L’ingénierie sociale encore appelé en anglais Social engineering est l’art de manipuler les gens pour qu’ils renoncent à des informations confidentielles. Les types d’informations recherchés par ces criminels peuvent varier, mais sont ciblés, les criminels essaient généralement de vous inciter à leur donner vos mots de passe ou vos informations bancaires, ou exploiter à votre ordinateur pour installer secrètement des logiciels malveillants, ce qui leur donne accès à vos mots de passe et informations bancaires ainsi que leur donner le contrôle de votre ordinateur.
Les criminels utilisent des tactiques d’ingénierie sociale car il est généralement plus facile d’exploiter votre inclination naturelle à la confiance que de découvrir des moyens de pirater votre logiciel. Par exemple, il est beaucoup plus facile de tromper quelqu’un en vous donnant son mot de passe que d’essayer de pirater son mot de passe (sauf si le mot de passe est vraiment faible).
La sécurité consiste à savoir à qui et à quoi faire confiance. Il est important de savoir quand et quand ne pas croire une personne au mot et quand la personne avec qui vous communiquez est celle qu’elle prétend être. Il en va de même pour les interactions en ligne et l’utilisation du site Web: quand pensez-vous que le site Web que vous utilisez est légitime ou peut fournir vos informations en toute sécurité?
Demandez à n’importe quel professionnel de la sécurité et il vous dira que le maillon le plus faible de la chaîne de sécurité est l’humain qui accepte une personne ou un scénario à sa valeur nominale. Peu importe le nombre de serrures et de pênes dormants sur vos portes et fenêtres, ou si vous avez des chiens de garde, des systèmes d’alarme, des projecteurs, des clôtures avec des barbelés et du personnel de sécurité armé; si vous faites confiance à la personne à la porte qui dit être le livreur de pizza et que vous la laissez entrer sans vérifier au préalable s’il est légitime, vous êtes complètement exposé au risque qu’il représente.
À quoi ressemble une attaque de l’ingénierie sociale?
Courriel d’un ami
Si un criminel parvient à pirater ou à créer socialement le mot de passe d’une personne, il a accès à la liste de contacts de cette personne – et parce que la plupart des gens utilisent un mot de passe partout, ils ont probablement également accès aux contacts de réseau social de cette personne.
Une fois que le criminel a ce compte de messagerie sous son contrôle, il envoie des courriels à tous les contacts de la personne ou laissent des messages sur toutes les pages sociales de son ami, et éventuellement sur les pages des amis de l’ami de la personne.
Profitant de votre confiance et de votre curiosité, ces messages sont utilisés:
Contenir un lien que vous n’avez qu’à vérifier – et que le lien provient d’un ami et que vous êtes curieux, vous ferez confiance au lien et cliquez – et serez infecté par un logiciel malveillant afin que le criminel puisse prendre le contrôle de votre machine et récupérez vos informations de contacts et les tromper comme si vous étiez trompé.
Contient un téléchargement d’images, de musique, de film, de document, etc., contenant un logiciel malveillant. Si vous téléchargez – ce que vous êtes susceptible de faire car vous pensez que cela vient de votre ami – vous êtes infecté. Désormais, le criminel a accès à votre machine, à votre compte de messagerie, à vos comptes et contacts sur les réseaux sociaux, et l’attaque se propage à tous ceux que vous connaissez. Et ainsi de suite.
Courriel d’une autre source fiable
Les attaques de phishing sont un sous-ensemble de la stratégie d’ingénierie sociale qui imite une source fiable et concocte un scénario apparemment logique pour la transmission d’informations de connexion ou d’autres données personnelles sensibles. Selon les données Webroot. Les institutions financières représentent la grande majorité des entreprises usurpées et, selon le rapport annuel d’investissement sur les violations de données de Verizon, les attaques d’ingénierie sociale, y compris le phishing et le prétexte (voir ci-dessous), sont responsables de 93% des violations de données réussies.
En utilisant une histoire ou un prétexte convaincant, ces messages peuvent:
Demandez votre aide de toute urgence. Votre «ami» est coincé dans le pays X, a été volé, battu et est à l’hôpital. Ils ont besoin que vous envoyiez de l’argent pour qu’ils puissent rentrer chez eux et qu’ils disent comment envoyer de l’argent au criminel.
Utilisez des tentatives de phishing avec un arrière-plan qui semble
légitime. En général, un hameçonneur règle un e-mail, un message instantané, un commentaire ou un message texte qui semble provenir d’une entreprise, d’une banque, d’une école ou d’une institution légitime et populaire.
Demandez-vous de faire un don à leur organisme de bienfaisance ou à une autre cause. Probablement avec des instructions sur la façon d’envoyer de l’argent au criminel. Méchant sur la gentillesse et la générosité, ces hameçonneurs de l’aide ou du soutien pour tout désastre, campagne politique ou charité qui leur tient à cœur.
Présentez un problème qui vous oblige à «vérifier» vos informations en cliquant sur le lien affiché et en inscrits des informations dans leur formulaire. L’emplacement du lien peut sembler très légitime avec tous les bons logos et contenus (en fait, les criminels peuvent avoir copié le format et le contenu exacts du site légitime). Parce que tout semble légitime, vous faites confiance à l’e-mail et au faux site et fournissez toutes les informations que l’escroc demande. Ces types d’escroqueries par hameçonnage nécessitent souvent un avertissement sur ce qui se passera si vous n’agissez pas rapidement, car les criminels savent que s’ils peuvent vous amener à agir avant que vous ne réfléchissiez, vous êtes plus susceptible de tomber dans le piège de leur tentative de phishing.
vous informer que vous êtes un «gagnant». Peut-être que l’e-mail prétend provenir d’une loterie, ou d’un parent décédé, ou de la millionième personne à cliquer sur son site, etc. Afin de vous donner vos «gains», vous devez fournir des informations sur le routage de votre banque afin qu’ils sachent comment envoyer le vous ou donnez votre adresse et votre numéro de téléphone afin qu’ils puissent envoyer le prix, et vous pouvez également être invité à prouver qui vous êtes souvent en incluant votre numéro de sécurité sociale. Ce sont les «hameçonnages par avidité» où même si le prétexte de l’histoire est mince, les gens veulent ce qui est offert et tombent sous le charme en donnant leurs informations, puis en se faisant vider leur compte bancaire et en vol d ‘ identité.
Posez-vous en tant que patron ou collègue. Il peut demander une mise à jour sur un projet propriétaire important sur lequel votre entreprise travaille actuellement, des informations de paiement relatives à une carte de crédit d’entreprise ou une autre demande se faisant passer pour des activités quotidiennes.
Scénarios d’appâtage
Ces schémas d’ingénierie sociale savent que si vous suspendez quelque chose que les gens veulent, beaucoup de gens prendront l’appât. Ces schémas se trouvent souvent sur des sites Peer-to-Peer proposant le téléchargement de quelque chose comme un nouveau film ou de la musique. Mais les schémas se trouvent également sur les sites de réseaux sociaux, les sites Web malveillants que vous trouvez dans les résultats de recherche, etc.
Ou bien, le système peut apparaître comme une très bonne affaire sur les sites classés, les sites d’enchères, etc. Pour dissiper vos soupçons, vous pouvez voir que le vendeur a une bonne note (tout est planifié et conçu à l’avance ).
Les personnes qui prennent l’appât peuvent être infectées par des logiciels malveillants qui peuvent générer un nombre illimité de nouveaux exploits contre elles-mêmes et leurs contacts, peuvent perdre leur argent sans recevoir l’article acheté et, si elles ont été assez stupides pour payeur avec un chèque, peuvent trouver leur compte bancaire est vide.
Réponse à une question que vous n’avez jamais posée.
Les criminels peuvent prétendre répondre à votre demande d’aide de la part d’une entreprise tout en offrant davantage d’aide. Ils choisissent des entreprises que des millions de personnes utilisent, comme une société de logiciels ou une banque. Si vous n’utilisez pas le produit ou le service, vous ignorerez l’e-mail, l’appel téléphonique ou le message, mais si vous utilisez le service, il y a de fortes chances que vous répondiez car vous avez probablement besoin d ‘ aide pour résoudre un problème.
Par exemple, même si vous savez que vous n’avez pas posé de question à l’origine, vous avez probablement un problème avec le système d’exploitation de votre ordinateur et vous saisissez cette opportunité pour le réparer. Pourboire! Au moment où vous répondez, vous avez acheté l’histoire de l’escroc, leur avez donné votre confiance et vous êtes ouvert à l’exploitation.
Le représentant, qui est en fait un criminel, devra « vous authentifier », vous avoir connecté à « son système » ou vous demander de vous connecter à votre ordinateur et de lui donner un accès à distance à votre ordinateur afin qu’il peut le « réparer’ ‘pour vous, ou vous indiquez les commandes afin que vous puissiez résoudre le problème vous-même avec leur aide – où certaines des commandes qu’ils vous disent ouvriront un moyen le criminel de revenir dans votre ordinateur plus tard.
Créer la méfiance:
Une certaine ingénierie sociale consiste à créer la méfiance ou à déclencher des conflits; ceux-ci sont souvent réalisés par des personnes que vous connaissez et qui sont en colère contre, mais cela est également fait par des personnes méchantes qui essaient simplement de faire des ravages, des personnes qui veulent d’abord créer la méfiance dans votre esprit à pour des autres afin de pouvoir ensuite intervenir en tant que héros et gagner votre confiance, ou par des extorqueurs qui veulent manipuler des informations et ensuite vous menacer de divulgation.
Cette forme d’ingénierie sociale commence souvent par accéder à un compte de messagerie ou à un autre compte de communication sur un client de messagerie instantanée, un réseau social, un chat, un forum, etc. Ils accomplissent cela soit par piratage, ingénierie sociale , soit simplement en devinant des mots de passe vraiment faible.
-La personne malveillante peut alors modifier les communications sensibles ou privées (y compris les images et l’audio) en utilisant des techniques d’édition de base et les transmettre à d’autres personnes pour créer un drame, de la méfiance, de l ’embarras, etc. Elles peuvent donner l’impression d’avoir été envoyées accidentellement, ou apparaître comme s’ils vous intéressent savoir ce qui se passe «vraiment».
-Alternative, ils peuvent utiliser le matériel modifié pour extorquer de l’argent à la personne qu’ils ont piratée ou au destinataire supposé.
Il existe littéralement des milliers de variantes des attaques d’ingénierie
sociale. L’imagination du criminel est la seule limite au nombre de façons
dont ils peuvent socialement ingénier les utilisateurs grâce à ce type
d’exploit. Et vous pouvez rencontrer plusieurs formes d’exploits en une seule
attaque. Ensuite, le criminel est susceptible de vendre vos informations à
d’autres afin qu’eux aussi puisse exploiter leurs exploits contre vous, vos
amis, les amis de vos amis, etc., car les criminels tirent parti de la
confiance déplacée des gens.
Ne deviens pas une victime
Alors que les attaques de phishing sont endémiques, de courte durée et ne nécessitent que quelques utilisateurs pour se lancer dans une campagne réussie, il existe des méthodes pour vous protéger. La plupart ne nécessitent pas beaucoup plus que de simplement prêter attention aux détails devant vous. Gardez les points suivants à l’esprit pour éviter d’être vous-même victime de phishing.
Conseils à retenir:
- Ralentissez. Les spammeurs veulent que vous agissiez en premier et que vous réfléchissiez plus tard. Si le message exprime un sentiment d’urgence ou utilisez des tactiques de vente à haute pression, soyez sceptique; ne laissez jamais leur urgence influencer votre examen attentif.
- Recherchez les faits. Méfiez-vous des messages non sollicités. Si l’e-mail semble provenir d’une entreprise que vous utilisez, faites vos propres recherches. Utilisez un moteur de recherche pour accéder au site réel de l’entreprise ou un annuaire téléphonique pour trouver son numéro de téléphone.
- Ne laissez pas un privilège contrôler votre destination. Gardez le contrôle en vous-même le site Web à l’aide d’un moteur de recherche pour être sûr que vous atterrissez là où vous avez l’intention d’atterrir. Le survol des liens dans les e-mails affichera l’URL réelle en bas, mais un bon faux peut toujours vous induire en erreur.
- Le détournement d’e-mails est endémique. Les pirates informatiques, les spammeurs et les ingénieurs sociaux qui prennent le contrôle des comptes de messagerie (et d’autres comptes de communication) sont devenus monnaie courante. Une fois qu’ils contrôlent un compte de messagerie, ils s’appuient sur la confiance des contacts de la personne. Même lorsque l’éditeur semble être quelqu’un que vous connaissez, si vous n’attendez pas un e-mail avec un lien ou une pièce jointe, vérifiez auprès de votre ami avant d’ouvrir des liens ou de télécharger.
- Méfiez-vous de tout téléchargement. Si vous ne connaissez pas l’expérience personnelle et attendez un fichier de sa partie, téléchargez quoi que ce soit une erreur.
- Les offres étrangères sont fausses. Si vous recevez un e-mail d’une loterie ou d’un tirage au sort étranger, de l’argent d’un parent inconnu ou des demandes de transfert de fonds d’un pays étranger pour une partie de l’argent, il est garanti qu’il s’agit d’une arnaque.
Façons de vous protéger:
- Supprimez toute demande d’informations financières ou de mots de passe. Si vous êtes invité à répondre à un message avec des informations personnelles, c’est une arnaque.
- Rejetez les demandes d’aide ou les offres d’aide. Les entreprises et organisations légitimes ne vous contactent pas pour vous aider. Si vous n’avez pas demandé l’assistance de l’expéditeur, envisagez toute offre visant à «aider» à restaurer les cotes de crédit, à raffiner une maison, à répondre à votre question, etc., une arnaque. De même, si vous recevez une demande d’aide d’un organisme de bienfaisance ou d’une organisation avec laquelle vous n’avez pas de relation, supprimez la. Pour donner, cherchez par vous-même des organisations caritatives réputées pour éviter de tomber dans une arnaque.
- Réglez vos filtres anti-spam sur haut. Chaque programme de messagerie dispose de filtres anti-spam. Pour trouver le vôtre, regardez vos options de paramètres et définissez les sur Élevé. N’oubliez pas de vérifier régulièrement votre dossier spam pour voir si des e-mails légitimes et ont été accidentellement piégés. Vous pouvez également rechercher un guide étape par étape pour configurer vos filtres anti-spam en recherchant le nom de votre fournisseur de messagerie ainsi que l’expression «filtres anti-spam».
- Sécurisez vos appareils informatiques. Installer un logiciel antivirus, des pare-feu, des filtres de messagerie et maintenez les à jour. Configurez votre système d’exploitation pour qu’il se mette à jour automatiquement, et si votre smartphone ne se met pas à jour automatiquement, mettez le à jour avant chaque fois que vous recevez un avis à cet effet. Utilisez un outil anti hameçonnage proposé par votre navigateur Web ou par un tiers pour vous alerter des risques.