne qui a la permission d'entrer dans le bâtiment serait suffisamment prévenante pour tenir la porte ouverte à la personne qui vient derrière elle.
Comment prévenir les attaques d'ingénierie sociale ?
En utilisant ces mesures préventives, vous et votre personnel aurez les meilleures chances d'éviter les agressions d'ingénierie sociale.
Éduquer les employés
La principale cause de faillibilité des employés aux attaques d'ingénierie sociale est l'ignorance. Pour enseigner au personnel comment réagir aux tentatives de violation typiques, les organisations doivent proposer une formation de sensibilisation à la sécurité.
Par exemple, que faire si quelqu'un essaie de talonner un employé sur le lieu de travail ou demande des informations sensibles.
Certaines des cyberattaques les plus fréquentes sont décrites dans la liste ci-dessous :
- Les attaques DDoS
- Attaques de phishing
- Attaques de détournement de clic
- Attaques de ransomware
- Attaques de logiciels malveillants
- Comment réagir au talonnage
Vérifiez la résistance à l'attaque
Effectuez des attaques d'ingénierie sociale contrôlées sur votre entreprise pour la tester. Envoyez de faux e-mails de phishing et réprimandez gentiment les membres du personnel qui ouvrent des pièces jointes, cliquent sur des liens nuisibles ou réagissent.
Au lieu d'être perçus comme des défaillances de la cybersécurité, ces cas doivent être considérés comme des situations hautement éducatives.
Sécurité des opérations
L'OPSEC est une méthode permettant de repérer un comportement amical qui pourrait être avantageux pour un futur attaquant. L'OPSEC peut exposer des données sensibles ou importantes si elles sont traitées de manière appropriée et regroupées avec d'autres données.
Vous pouvez limiter la quantité d'informations que les ingénieurs sociaux peuvent obtenir en utilisant les procédures OPSEC.
Trouver les fuites de données
Savoir si les informations d'identification ont été exposées à la suite d'une tentative de phishing peut être difficile.
Votre entreprise doit constamment rechercher les expositions de données et les informations d'identification divulguées, car certains hameçonneurs peuvent mettre des mois, voire des années, à exploiter les informations d'identification qu'ils collectent.
Mettre en œuvre l'authentification multifacteur
Appliquez une méthode d'authentification multifacteur qui nécessite que les utilisateurs possèdent un jeton, connaissent un mot de passe et possèdent leurs données biométriques afin d'accéder aux ressources critiques.
Mettre en place un système de gestion des risques tiers
Avant de faire appel à de nouveaux fournisseurs ou de continuer à travailler avec des fournisseurs actuels, créez un système de gestion des risques tiers, une politique de gestion des fournisseurs et menez une risque de cybersécurité évaluation.
Particulièrement après que des données volées ont été vendues sur le dark web, il est considérablement plus simple d'éviter les violations de données que de les nettoyer.
Trouvez un logiciel capable de gérer automatiquement les risques liés aux fournisseurs et suivez, classez et évaluez régulièrement la cybersécurité de vos fournisseurs.
Modifiez vos préférences de courrier indésirable.
La modification de vos paramètres de messagerie est l'une des méthodes les plus simples pour vous défendre contre les tentatives d'ingénierie sociale. Vous pouvez améliorer vos filtres anti-spam pour empêcher les e-mails frauduleux d'ingénierie sociale d'entrer dans votre boîte de réception.
Vous pouvez également ajouter directement les adresses e-mail d'individus et d'organisations dont vous savez qu'elles sont réelles à vos listes de contacts numériques - quiconque se faisant passer pour eux mais utilisant une adresse différente à l'avenir est très probablement un ingénieur social.
Conclusion
Enfin, l'ingénierie sociale est une technique assez simple qui peut être utilisée pour commettre des escroqueries, des escroqueries ou d'autres délits. Cela peut arriver à n'importe qui en personne, par téléphone ou en ligne.
Les ingénieurs sociaux n'ont pas besoin d'être très techniques ; ils ont seulement besoin de pouvoir vous escroquer pour leur donner des informations privées.
C'est une escroquerie potentiellement désastreuse puisque nous sommes tous en danger. Les médias sociaux ont également permis aux ingénieurs sociaux de devenir plus rusés en leur permettant de créer de faux comptes qu'il est facile de confondre avec de vrais ou même de se faire passer pour de vrais individus.
Soyez toujours prudent lorsque vous voyez des profils étranges ou inconnus sur les réseaux sociaux.
Soyez sympa! Laissez un commentaire