Comment se protéger contre les attaques de l'ingénierie sociale

Comment se protéger contre les attaques de l'ingénierie sociale / l'Internet

La semaine dernière, nous avons examiné certaines des principales menaces d'ingénierie sociale Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique] Vous pouvez installer le pare-feu le plus puissant et le plus coûteux de l'industrie. Vous pouvez renseigner les employés sur les procédures de sécurité de base et sur l’importance de choisir des mots de passe forts. Vous pouvez même verrouiller la salle des serveurs - mais comment… Lire la suite que vous, votre entreprise ou vos employés devriez rechercher. En un mot, l'ingénierie sociale s'apparente à un tour de confiance par lequel un attaquant obtient un accès, des informations ou de l'argent en gagnant la confiance de la victime..

Ces techniques peuvent aller des escroqueries par phishing via e-mail aux astuces téléphoniques et aux attaques par prétexte invasives. Bien qu’il n’existe aucun moyen efficace d’arrêter les ingénieurs sociaux, il convient de garder quelques points à l’ordre du jour pour éviter que ce type d’attaque ne devienne trop grave. Comme toujours, votre meilleure défense est la connaissance et une vigilance constante..

Protéger contre les attaques physiques

De nombreuses entreprises sensibilisent leur équipe de sécurité réseau aux dangers des attaques physiques. Une méthode appelée “talonnage” est utilisé dans de nombreuses attaques physiques pour accéder aux zones restreintes sans autorisation. Cette attaque est une courtoisie humaine fondamentale - tenir la porte à quelqu'un - mais une fois l'attaquant obtenu un accès physique, l'atteinte à la sécurité devient très grave..

Bien que cela ne s'applique pas vraiment dans un scénario à la maison (il est peu probable que vous mainteniez votre porte d'entrée ouverte à un étranger, n'est-ce pas?), Vous pouvez toutefois prendre certaines mesures pour réduire les risques de devenir victime d'ingénierie sociale. attaque qui dépend de matériaux physiques ou d'un emplacement.

Le prétexte est une technique utilisée par les assaillants qui recherchent d’abord des informations sur leur victime (par exemple à partir d’une facture ou d’un relevé de carte de crédit) qu’ils peuvent ensuite utiliser contre leur victime en les convaincant qu’ils ont le sens de l’autorité. La protection la plus élémentaire contre ce type d’attaque (parfois appelée “plongée dans une benne à ordures”) consiste à détruire tout matériel contenant des informations personnelles importantes.

Cela vaut également pour les données numériques. Par conséquent, les anciens disques durs doivent être détruits de manière adéquate (physiquement) et les supports optiques peuvent également être déchiquetés. Certaines entreprises le considèrent même à un point tel qu’elles verrouillent leurs ordures et que la sécurité les surveille. Considérez les documents non déchirés que vous jetez - calendriers, reçus, factures et mémos personnels - et déterminez si ces informations peuvent être utilisées contre vous..

L'idée d'un cambriolage n'est pas particulièrement intéressante, mais si votre ordinateur portable était volé, traquez et récupérez votre ordinateur portable volé avec Prey traquez et récupérez votre ordinateur portable volé avec Prey Read More demain serait-il correctement verrouillé? Les mots de passe sécurisés doivent toujours protéger les ordinateurs portables, les smartphones et les autres appareils accédant à vos informations personnelles. Votre courrier électronique et vos comptes de réseaux sociaux doivent être protégés. Comment créer un mot de passe fort que vous n'oublierez pas Comment créer un mot de passe fort que vous n'oublierez pas Savez-vous comment créer et retenir un bon mot de passe? Voici quelques conseils et astuces pour conserver des mots de passe forts et distincts pour tous vos comptes en ligne. Lire la suite et les codes. Si vous êtes vraiment paranoïaque à propos du vol, vous voudrez peut-être même chiffrer les données sur votre disque dur à l'aide de TrueCrypt. Comment créer des dossiers cryptés? Les autres utilisateurs ne peuvent pas afficher avec Truecrypt 7 Comment créer des dossiers cryptés; Lire la suite ou BitLocker.

Rappelez-vous - toute information qu'un voleur peut extraire peut être utilisée contre vous lors d'attaques futures, des mois ou des années après l'incident.

Les appâts - laisser un périphérique malveillant tel qu'une clé USB facilement accessible - est facilement évité en ne laissant pas vos curiosités prendre le dessus sur vous. Si vous trouvez une clé USB sur votre porche, traitez-la avec la plus grande suspicion. Les clés USB peuvent être utilisées pour installer des enregistreurs de frappe, des chevaux de Troie et autres logiciels indésirables pour extraire des informations et présenter une menace très réelle.

Prévenir les attaques psychologiques

Presque toutes les attaques d'ingénierie sociale sont psychologiques par définition, mais contrairement au prétexte qui nécessite une connaissance préalable, certaines attaques sont purement psychologiques. La protection contre ce type d'attaques est actuellement une grande priorité pour de nombreuses entreprises. Cela implique une éducation, une vigilance et souvent une attitude d'attaquant..

Les entreprises commencent maintenant à éduquer le personnel à tous les niveaux, la plupart des attaques commençant par l’agent de sécurité au portail ou par la réceptionniste à la réception. Cela implique généralement d’inviter les employés à se méfier des requêtes suspectes, des personnes envahissantes ou de tout ce qui ne s’agrandit pas. Cette vigilance est facilement transposable dans votre vie quotidienne mais dépend de votre capacité à identifier les demandes d'informations confidentielles..

Alors que les attaques en ligne par courrier électronique et par messagerie instantanée sont de plus en plus fréquentes, les attaques d'ingénierie sociale par téléphone (et la VoIP, ce qui rend plus difficile la recherche de la source) constituent toujours une menace réelle. Le moyen le plus simple d'éviter une attaque est de mettre fin à l'appel dès que vous soupçonnez quelque chose..

Il est possible que votre banque vous appelle, mais il est rare qu’elle vous demande votre mot de passe ou d’autres informations. Si un tel appel a lieu, demandez le numéro de téléphone de la banque, vérifiez-le et rappelez-le. Cela peut prendre cinq minutes de plus, mais vos fonds et vos informations personnelles sont en sécurité et la banque volonté comprendre. De même, il est très peu probable qu'une entreprise de sécurité appelle pour vous avertir de problèmes avec votre ordinateur. Traitez tous les appels comme une arnaque, soyez suspicieux et ne compromettez pas votre PC Techniciens en informatique appelant à froid: Ne tombez pas dans l’atteinte de ce genre d’escroquerie Alerte à l'arnaque!] Vous avez probablement déjà entendu le terme "ne pas arnaquer un arnaqueur" mais j'ai toujours aimé "ne pas arnaquer un rédacteur technique" moi-même. Je ne dis pas que nous sommes infaillibles, mais si votre arnaque concerne Internet, un système Windows… Read More ou achetez ce qu'ils vendent!

L'éducation est la meilleure défense. Par conséquent, vous tenir au courant des techniques de sécurité et de l'actualité vous aidera à détecter une éventuelle attaque. Des ressources telles que Social-Engineer.org tentent d'éduquer les gens sur les techniques utilisées par les ingénieurs sociaux, et il y a beaucoup d'informations disponibles.

Quelques choses à retenir

La confiance est la principale tactique de l'ingénieur social et sera utilisée pour accéder à des emplacements physiques, à des informations confidentielles et, à plus grande échelle, à des données sensibles de l'entreprise. Un système n’a que la force de sa défense la plus faible et, dans le cas de l’ingénierie sociale, cela signifie des personnes qui ne sont pas au courant des menaces et des techniques utilisées..

Conclusion

Pour citer Kevin Mitnick, qui a réussi à se promener dans la plus grande conférence sur la sécurité au monde, sans joues ni contrôle (RSA 2001): “Vous pourriez dépenser une fortune en technologies et en services achetés par tous les exposants, orateurs et sponsors lors de la conférence RSA, et votre infrastructure réseau pourrait toujours rester vulnérable aux manipulations démodées.”. Ceci est vrai pour les serrures de vos portes et l'alarme de votre maison, alors surveillez les tactiques d'ingénierie sociale au travail et à la maison..

Avez-vous vécu de telles attaques? Travaillez-vous pour une entreprise qui a récemment commencé à sensibiliser ses employés aux dangers? Faites-nous savoir ce que vous pensez, dans les commentaires ci-dessous.

Crédits d'image: Loup en vêtements de mouton (Shutterstock) Déchiqueteuse de papier (Chris Scheufele), Disque dur (jon_a_ross), téléphone au bureau (Radio.Guy), réception Mozilla (Niall Kennedy),

Explorer plus sur: Phishing, Scams.