Cet article a été traduit automatiquement.
Contrairement aux tentatives de piratage typiques qui se concentrent sur les vulnérabilités des systèmes informatiques, les attaques reposent sur la tromperie et la manipulation psychologique des personnes, social engineering s'appuient sur la tromperie et la manipulation psychologique des personnes. Les victimes remettent des informations sensibles ou l'accès à un système. Ils peuvent ne se rendre compte de leur erreur que quelques jours, quelques semaines, voire quelques mois plus tard.
Qu'est-ce que l'ingénierie sociale ?
Les utilisateurs de technologies savent qu'ils doivent protéger les informations sensibles des personnes extérieures. Mais lors d'une attaque social engineering, ils sont amenés à faire confiance à une personne, une entité ou une pièce de matériel afin qu'un hacker puisse exploiter cette confiance et accéder aux systèmes.
Le terme "social" fait référence à la partie humaine de cette attaque. Les êtres humains sont généralement confiants, et nous voulons que les autres nous apprécient. Nous avons également tendance à nous incliner devant ceux qui détiennent l'autorité. Un hacker utilise ces caractéristiques contre nous lors d'une attaque social engineering.
Nous examinerons des exemples dans un instant. Mais pour l'instant, décrivons les étapes que suivent généralement les pirates pour mener à bien une attaque de ce type. Votre agresseur va :
- Préparez-vous. Votre hacker peut rechercher une cible spécifique au sein de votre organisation. Ou bien le site hacker recherche les failles dans l'agencement de votre bureau ou de vos plateformes numériques. Ensuite, le site hacker détermine la meilleure approche d'attaque.
- Capture. Le site hacker lance l'attaque et espère inspirer la confiance. La victime est attirée et le vrai danger commence.
- Complétez. Le site hacker met fin à l'attaque et cache toutes les preuves.
Aucune lumière ne s'allume ni aucune cloche ne sonne lorsque vous êtes victime d'une attaque sur le site social engineering. Au lieu de cela, le site hacker vole silencieusement les données et disparaît dans la vapeur.
8 exemples d'attaques par ingénierie sociale
Nous avons décrit comment ou pourquoi les gens peuvent lancer des attaques sur social engineering. Mais à quoi ressemble-t-il vraiment et comment fonctionne-t-il ? Voyons quelques descriptions et exemples concrets.
1. Appât
Votre hacker vous fait une fausse promesse, et vous êtes en quelque sorte encouragé à En savoir plus ou à en profiter. Lorsque vous le faites, le hacker lancer malware qui infecte soit votre terminal, soit le serveur de votre entreprise.
Un pirate nord-coréen a utilisé cette technique contre des chercheurs en sécurité américains en mars 2021. Le pirate a créé un site web pour une fausse société de sécurité. Les images et les annonces étaient truffées de malware. Les attaquants ont ensuite créé de faux comptes de médias sociaux et encouragé les chercheurs à acheter des produits sur le nouveau site à des prix réduits.
Les terminaux physiques, tels que les lecteurs flash et les disques, peuvent également faire partie d'une escroquerie par appât. Une entreprise peut vous remettre un terminal et vous encourager à le brancher pour voir une image étonnante ou installer un logiciel gratuit. Mais le hacker's malware court à sa place.
2. Scareware (logiciel d'épouvante)
Imaginez la situation : Vous visitez un site web et une fenêtre contextuelle apparaît. IT lit : "Votre ordinateur est infecté ! Appuyez sur ce bouton maintenant, ou vous perdrez toutes vos données !" Vous avez rencontré un scareware.
Lors d'une telle attaque, les intrus utilisent la peur et la surprise pour vous inciter à agir sans trop réfléchir. Cela pourrait entraîner une infection généralisée. Cette tactique est également appelée :
- Scareware (logiciel d'épouvante)
- Scareware de tromperie
- Fraudware
3. Prétextat
L'attaque commence par une conversation qui semble légitime. Le message provient d'une adresse que vous reconnaissez et vous y répondez sans réfléchir.
Par exemple, un a reçu une facture. L'adresse de l'expéditeur ressemblait à celle de l'assistante de direction. Le cadre a donc payé la facture sans penser à l'informatique. Plus tard, son comptable l'a informée que la facture n'était pas légitime et qu'elle provenait d'un pirate informatique.
Dans d'autres versions de cette attaque, les victimes reçoivent des appels téléphoniques de pirates qui se font passer pour des banquiers, des représentants des forces de l'ordre ou d'autres figures d'autorité. Une période de questions-réponses s'ensuit et les victimes communiquent toutes leurs données personnelles. Il est important de noter que ce type d'attaque peut être complètement évité si la victime rappelle la personne supposée en utilisant un numéro de téléphone provenant d'une source fiable.
4. hameçonnage
hameçonnage est une autre attaque courante sur social engineering.
L'e-mail lance souvent l'attaque. La note semble officielle et les TI peuvent inclure des logos et des adresses d'entreprises légitimes. Des liens parsèment le texte, et le fait de les toucher permet de lancer malware. les pirates raccourcissent ou déguisent leurs liens, de sorte qu'il est difficile pour les victimes de déceler la supercherie.de sorte qu'il est difficile pour les victimes de déceler la supercherie.
5. le spear phishing (également appelé whaling)
e-mail lancement cette attaque aussi. Mais les pirates choisissent le destinataire avec beaucoup de soin. Ils savent où la victime travaille, ce qu'elle fait et quels mots ou incitations la pousseront à agir. Il est presque impossible d'ignorer les messages personnalisés.
Les attaques de spear phishing sont mortelles lorsqu'elles sont développées correctement. En fait, 95 % de toutes les attaques réussies au niveau de l'entreprise sont des attaques de type "spear phishing ".
Voici un exemple concret. Un pirate informatique est entré en contact avec des chercheurs en sécurité et leur a demandé s'ils pouvaient collaborer à des travaux de recherche. Lorsque les experts ont donné leur accord, le pirate a envoyé "des documents de référence" truffés de liens malware .
6. Quid Pro Quo
Les attaquants proposent à leurs victimes des solutions à une menace qui n'existe pas. Les victimes sont effrayées et acceptent l'aide. Malheureusement, c'est à ce moment-là que l'attaque commence.
Une telle attaque social engineering vise les bénéficiaires de la sécurité sociale. Les victimes reçoivent un appel et croient parler à un fonctionnaire de la SSA. Le site hacker indique à la victime que des comptes ont été compromis. La victime doit fournir un numéro de sécurité sociale actif, une adresse, un âge et d'autres informations pour résoudre le problème.
Même l'administration officielle de la sécurité sociale ne peut empêcher cette escroquerie.
7. La queue de cheval
Il s'agit d'un formulaire en personne de social engineering attack. L'intrus suit simplement quelqu'un qui entre dans une zone sécurisée. Les victimes pensent que l'intrus est un autre employé autorisé. Souvent, la victime tient même la porte ouverte à l'agresseur.
Une fois la personne à l'intérieur du bâtiment, l'attaque se poursuit. L'intrus peut voler des équipements coûteux ou installer des équipements ou des logiciels malveillants dans les locaux. Et les employés peuvent ne pas arrêter les services informatiques, car ces derniers ont l'impression que l'attaquant a une raison d'être là.
8. Point d'eau
Un site hacker repère un site web légitime (tel qu'un site d'information) et y introduit une sorte de publicité qui conduit les visiteurs vers malware.
Cette attaque est appelée "watering hole," car le hacker n'a pas besoin de surveiller les technologies de l'information. Lorsque les outils sont construits, ils peuvent fonctionner indépendamment les uns des autres.
Comment prévenir une attaque d'ingénierie sociale
Il est impossible de traiter tous les cas d'erreur humaine. Tant que nous voudrons faire confiance à d'autres personnes et travailler avec elles, ce type d'attaque se poursuivra.
Mais vous pouvez former vos employés à cet effet :
- Recherche. Ne cliquez pas sur un message électronique provenant d'une source que vous ne connaissez pas. Si la note semble suspecte, envoyez le service informatique à IT. Ne connectez pas de matériel inconnu aux systèmes de l'entreprise.
- Protégez. Ne tenez pas la porte à des inconnus et verrouillez vos écrans lorsque vous vous éloignez de votre bureau. Ne jetez pas d'informations sensibles dans des endroits où elles pourraient être facilement récupérées. Utiliser l'authentification l'authentification multifactorielle pour toutes les applications sensibles. Organisez une formation trimestrielle sur l'ingénierie sociale et d'autres formulaires d'attaque.
- Suspect. Ne cliquez sur aucune publicité sur des sites Web suspects, y compris les fenêtres contextuelles. Vérifiez l'identité des personnes qui vous demandent de leur tenir la porte.
Les administrateurs peuvent verrouiller les autorisations et tenir le personnel à l'écart des sites web qui semblent dangereux. L'exécution régulière d'un logiciel antivirus et le renforcement du pare-feu peuvent également s'avérer utiles.
N'oubliez pas que les employés hors site ont également besoin d'une formation. Ils ne sont peut-être pas aussi bien informés des risques que vos employés sur place. Et ils peuvent adopter des comportements plus risqués à la maison.
Plus vous en saurez sur les menaces, mieux vous pourrez former votre personnel. Pour en savoir plus sur spear phishing et standard phishing dans notre blog !
Foire aux questions (FAQ)
Q : Existe-t-il un autre terme pour "social engineering?"
R : Oui ! Certains parlent d'attaque de partage excessif, de piratage social engineering et d'escroquerie social engineering pour décrire la menace.
Q : À quelle fréquence les pirates informatiques utilisent-ils les techniques social engineering?
R : Il s'agit d'un formulaire de piratage très courant. Il n'est pas nécessaire d'avoir de solides compétences en programmation pour commencer.
Q : Quelle est la victime idéale de social engineering?
R : un pirate informatique choisit généralement quelqu'un qui a accès à des données importantes ou précieuses. Parfois, les pirates choisissent des cadres supérieurs. Mais les assistants peuvent également disposer d'informations ou d'un accès aux ressources souhaitées par hacker.
Q : Pouvez-vous nous donner un exemple d'attaque social engineering?
R : En juillet 2020, un pirate informatique a contacté des employés de Twitter. Au fur et à mesure que l'attaque se déroulait, les employés ont donné accès aux outils internes de l'entreprise. Le pirate a ensuite pris le contrôle du compte Twitter de Prime et a exigé une rançon en bitcoins pour en libérer la propriété.
Q : Toutes les attaques social engineering sont-elles menées via les médias sociaux ?
A : Non. En fait, certains des exploits les plus efficaces sur le site social engineering sont réalisés en personne, en usurpant l'identité d'une personne et en la persuadant. Une personne portant l'uniforme adéquat et arborant un sourire radieux pourrait, par exemple, vous inciter à confier votre ordinateur à "pour qu'il soit réparé."
Références
Google : Les pirates nord-coréens ciblent à nouveau les chercheurs en sécurité. (mars 2021). Ordinateur en panne.
La star de Shark Tank Barbara Corcoran perd 388 700 dollars dans une escroquerie par hameçonnage. (février 2020), CBS News.
Comment la sécurité des réseaux vous aidera à protéger vos informations personnelles en ligne. EC-Council.
Les attaques d'ingénierie sociale les plus courantes. (août 2020), InfoSec.
Comment contrer les attaques de spear phishing (hameçonnage). (mars 2013). Networkworld.
Les pirates nord-coréens ciblent les chercheurs en sécurité avec des logiciels malveillants et des 0-Days. (janvier 2021). Ordinateur en panne.
Protégez-vous contre les escroqueries à la sécurité. Administration de la sécurité sociale.
Les travailleurs à distance sont plus exposés au risque de tromperie par ingénierie sociale et de cyberattaque. (Novembre 2020). La sécurité.
Le "pretexting" en cybersécurité : Pourquoi cette menace d'ingénierie sociale est dangereuse. EC-Council.
Twitter affirme que l'"ingénierie sociale" est à l'origine du piratage massif qui a visé des personnalités de premier plan telles que Barack Obama et Jeff Bezos. Voici en quoi consiste cette technique et comment l'éviter.. (juillet 2020). L'initié.
