Qu'est-ce que l'ingénierie sociale? [MakeUseOf explique]

Vous pouvez installer le pare-feu le plus puissant et le plus coûteux du secteur. Comment fonctionne un pare-feu? [MakeUseOf explique] Comment fonctionne un pare-feu? [MakeUseOf explique] Il existe trois logiciels qui, à mon avis, constituent l’épine dorsale d’une configuration de sécurité décente sur votre ordinateur personnel. Il s’agit de l’antivirus, du pare-feu et du gestionnaire de mots de passe. Parmi ceux-ci, le… Lire la suite. Vous pouvez renseigner les employés sur les procédures de sécurité de base et sur l'importance de choisir des mots de passe forts. Comment créer des mots de passe forts, dont vous vous souviendrez facilement Comment créer des mots de passe forts, dont vous vous souviendrez facilement Lisez-en plus. Vous pouvez même verrouiller la salle des serveurs - mais comment protéger une entreprise contre la menace d'attaques d'ingénierie sociale?

Du point de vue de l'ingénierie sociale, les employés sont le maillon faible de la chaîne de mesures de sécurité. Obtenez un relooking de la sécurité de votre site WordPress avec WebsiteDefender. - Mais à part rester simplement au courant, comment un utilisateur débutant ou moyen peut-il rester au courant? Souhaitez-vous même… Lire la suite. Les êtres humains sont non seulement sensibles aux erreurs humaines élémentaires, mais également aux attaques ciblées d'individus qui espèrent les convaincre de renoncer à des informations sensibles. Aujourd'hui, nous allons explorer certaines des techniques sociales utilisées pour tromper et frauder.

Les bases de l'ingénierie sociale

L'ingénierie sociale consiste à manipuler une personne pour qu'elle obtienne l'accès à des données sensibles en exploitant la psychologie humaine fondamentale. La différence entre les attaques d'ingénierie sociale et, par exemple, un pirate informatique tentant d'accéder à un site Web réside dans le choix des outils utilisés. Un pirate informatique peut rechercher une faiblesse dans un logiciel de sécurité ou une vulnérabilité du serveur, tandis qu'un ingénieur social utilise des techniques sociales pour contraindre la victime à donner librement des informations ou à accéder à des informations..

Ces tactiques ne sont pas nouvelles et existent depuis que les gens ont décidé que se leurrer était un moyen acceptable de gagner leur vie. Maintenant que la société a désormais recours à la nature immédiate d'Internet et aux informations à la demande, de plus en plus de personnes sont exposées à des attaques d'ingénierie sociale à grande échelle..

La plupart du temps, l'attaquant ne se présente pas face à face avec sa victime, mais compte sur son courrier électronique, sa messagerie instantanée et ses appels téléphoniques pour mener à bien son attaque. Il existe diverses techniques largement considérées comme des attaques d'ingénierie sociale, examinons-les plus en détail..

Techniques d'ingénierie sociale expliquées

Phishing

L’hameçonnage, qui est de loin l’une des techniques les plus connues grâce à la sensibilisation des fournisseurs de messagerie comme Google et Yahoo, est un exemple assez élémentaire et très largement utilisé d’ingénierie sociale..

Cette technique est le plus souvent conduite par courrier électronique et consiste à convaincre la victime que vous demandez légitimement des informations sensibles. L'un des types d'attaques de phishing les plus courants consiste à demander à des victimes “Vérifier” Comment garder votre compte Paypal à l'abri des pirates Comment garder votre compte Paypal à l'abri des pirates Lisez plus pour éviter la suspension de leurs comptes. L’attaquant, ou hameçonneur, achètera souvent un domaine conçu pour imiter une ressource officielle, et les anomalies dans l’URL renvoient souvent le jeu..

Le phishing en ligne devient de plus en plus facile à détecter et à signaler grâce aux techniques de filtrage utilisées par les fournisseurs de messagerie. Il est également bon de ne jamais divulguer d'informations confidentielles ou financières par courrier électronique - aucune organisation légitime ne vous le demandera jamais - et de vérifier la légitimité des URL avant de saisir des informations d'identification importantes..

Techniques téléphoniques ou “Vishing”

La réponse vocale interactive (vip) ou vishing (phishing vocal) implique l’utilisation de techniques similaires à celles décrites ci-dessus via un téléphone ou une interface VoIP. Il existe un certain nombre de techniques de vishing différentes, et elles sont:

• Appeler directement la victime à l'aide d'un système automatisé “votre carte de crédit a été volée” ou “une action urgente est nécessaire” arnaque, puis demande “Vérification de sécurité” afin de restaurer l'accès normal au compte.
• Envoi d'un courrier électronique à la victime, lui demandant de composer ensuite un numéro de téléphone et de vérifier les informations du compte avant d'autoriser l'accès.
• Utiliser de fausses techniques téléphoniques interactives ou une interaction humaine directe pour extraire des informations, par exemple. “appuyez sur 1 pour… ” ou “entrez votre numéro de carte de crédit après le bip”.
• Appeler la victime, la convaincre d'une menace à la sécurité sur son ordinateur et lui demander d'acheter ou d'installer un logiciel (souvent un logiciel malveillant ou un logiciel de bureau à distance) pour résoudre le problème.

J'ai personnellement été victime d'une escroquerie au téléphone logiciel et, bien que je n'aie jamais craqué pour rien, je ne serais pas surpris que quelqu'un le fasse grâce aux tactiques de panique employées. Ma rencontre a impliqué un “Employé Microsoft” et certains virus qui n'existaient pas. Pour en savoir plus, cliquez ici. Techniciens en informatique appelant à froid: Ne tombez pas dans le piège de cette arnaque [Alerte arnaque!] Techniciens en informatique appelant à froid: Ne tombant pas en panne pour cette arnaque [Alerte à la fraude!] le terme "ne pas arnaquer un escroc" mais j'ai toujours aimé "ne pas arnaquer un rédacteur technique" moi-même. Je ne dis pas que nous sommes infaillibles, mais si votre arnaque concerne Internet, un système Windows… Read More .

Appâts

Cette technique particulière s'attaque à l'une des plus grandes faiblesses de l'humanité: la curiosité. En laissant délibérément un support physique, qu'il s'agisse d'une disquette (improbable de nos jours), d'un support optique ou (le plus souvent) d'une clé USB, là où cela risque d'être découvert, le fraudeur se contente de s'asseoir et d'attendre que quelqu'un utilise le périphérique.

Beaucoup de PC “autorun” Par conséquent, lorsque des logiciels malveillants tels que des chevaux de Troie ou des enregistreurs de frappe sont intégrés à la clé USB, il est possible qu’une machine soit infectée sans même que la victime s'en rende compte. Les fraudeurs habillent souvent ces appareils avec des logos ou des étiquettes officielles susceptibles de susciter l’intérêt des victimes potentielles..

Le prétexte

Cette technique consiste à convaincre la victime d'abandonner des informations à l'aide d'un scénario inventé. Le scénario est généralement dérivé des informations recueillies sur la victime afin de la convaincre que l’escroc est en réalité un personnage faisant autorité ou officiel..

En fonction des informations recherchées par l’escroc, le prétexte peut impliquer des informations personnelles de base telles que l’adresse du domicile ou la date de naissance, des informations plus spécifiques telles que le montant des transactions sur un compte bancaire ou les frais facturés..

Talonnage

L'une des rares techniques énumérées ici, qui implique que l'escroc soit physiquement impliqué dans l'attaque, décrit le fait de pouvoir accéder à une zone réglementée sans autorisation en suivant un autre employé (légitime) dans la zone. Pour de nombreux fraudeurs, cela supprime la nécessité d’acquérir des cartes d’accès ou des clés et constitue une grave atteinte potentielle à la sécurité de la société impliquée..

Cette tactique particulière, qui consiste à tenir une porte pour quelqu'un, est devenue un problème que de nombreux lieux de travail ont pris pour s'attaquer de front au problème en affichant des avis sur les entrées, comme l'avis utilisé par Apple dans l'image ci-dessus..

Autres techniques

Il existe quelques autres techniques associées à l'ingénierie sociale, telles que le "quelque chose pour quelque chose". “quiproquo” technique souvent utilisée contre les employés de bureau. Quid pro quo implique un attaquant se présentant, par exemple, comme un employé du support technique retournant un appel. L'attaquant garde “rappeler” jusqu'à ce qu'il ou elle trouve une personne ayant réellement besoin d'assistance, l'offre, mais en même temps, extrait d'autres informations ou indique à la victime des téléchargements de logiciels nuisibles.

Une autre technique d'ingénierie sociale est connue sous le nom de “détournement vol” et n'est pas vraiment associé aux ordinateurs, à Internet ou au phishing par téléphone. Il s’agit plutôt d’une technique couramment utilisée pour convaincre les courriers légitimes de croire qu’une livraison doit être reçue ailleurs.

Conclusion

Si vous pensez qu'une personne tente de vous duper avec une arnaque d'ingénierie sociale, vous devez en informer les autorités et (le cas échéant) votre employeur. Les techniques ne se limitent pas à ce qui a été mentionné dans cet article - de nouvelles escroqueries et astuces sont constamment conçues - alors restez sur vos gardes, remettez en question tout et ne soyez pas victime d'un fraudeur.

La connaissance est le meilleur rempart contre ces attaques. Informez donc vos amis et votre famille que les gens peuvent utiliser et utiliseront cette tactique à votre encontre..

Avez-vous eu des démêlés avec des ingénieurs sociaux? Votre entreprise a-t-elle sensibilisé la main-d'œuvre aux dangers de l'ingénierie sociale? Ajoutez vos pensées et questions dans les commentaires ci-dessous.

Crédits d'image: Loup déguisé en mouton (Shutterstock), clé USB Symposium NetQoS (Michael Coté), déchiqueteuse de papier (Sh4rp_i)

Explorer plus sur: Phishing, Scams.