Les agressions d'ingénierie sociale se composent de plusieurs phases. Un agresseur analyse d'abord la victime cible pour obtenir des informations générales nécessaires pour mener à bien l'agression, telles que les voies d'entrée possibles et les mécanismes de sécurité faibles. Cet article explique l'ingénierie sociale, les attaques d'ingénierie sociale, comment se protéger de l'ingénierie sociale et des exemples d'ingénierie sociale.
Il s'agit de la pratique consistant à manipuler des personnes dans un contexte en ligne en les convainquant de fournir de bonne foi des informations personnelles sensibles telles que des numéros de compte, des mots de passe ou des informations bancaires.
L'ingénierie sociale peut également se produire lorsque «l'ingénieur» demande à la victime de virer de l'argent à ce que la victime pense être une institution financière ou une personne avec qui la victime fait affaire, mais que l'argent se retrouve sur le compte de «l'ingénieur».
Les régimes d'assurance cyber et vie privée peuvent couvrir les pertes résultant de l'ingénierie sociale s'ils ont une garantie, mais le montant de la couverture est généralement d'un maximum de 100,000 XNUMX $. De plus, la couverture d'ingénierie sociale, qui porte également le nom de «couverture d'instructions frauduleuses», n'est disponible qu'en tant que couverture supplémentaire au-delà des limites de toute police d'assurance contre les délits commerciaux applicable.
Qu'est-ce que l'ingénierie sociale
L'ingénierie sociale est un moyen d'obtenir des informations, un accès ou des biens privés en profitant des erreurs des gens. Dans le domaine de la cybercriminalité, ces escroqueries dites de « piratage humain » sont souvent utilisées pour inciter les utilisateurs qui ne savent pas ce qui se passe à révéler des données, à propager des attaques de logiciels malveillants ou à donner accès à des systèmes qui devraient rester confidentiels. Les attaques peuvent se produire en personne, en ligne ou par d'autres moyens.
L'ingénierie sociale est un type de fraude basé sur la façon dont les gens pensent et agissent. Pour cette raison, les attaques d'ingénierie sociale sont un excellent moyen de changer la façon dont une personne agit. Une fois qu'un attaquant sait ce qui pousse un utilisateur à faire ce qu'il fait, il peut bien tromper et contrôler l'utilisateur.
De plus, les pirates tentent de profiter du manque d'expertise d'un utilisateur. Parce que la technologie évolue si rapidement, de nombreux clients et travailleurs ne connaissent pas les risques tels que les téléchargements en voiture. Les gens peuvent également ne pas réaliser à quel point des informations personnelles telles que leur numéro de téléphone sont importantes. Pour cette raison, de nombreux utilisateurs ne savent pas comment assurer leur sécurité et celle de leurs informations.
Lire aussi: HACKERS EN LIGNE : 10 types de pirates et les dangers et comment ils vous nuiront
Attaque d'ingénierie sociale
Les attaques impliquant l'ingénierie sociale peuvent prendre de nombreuses formes différentes et peuvent se produire partout où les gens se parlent. Voici les cinq façons les plus courantes de subir des attaques d'ingénierie sociale.
#1. Appâtage
Les attaques d'appâtage, comme leur nom l'indique, utilisent une fausse offre pour amener une personne à être gourmande ou curieuse. Les gens tombent dans des pièges en tombant dans un piège qui vole leurs informations privées ou place des logiciels malveillants sur leurs ordinateurs.
Les logiciels malveillants se propagent via les médias réels, qui sont le type d'appât le plus détesté. Par exemple, les attaquants laissent l'appât, qui est généralement une clé USB contenant des logiciels malveillants, dans des endroits où les victimes potentielles sont sûres de le voir, comme les salles de bains, les ascenseurs et le parking d'une entreprise ciblée. L'appât semble réel, avec des choses comme une étiquette indiquant qu'il s'agit de la liste des salaires de l'entreprise.
Les gens prennent l'appât parce qu'ils sont curieux et le mettent ensuite dans un ordinateur au travail ou à la maison, qui installe automatiquement des logiciels malveillants sur le système.
Les escroqueries qui utilisent des appâts ne doivent pas nécessairement avoir lieu dans le monde réel. L'appâtage en ligne prend la forme de publicités qui ont l'air bien mais mènent à des sites nuisibles ou tentent d'amener les gens à télécharger des logiciels infectés par des logiciels malveillants.
#2. Logiciels effrayants
Les scarewares sont un type d'attaque d'ingénierie sociale. Cela implique d'envoyer beaucoup de faux avertissements et de fausses menaces aux gens. Les utilisateurs sont amenés à penser que leur ordinateur est infecté par des logiciels malveillants, ce qui les oblige à exécuter un logiciel qui ne fait rien d'utile (sauf pour la personne qui l'a fait) ou qui est lui-même un logiciel malveillant. Les scarewares sont également appelés logiciels frauduleux, logiciels de numérisation illégaux et logiciels de tromperie.
Les scarewares se présentent souvent sous la forme de bannières pop-up qui semblent réelles et disent des choses comme : « Votre ordinateur est peut-être infecté par des logiciels espions nuisibles ». Il vous proposera soit d'installer l'outil pour vous (qui est souvent entaché de logiciels malveillants), soit de vous envoyer vers un site malveillant qui infectera votre ordinateur.
Les scarewares se propagent également par le biais de spams qui donnent de faux avertissements ou tentent d'inciter les gens à acheter des services inutiles ou préjudiciables.
#3. Pretexte
Le faux-semblant est une autre forme d'attaque d'ingénierie sociale qui se produit lorsqu'un attaquant obtient des informations par le biais d'une succession de mensonges soigneusement conçus. Quelqu'un qui prétend avoir besoin des informations sensibles de la victime pour accomplir une tâche importante commence généralement l'escroquerie.
L'agresseur commence souvent par se faire passer pour un collègue, un agent des forces de l'ordre, un banquier ou un agent des impôts, ou toute personne ayant le droit de savoir. L'imposteur pose des questions qui semblent nécessaires pour vérifier l'identité de la victime, mais elles sont en réalité utilisées pour obtenir des informations personnelles importantes.
Cette escroquerie collecte toutes sortes d'informations et d'enregistrements importants, tels que les numéros de sécurité sociale, les adresses et numéros de téléphone personnels, les enregistrements téléphoniques, les dates de vacances du personnel, les relevés bancaires et même des informations sur la sécurité d'une usine réelle.
#4. Hameçonnage
Les escroqueries par hameçonnage sont des campagnes par e-mail et SMS qui tentent de faire sentir aux gens qu'ils doivent agir rapidement, qu'ils sont curieux ou qu'ils ont peur. Il s'agit d'un type d'attaque d'ingénierie sociale très courant. Il les incite ensuite à divulguer des informations privées, à cliquer sur des liens vers des sites Web malveillants ou à ouvrir des pièces jointes contenant des logiciels malveillants.
Un exemple est un e-mail que les utilisateurs d'un service en ligne reçoivent lorsqu'ils enfreignent une règle qui les oblige à faire quelque chose immédiatement, comme changer leur mot de passe. Il contient un lien vers un faux site Web qui ressemble presque exactement au vrai. Ce faux site Web demande à l'utilisateur d'entrer ses informations de connexion actuelles et un nouveau mot de passe. Les informations sont envoyées à l'attaquant lors de l'envoi du formulaire.
Étant donné que les schémas de phishing envoient le même message ou presque à tous les utilisateurs, il est beaucoup plus facile pour les serveurs de messagerie qui ont accès aux plates-formes de partage de menaces de les trouver et de les arrêter.
Lire aussi: Consultants en cybersécurité : aperçu et meilleurs fournisseurs en 2023
Protégez-vous de l'ingénierie sociale
Dans les attaques d'ingénierie sociale, l'attaquant tente d'accéder aux données ou aux services en établissant des relations avec des personnes dont il peut utiliser la confiance. Rester conscient est la première ligne de défense. L'agresseur pourrait essayer de vous parler d'une manière qui se transforme en questionnement. Mais la meilleure façon de vous protéger de l'ingénierie sociale est de savoir à qui vous pouvez faire confiance et d'être vous-même digne de confiance. Vous devez savoir qui peut accéder ou modifier votre compte et vous assurer qu'ils ont une bonne raison de le faire. Voici des moyens de vous protéger de l'ingénierie sociale.
#1. Expéditeurs inconnus (e-mails vs SMS)
Examinez attentivement l'adresse e-mail de l'expéditeur et le message lui-même. Il est important de savoir que vous n'avez pas à cliquer sur des liens vers des documents louches.
#2. Arrêtez de partager des informations personnelles
Avant de donner des informations personnelles comme des mots de passe et des numéros de carte de crédit, vous devriez y penser. Aucune entreprise ou personne réelle ne devrait jamais demander ce type d'informations privées. Utilisez des mots de passe difficiles à deviner et changez-les souvent. Si vous utilisez le même mot de passe pour plusieurs comptes, vous pourriez être la cible d'une attaque d'ingénierie sociale.
#3. Couches de sécurité
Chaque fois que vous le pouvez, utilisez la vérification avec deux facteurs. Il peut ajouter une couche de sécurité supplémentaire en demandant aux utilisateurs de saisir leur nom d'utilisateur, leur mot de passe et un code envoyé sur leur téléphone mobile. Configurez des codes de sécurité pour votre adresse e-mail et votre numéro de téléphone afin que si quelqu'un accède à l'un ou l'autre système, il ne puisse pas utiliser votre compte directement.
#4. Logiciel antivirus
Mettez un logiciel antivirus et anti-malware sur chaque gadget que vous possédez. Maintenez ces programmes à jour afin qu'ils puissent vous protéger contre les menaces les plus récentes. Mais si vous avez un logiciel antivirus chargé sur vos appareils, cela peut être une excellente défense contre l'ingénierie sociale.
#5. Soyez toujours conscient des risques
Vous devriez toujours penser aux risques. Assurez-vous que tout appel d'information est correct en le vérifiant deux fois, voire trois fois. Gardez un œil sur les actualités en matière de cybersécurité si une violation récente vous a causé du tort.
Exemple d'ingénierie sociale
Il existe de nombreux exemples d'ingénierie sociale dans l'actualité, mais en voici cinq pour vous donner une idée de son fonctionnement :
#1. Hôtel Marriott
À l'aide de méthodes d'ingénierie sociale, un groupe de piratage a volé 20 Go de données personnelles et financières dans un hôtel Marriott. Les pirates ont demandé à un employé de l'hôtel Marriott de leur donner accès à l'ordinateur de l'employé.
#2. Département américain du travail (DoL)
Il s'agissait d'un exemple d'attaque d'ingénierie sociale qui a volé des informations de connexion pour Office 365. L'attaque a été réalisée avec un hameçonnage intelligent, en utilisant de faux domaines qui ressemblaient exactement au vrai domaine DoL. Les e-mails semblaient provenir d'un cadre supérieur du DoL leur demandant de soumissionner pour un emploi au gouvernement. Lorsque l'employé a cliqué sur le bouton "Enchérir", il a été redirigé vers un site de "phishing", qui est utilisé pour voler des mots de passe.
#3. Utilisateurs Zoom
Une opération de phishing ciblant des employés a touché au moins 50,000 XNUMX personnes. Les ingénieurs sociaux ont utilisé la peur d'être licenciés pour amener les travailleurs à cliquer sur un lien pour organiser une réunion Zoom avec les RH. Lorsque l'employé a cliqué sur le lien, cela l'a amené à une fausse page de connexion Zoom qui a été configurée pour voler les mots de passe.
#4. FACC (avionneur autrichien)
La FACC a subi une perte d'environ 42 millions d'euros à la suite d'une escroquerie complexe de compromis de messagerie professionnelle (BEC). Le compte de messagerie du PDG de l'entreprise a été piraté et utilisé pour envoyer une demande « urgente » de transfert d'argent. Cet e-mail a trompé une personne qui travaillait dans les comptes fournisseurs, qui a accepté la demande et a envoyé l'argent au voleur.
#5. Rappel de crowdstrike
L'ingénierie sociale est si puissante que même les entreprises de sécurité le ressentent. Crowdstrike est maintenant utilisé comme une partie et un exemple dans le jeu de l'ingénierie sociale. Les escrocs envoient des e-mails de phishing aux travailleurs en utilisant le nom de confiance de Crowdstrike et d'autres sociétés de sécurité. L'e-mail contient des informations sur une éventuelle attaque de logiciel malveillant et un numéro de téléphone à appeler pour se débarrasser de tout logiciel malveillant installé. L'employé est amené à donner à l'attaquant l'accès à son ordinateur s'il atteint le numéro.
Lire aussi: QU'EST-CE QUE LA CYBERSÉCURITÉ ? Exemples, menace et importance
Conclusion
Pour vous protéger des menaces d'ingénierie sociale, vous devez apprendre à vous protéger. Puisque nous vous avons déjà parlé de certaines méthodes éprouvées et d'exemples d'attaques d'ingénierie sociale qui sont utilisées dans le monde depuis longtemps, assurez-vous de commencer à prendre des mesures immédiatement. Les attaques d'ingénierie sociale peuvent nuire à la carrière d'une personne en quelques secondes. Utilisez toujours deux codes de vérification de connexion pour protéger vos appareils, mots de passe et autres identifiants. C'est une autre mesure de sécurité.
Qu'est-ce que l'ingénierie sociale dans le cyber ?
Il s'agit d'un terme désignant toutes les méthodes utilisées pour inciter quelqu'un à donner des informations ou à faire quelque chose qu'il ne devrait pas faire.
Quelle est l'ingénierie sociale la plus courante ?
Les attaques les plus courantes sont :
- Attaques par Phishing.
- Piratage ciblé.
- Pêche à la baleine.
- À la fois smishing et vishing.
- appâter.
- Porter sur le dos/tailler.
- Le prétexte.
- (BEC) Compromis des e-mails professionnels
L'ingénierie sociale est-elle la plus grande menace ?
L'ingénierie sociale est un type d'attaque qui repose fortement sur le contact humain et consiste généralement à inciter les gens à enfreindre les procédures de sécurité normales et les meilleures pratiques pour obtenir un accès illégal à des systèmes, des réseaux, des lieux physiques ou pour gagner de l'argent.
Qui est la cible la plus probable de l'ingénierie sociale ?
Les personnes riches, connues ou occupant des postes de haut niveau sont le plus souvent la cible d'attaques d'ingénierie sociale. Les criminels s'en prennent aux gens qui ont beaucoup de pouvoir et d'accès.
Quelle est la meilleure défense contre l'ingénierie sociale ?
Les gens pensent que la meilleure façon d'arrêter les attaques d'ingénierie sociale est de former et d'éduquer les personnes qui travaillent pour une entreprise.
Qu'appelle-t-on également l'ingénierie sociale ?
Parce qu'elle cible les fragilités humaines plutôt que celles des systèmes technologiques ou numériques, l'ingénierie sociale est aussi appelée « piratage humain ». Cela est dû au fait que sa cible principale est les personnes vulnérables.
Bibliographie
Articles Relatifs
- GESTIONNAIRE D'INGÉNIERIE : définition, fonctions, salaire, logiciel et questions d'entrevue
- Piratage éthique : qu'est-ce que c'est et comment ça marche ?
- Prévention et récupération des portefeuilles Ethereum et des clés privées perdus
- E-MAIL SPOOFING : Comment le prévenir et l'arrêter
- TRAVAIL POSITIF : Signification, citations, affirmation et environnement
