Qu’est-ce que l’ingénierie sociale? | Attaques | La prévention


Avec passé la moitié de ma vie à travailler comme journaliste de cybersécurité, l’ingénierie sociale a été l’essentiel de mon travail. Maintenant je comprends! Vous devez tous vous demander «ingénierie sociale et cybersécurité? Cela ressemblait à quelque chose de soutien au travail social! Qu’est-ce que cela doit être avec la cybercriminalité? »

Ouais, vous avez déjà eu une attaque de malware en cliquant sur des pop-ups sournois lorsque vous surfez en ligne? Oui, c’est ça l’ingénierie sociale! Pas grand chose de support, ouais?

Avant de poursuivre, permettez-moi d’expliquer que l’ingénierie sociale est.

Qu’est-ce que l’ingénierie sociale?

L’ingénierie sociale est connue comme l’art de manipuler psychologiquement quelqu’un pour renoncer à ses informations personnelles. Un ingénieur social travaille pour exploiter la nature humaine fondamentale et joue sur l’instinct de la victime.

C’est la méthode de piratage la plus populaire parmi les criminels car il est beaucoup plus facile de manipuler les faiblesses de quelqu’un plutôt que de l’envahir dans un système logiciel.

Comment un ingénieur social peut-il opérer sur vous?

Avec cela établi que l’ingénierie sociale fonctionne en jouant avec l’instinct général d’une personne, la matière à réflexion ici est de savoir comment un ingénieur social peut orchestrer une attaque?

Rappelez-vous le célèbre film “la piqûre”? L’escroquerie à deux (les hommes de confiance) cherche des moyens d’arnaquer un gangster multimillionnaire (Mark)?

Les deux orchestrent un plan élaboré où ils utilisent les informations générales qu’ils connaissaient sur le gangster. Ils ont ensuite utilisé ces informations pour gagner sa confiance à travers diverses bouffonneries.

Les films jouent à Mark en faisant confiance aux deux escrocs, et les deux escrocs finissent par le finir par l’arnaquer.

De même, comme décrit dans le film, c’est exactement comment un ingénieur social travaille à travers certaines tactiques pour organiser une attaque. Le premier et le plus important travail requis est de rechercher et de rassembler des informations sur la cible.

Comme ces attaques visent généralement de grandes entreprises, la planification commence par des recherches sur la structure des employés de l’entreprise, les affaires internes, le fonctionnement de l’entreprise, les partenaires commerciaux, les actionnaires ainsi que d’autres informations..

Un autre moyen pour un ingénieur social de s’infiltrer dans une entreprise est d’étudier et d’observer ses employés au niveau du sol tels que les agents de sécurité ou les réceptionnistes.

Les pirates peuvent également les rechercher sur les réseaux sociaux et obtenir toutes leurs informations personnelles ainsi qu’étudier leur comportement en ligne et en personne.

Ces informations sont ensuite utilisées pour découvrir les failles et vulnérabilités pouvant être utilisées pour mener l’attaque.

Ces attaques peuvent être utilisées pour trouver des informations de carte de débit, des détails de compte bancaire et d’autres informations sensibles ou elles peuvent être utilisées pour accéder à des systèmes et réseaux sécurisés.

6 visages d’une attaque d’ingénierie sociale

Une attaque d’ingénierie sociale se produit de différentes manières et peut se produire partout où il y a une interaction humaine. Ici, j’ai mentionné six types d’attaques d’ingénierie sociale pour vous permettre d’identifier facilement les attaques possibles:

1. Phishing

Le phishing est la méthode la plus utilisée et s’adresse à un large public cible. Cela implique d’envoyer des e-mails avec une fausse ou une adresse e-mail assez légitime. Il peut également contenir ce qui ressemble à une information authentique sur l’entreprise.

L’e-mail peut contenir un lien, un document ou des fichiers contenant des logiciels malveillants qui infectent l’appareil dès que l’utilisateur clique dessus. Les attaques de phishing sont utilisées pour obtenir des informations sensibles sur l’utilisateur telles que les informations de carte de crédit, les noms d’utilisateur, les mots de passe, les détails du compte bancaire, etc..

2. Spear Phishing

Cette technique implique de cibler une personne ou une entreprise spécifique. Le hacktiviste rédige ensuite les courriels en fonction des caractéristiques, des descriptions de poste et des contacts de la victime afin que l’attaque semble prétentieuse.

Le spear phishing est relativement technique et nécessite beaucoup de travail de la part de la personne qui doit réussir cette attaque. Parfois, cela peut prendre des semaines ou des mois pour être approfondi. Ces attaques, si elles sont menées avec habileté, sont difficiles à détecter et réussissent souvent..

Un exemple de hameçonnage peut être un pirate se faisant passer pour le PDG d’une entreprise. Il pourrait créer un e-mail pour le faire ressembler à un e-mail du PDG et l’envoyer au chef du service financier exigeant le transfert d’argent sur un faux compte.

L’e-mail est soigneusement conçu pour le rendre original, ce qui nécessite beaucoup de temps et de travail.

3. Vishing

Il s’agit de la version vocale du phishing. Le travail ici n’est pas nécessairement en ligne et se fait par messagerie vocale, VoIP (Voice over IP) ou par ligne fixe ou téléphone portable.

Le but ici est le même alors qu’il existe une différence de méthodes. Tout comme le phishing, il est utilisé pour extraire les informations sensibles d’une victime.

Un scénario de vishing peut continuer avec une victime recevant un message vocal, stipulant qu’une activité suspecte a eu lieu dans le compte de carte de crédit, le compte bancaire, etc..

Il est demandé à la victime d’appeler un numéro spécifique où il lui est demandé de fournir davantage d’informations au nom de la «vérification d’identité» ou «de s’assurer que la fraude n’a pas eu lieu».

Vishing est particulièrement introuvable et est souvent effectué sur des numéros étrangers, ce qui rend les forces de l’ordre impuissantes.

4. Prétexte

Une série de mensonges soigneusement conçus sont utilisés pour appliquer cette méthode. La victime est menti à l’agresseur pour obtenir des informations personnelles.

Le prétexte commence par gagner la confiance de la victime en agissant en tant que collègue, agent de banque, officier de police ou toute personne d’autorité sur laquelle une personne peut compter.

Des questions apparemment essentielles qui sont nécessaires pour confirmer l’identité d’une personne sont posées, ce qui conduit la victime à fournir la plupart des données cruciales.

Grâce à cette arnaque, l’attaquant parvient à acquérir toutes sortes d’informations pertinentes telles que le numéro de sécurité sociale, les coordonnées bancaires, les adresses personnelles, les informations de sécurité, etc..

5. Appâtage

Avez-vous déjà pêché? Oui, en attrapant un poisson, vous lancez la chaîne avec un ver et attendez que le poisson vienne. C’est précisément ce que l’appâtage.

De même, dans le cyber-monde, l’appâtage, comme son nom l’indique, utilise de fausses promesses pour attirer l’intérêt d’une personne. Une fois que le criminel parvient à saisir leurs intérêts, il continue de les attirer et de les attraper dans un site Web qui vole leurs informations personnelles ou les infecte avec des logiciels malveillants.

En général, les criminels utilisent les médias physiques pour répandre les logiciels malveillants. C’est la forme d’appâtage la plus grossière. Une clé USB ou une clé USB infectée par un logiciel malveillant est laissée autour, à un endroit bien en vue où une victime est obligée de la croiser.

Il peut être dans une salle de bain, un ascenseur, un parking d’une entreprise victime, etc. L’ingénieur fabrique l’appât pour qu’il soit accrocheur et authentique, car sa fonction principale est d’attirer une victime.

Il peut s’agir d’une étiquette présentant une liste d’employés devant bénéficier d’une promotion ou la liste de paie de l’entreprise, etc. la victime, par curiosité, attrape l’appât et l’insère dans un ordinateur. Une fois que la victime pénètre dans le lecteur flash ou l’USB, elle a commencé à télécharger et à installer le malware et de cette façon, l’attaque par appât est réussie.

Un autre moyen d’appâtage est la méthode en ligne. Cela implique qu’une victime clique sur des publicités accrocheuses ou des liens contextuels qui conduisent à l’infection de logiciels malveillants ou au vol d’informations.

6. Scareware

La méthode du scareware implique à nouveau des mensonges. La victime reçoit continuellement des avertissements de fausses alarmes et de menaces de contrefaçon. Cela lui fait croire que l’ordinateur a un logiciel malveillant ou du contenu illégal téléchargé.

Le pirate fournit alors à la victime une solution qui résoudrait par inadvertance le faux problème. Cependant, cette «solution» proposée à la victime est, en réalité, un malware que l’utilisateur installe.

Les attaques de scareware se présentent généralement sous la forme de fenêtres contextuelles que vous trouvez souvent en ligne avec des textes effrayants tels que «votre appareil peut être infecté». Ces pop-ups proposent de télécharger un outil qui est en réalité un malware diffusé pour infecter votre appareil.

L’outil peut également être une application inutile, et l’utilisateur ne reçoit que ses invites pour qu’il le télécharge et qu’il ait la possibilité de voler ses données.

Outre les liens contextuels, les logiciels malveillants se propagent également à propos de l’utilisation de courriers indésirables contenant des avertissements faux ou invitant les utilisateurs à acheter des services inutiles ou nuisibles..

5 façons de prévenir l’ingénierie sociale

Les attaques d’ingénierie sociale sont très répandues de nos jours, c’est pourquoi il est quelque peu crucial d’essayer de s’en protéger. J’ai pris la liberté de compiler une liste de moyens qui peuvent vous aider à rester à l’abri des attaques d’ingénierie sociale:

Utiliser un antivirus / anti-malware mis à jour

Un logiciel antiviral et anti-malware aide à protéger votre appareil. Cependant, il est particulièrement important de maintenir votre logiciel antiviral et anti-malware à jour avec des mises à jour régulières.

Si l’utilisateur met régulièrement à jour le logiciel, il offre une meilleure protection. Vous devez également analyser régulièrement votre appareil pour rester encore plus protégé.

N’ouvrez pas les e-mails de sources inconnues

Les e-mails sont la passerelle la plus fréquente vers les attaques d’ingénierie sociale. Il vaut mieux rester vigilant et éviter les courriels ou les pièces jointes provenant de ressources non découvertes.

L’usurpation d’adresse électronique est très courante. C’est pourquoi il vaut mieux ne pas répondre aux e-mails inconnus ou ouvrir les pièces jointes envoyées par eux. Il est préférable de recouper le message reçu des ressources cachées.

En outre, il est préférable de rester vigilant et de ne pas ouvrir de pièces jointes qui vous semblent suspectes car elles peuvent contenir des logiciels malveillants ou des virus.

Restez éduqué et éduquez

Nous vivons dans un monde en évolution rapide qui évolue continuellement. Avec les progrès dans tous les domaines, les méthodes de piratage reçoivent également des mises à jour fréquentes. Dans cet esprit, il est préférable de rester à jour avec les promotions.

De plus, comme les attaques d’ingénierie sociale peuvent également viser les entreprises, il est préférable de former votre personnel. Cela peut permettre au personnel de rester vigilant et votre entreprise reste protégée.

Prenez soin de votre vie privée

Soyez prudent avant de répondre aux demandes de mots de passe ou d’autres informations personnelles. Il est préférable de rechercher la source avant de répondre.

Les sources qui demandent des mots de passe ou d’autres informations personnelles sont souvent des arnaques. Par conséquent, il est préférable de s’en éloigner ou de vérifier les ressources avant de répondre.

Méfiez-vous des offres d’aide

Les ingénieurs sociaux peuvent souvent se faire passer pour des personnes du support technique pour envahir votre appareil avec des logiciels malveillants ou voler vos informations personnelles. Parfois, ils peuvent demander votre aide pour obtenir des informations ou offrir de l’aide..

Si vous n’avez pas demandé d’aide, il vaut mieux ne pas répondre à de telles demandes. Il est également sûr de revérifier à partir d’une source fiable. Faites vos recherches avant d’envoyer des informations personnelles.

Bien conscient maintenant?

Maintenant que vous avez reçu des informations éclairantes sur les conseils de prévention, il vaut mieux éviter ces attaques. Vous pouvez maintenant commencer par travailler sur les conseils de prévention pour rester le plus en sécurité possible! La confidentialité est particulièrement cruciale dans ce travail, et vous devriez travailler sur la façon de la protéger.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map