Qu’est-ce que l’ingénierie sociale | Techniques d’attaque et méthodes de prévention

l'ingénierie sociale



L'ingénierie sociale encore appelé en anglais Social engineering est l'art de manipuler les
gens pour qu'ils renoncent à des informations confidentielles. Les types
d'informations recherchés par ces criminels peuvent varier, mais sont ciblés,
les criminels essaient généralement de vous inciter à leur donner vos mots de
passe ou vos informations bancaires, ou exploiter à votre ordinateur pour
installer secrètement des logiciels malveillants, ce qui leur donne accès à vos
mots de passe et informations bancaires ainsi que leur donner le contrôle de
votre ordinateur.

Les criminels utilisent des tactiques d'ingénierie sociale car il est
généralement plus facile d'exploiter votre inclination naturelle à la
confiance que de découvrir des moyens de pirater votre logiciel. Par exemple,
il est beaucoup plus facile de tromper quelqu'un en vous donnant son mot de
passe que d'essayer de pirater son mot de passe (sauf si le mot de passe est
vraiment faible).
La sécurité consiste à savoir à qui et à quoi faire confiance. Il est
important de savoir quand et quand ne pas croire une personne au mot et quand
la personne avec qui vous communiquez est celle qu’elle prétend être. Il en va
de même pour les interactions en ligne et l'utilisation du site Web: quand
pensez-vous que le site Web que vous utilisez est légitime ou peut fournir vos
informations en toute sécurité?

Demandez à n'importe quel professionnel de la sécurité et il vous dira que le
maillon le plus faible de la chaîne de sécurité est l'humain qui accepte une
personne ou un scénario à sa valeur nominale. Peu importe le nombre de
serrures et de pênes dormants sur vos portes et fenêtres, ou si vous avez des
chiens de garde, des systèmes d'alarme, des projecteurs, des clôtures avec des
barbelés et du personnel de sécurité armé; si vous faites confiance à la
personne à la porte qui dit être le livreur de pizza et que vous la laissez
entrer sans vérifier au préalable s'il est légitime, vous êtes complètement
exposé au risque qu'il représente.

À quoi ressemble une attaque de l'ingénierie sociale?

Courriel d'un ami

Si un criminel parvient à pirater ou à créer socialement le mot de passe d'une
personne, il a accès à la liste de contacts de cette personne – et parce que
la plupart des gens utilisent un mot de passe partout, ils ont probablement
également accès aux contacts de réseau social de cette personne.

Une fois que le criminel a ce compte de messagerie sous son contrôle, il
envoie des courriels à tous les contacts de la personne ou laissent des
messages sur toutes les pages sociales de son ami, et éventuellement sur les
pages des amis de l'ami de la personne.

Profitant de votre confiance et de votre curiosité, ces messages sont
utilisés:
Contenir un lien que vous n'avez qu'à vérifier – et que le lien
provient d'un ami et que vous êtes curieux, vous ferez confiance au lien et
cliquez – et serez infecté par un logiciel malveillant afin que le criminel
puisse prendre le contrôle de votre machine et récupérez vos informations de
contacts et les tromper comme si vous étiez trompé.
Contient un téléchargement d'images, de musique, de film, de document,
etc., contenant un logiciel malveillant. Si vous téléchargez – ce que vous
êtes susceptible de faire car vous pensez que cela vient de votre ami – vous
êtes infecté. Désormais, le criminel a accès à votre machine, à votre compte
de messagerie, à vos comptes et contacts sur les réseaux sociaux, et l'attaque
se propage à tous ceux que vous connaissez. Et ainsi de suite.

Courriel d'une autre source fiable


Les attaques de phishing sont un sous-ensemble de la stratégie
d'ingénierie sociale qui imite une source fiable et concocte un scénario
apparemment logique pour la transmission d'informations de connexion ou
d'autres données personnelles sensibles. Selon les données Webroot.

Les institutions financières représentent la grande majorité des entreprises
usurpées et, selon le rapport annuel d'investissement sur les violations de
données de Verizon, les attaques d'ingénierie sociale, y compris le phishing
et le prétexte (voir ci-dessous), sont responsables de 93% des violations de
données réussies.
En utilisant une histoire ou un prétexte convaincant, ces messages
peuvent:
Demandez votre aide de toute urgence. Votre «ami» est coincé dans le
pays X, a été volé, battu et est à l'hôpital. Ils ont besoin que vous envoyiez
de l'argent pour qu'ils puissent rentrer chez eux et qu'ils disent comment
envoyer de l'argent au criminel.
Utilisez des tentatives de phishing avec un arrière-plan qui semble
légitime.

En général, un hameçonneur règle un e-mail, un message instantané, un
commentaire ou un message texte qui semble provenir d'une entreprise, d'une
banque, d'une école ou d'une institution légitime et populaire.
Demandez-vous de faire un don à leur organisme de bienfaisance ou à une
autre cause.

Probablement avec des instructions sur la façon d'envoyer de l'argent au
criminel. Méchant sur la gentillesse et la générosité, ces hameçonneurs de
l'aide ou du soutien pour tout désastre, campagne politique ou charité qui
leur tient à cœur.
Présentez un problème qui vous oblige à «vérifier» vos informations en
cliquant sur le lien affiché et en inscrits des informations dans leur
formulaire.

L'emplacement du lien peut sembler très légitime avec tous les bons logos et
contenus (en fait, les criminels peuvent avoir copié le format et le contenu
exacts du site légitime). Parce que tout semble légitime, vous faites
confiance à l'e-mail et au faux site et fournissez toutes les informations que
l'escroc demande. Ces types d'escroqueries par hameçonnage nécessitent souvent
un avertissement sur ce qui se passera si vous n'agissez pas rapidement, car
les criminels savent que s'ils peuvent vous amener à agir avant que vous ne
réfléchissiez, vous êtes plus susceptible de tomber dans le piège de leur
tentative de phishing.
Informez-vous que vous êtes un «gagnant».  Peut-être que l'e-mail
prétend provenir d'une loterie, ou d'un parent décédé, ou de la millionième
personne à cliquer sur son site, etc. Afin de vous donner vos «gains», vous
devez fournir des informations sur le routage de votre banque afin qu'ils
sachent comment envoyer-le vous ou donnez votre adresse et votre numéro de
téléphone afin qu'ils puissent envoyer le prix, et vous pouvez également être
invité à prouver qui vous êtes souvent en incluant votre numéro de sécurité
sociale. Ce sont les «hameçonnages par avidité» où même si le prétexte de
l'histoire est mince, les gens veulent ce qui est offert et tombent sous le
charme en donnant leurs informations, puis en se faisant vider leur compte
bancaire et en vol d ‘ identité.
Posez-vous en tant que patron ou collègue. Il peut demander une mise à
jour sur un projet propriétaire important sur lequel votre entreprise
travaille actuellement, des informations de paiement relatives à une carte de
crédit d'entreprise ou une autre demande se faisant passer pour des activités
quotidiennes.

Scénarios d'appâtage

Ces schémas d'ingénierie sociale savent que si vous suspendez quelque chose
que les gens veulent, beaucoup de gens prendront l'appât. Ces schémas se
trouvent souvent sur des sites Peer-to-Peer proposant le téléchargement de
quelque chose comme un nouveau film ou de la musique. Mais les schémas se
trouvent également sur les sites de réseaux sociaux, les sites Web
malveillants que vous trouvez dans les résultats de recherche, etc.

Ou bien, le système peut apparaître comme une très bonne affaire sur les sites
classés, les sites d'enchères, etc. Pour dissiper vos soupçons, vous pouvez
voir que le vendeur a une bonne note (tout est planifié et conçu à l'avance ).
Les personnes qui prennent l'appât peuvent être infectées par des logiciels
malveillants qui peuvent générer un nombre illimité de nouveaux exploits
contre elles-mêmes et leurs contacts, peuvent perdre leur argent sans recevoir
l'article acheté et, si elles ont été assez stupides pour payeur avec un
chèque, peuvent trouver leur compte bancaire est vide.
Réponse à une question que vous n'avez jamais posée
Les criminels peuvent prétendre répondre à votre demande d'aide de la part
d'une entreprise tout en offrant davantage d'aide. Ils choisissent des
entreprises que des millions de personnes utilisent, comme une société de
logiciels ou une banque. Si vous n'utilisez pas le produit ou le service, vous
ignorerez l'e-mail, l'appel téléphonique ou le message, mais si vous utilisez
le service, il y a de fortes chances que vous répondiez car vous avez
probablement besoin d ‘ aide pour résoudre un problème.
Par exemple, même si vous savez que vous n'avez pas posé de question à
l'origine, vous avez probablement un problème avec le système d'exploitation
de votre ordinateur et vous saisissez cette opportunité pour le réparer.
Pourboire! Au moment où vous répondez, vous avez acheté l'histoire de
l'escroc, leur avez donné votre confiance et vous êtes ouvert à
l'exploitation.
Le représentant, qui est en fait un criminel, devra “ vous authentifier ”,
vous avoir connecté à “ son système ” ou vous demander de vous connecter à
votre ordinateur et de lui donner un accès à distance à votre ordinateur afin
qu ‘il peut le “ réparer' ‘pour vous, ou vous indiquez les commandes afin que
vous puissiez résoudre le problème vous-même avec leur aide – où certaines des
commandes qu'ils vous disent ouvriront un moyen le criminel de revenir dans
votre ordinateur plus tard.

Créer la méfiance

Une certaine ingénierie sociale consiste à créer la méfiance ou à déclencher
des conflits; ceux-ci sont souvent réalisés par des personnes que vous
connaissez et qui sont en colère contre, mais cela est également fait par des
personnes méchantes qui essaient simplement de faire des ravages, des
personnes qui veulent d'abord créer la méfiance dans votre esprit à pour des
autres afin de pouvoir ensuite intervenir en tant que héros et gagner votre
confiance, ou par des extorqueurs qui veulent manipuler des informations et
ensuite vous menacer de divulgation.
Cette forme d'ingénierie sociale commence souvent par accéder à un compte de
messagerie ou à un autre compte de communication sur un client de messagerie
instantanée, un réseau social, un chat, un forum, etc. Ils accomplissent cela
soit par piratage, ingénierie sociale , soit simplement en devinant des mots
de passe vraiment faible.
 -La personne malveillante peut alors modifier les communications
sensibles ou privées (y compris les images et l'audio) en utilisant des
techniques d'édition de base et les transmettre à d'autres personnes pour
créer un drame, de la méfiance, de l 'embarras, etc. Elles peuvent donner
l'impression d'avoir été envoyées accidentellement, ou apparaître comme s'ils
vous intéressent savoir ce qui se passe «vraiment».
 -Alternative, ils peuvent utiliser le matériel modifié pour extorquer de
l'argent à la personne qu'ils ont piratée ou au destinataire supposé.
Il existe littéralement des milliers de variantes des attaques d'ingénierie
sociale. L'imagination du criminel est la seule limite au nombre de façons
dont ils peuvent socialement ingénier les utilisateurs grâce à ce type
d'exploit. Et vous pouvez rencontrer plusieurs formes d'exploits en une seule
attaque. Ensuite, le criminel est susceptible de vendre vos informations à
d'autres afin qu'eux aussi puisse exploiter leurs exploits contre vous, vos
amis, les amis de vos amis, etc., car les criminels tirent parti de la
confiance déplacée des gens.

Ne deviens pas une victime

Alors que les attaques de phishing sont endémiques, de courte durée et ne
nécessitent que quelques utilisateurs pour se lancer dans une campagne
réussie, il existe des méthodes pour vous protéger. La plupart ne nécessitent
pas beaucoup plus que de simplement prêter attention aux détails devant vous.
Gardez les points suivants à l'esprit pour éviter d'être vous-même victime de
phishing.

Conseils à retenir:

  • Ralentissez.  Les spammeurs veulent que vous agissiez en premier
    et que vous réfléchissiez plus tard. Si le message exprime un sentiment
    d'urgence ou utilisez des tactiques de vente à haute pression, soyez
    sceptique; ne laissez jamais leur urgence influencer votre examen attentif.
  • Recherchez les faits. Méfiez-vous des messages non sollicités. Si
    l'e-mail semble provenir d'une entreprise que vous utilisez, faites vos
    propres recherches. Utilisez un moteur de recherche pour accéder au site
    réel de l'entreprise ou un annuaire téléphonique pour trouver son numéro de
    téléphone.
  • Ne laissez pas un privilège contrôler votre destination. Gardez le
    contrôle en vous-même le site Web à l'aide d'un moteur de recherche pour
    être sûr que vous atterrissez là où vous avez l'intention d'atterrir. Le
    survol des liens dans les e-mails affichera l'URL réelle en bas, mais un bon
    faux peut toujours vous induire en erreur.
  • Le détournement d'e-mails est endémique. Les pirates informatiques,
    les spammeurs et les ingénieurs sociaux qui prennent le contrôle des comptes
    de messagerie (et d'autres comptes de communication) sont devenus monnaie
    courante. Une fois qu'ils contrôlent un compte de messagerie, ils s'appuient
    sur la confiance des contacts de la personne. Même lorsque l'éditeur semble
    être quelqu'un que vous connaissez, si vous n'attendez pas un e-mail avec un
    lien ou une pièce jointe, vérifiez auprès de votre ami avant d'ouvrir des
    liens ou de télécharger.
  • Méfiez-vous de tout téléchargement.  Si vous ne connaissez pas
    l'expérience personnelle et attendez un fichier de sa partie, téléchargez
    quoi que ce soit une erreur.
  • Les offres étrangères sont fausses.  Si vous recevez un e-mail
    d'une loterie ou d'un tirage au sort étranger, de l'argent d'un parent
    inconnu ou des demandes de transfert de fonds d'un pays étranger pour une
    partie de l'argent, il est garanti qu'il s'agit d'une arnaque.

Façons de vous protéger:

  • Supprimez toute demande d'informations financières ou de mots de
    passe.

    Si vous êtes invité à répondre à un message avec des informations
    personnelles, c'est une arnaque.
  • Rejetez les demandes d'aide ou les offres d'aide.  Les
    entreprises et organisations légitimes ne vous contactent pas pour vous
    aider. Si vous n'avez pas demandé l'assistance de l'expéditeur, envisagez
    toute offre visant à «aider» à restaurer les cotes de crédit, à raffiner une
    maison, à répondre à votre question, etc., une arnaque. De même, si vous
    recevez une demande d'aide d'un organisme de bienfaisance ou d'une
    organisation avec laquelle vous n'avez pas de relation, supprimez-la. Pour
    donner, cherchez par vous-même des organisations caritatives réputées pour
    éviter de tomber dans une arnaque.
  • Réglez vos filtres anti-spam sur haut. Chaque programme de messagerie
    dispose de filtres anti-spam. Pour trouver le vôtre, regardez vos options de
    paramètres et définissez-les sur Élevé. N'oubliez pas de vérifier
    régulièrement votre dossier spam pour voir si des e-mails légitimes et ont
    été accidentellement piégés. Vous pouvez également rechercher un guide étape
    par étape pour configurer vos filtres anti-spam en recherchant le nom de
    votre fournisseur de messagerie ainsi que l'expression «filtres anti-spam».
  • Sécurisez vos appareils informatiques. Installer un logiciel
    antivirus, des pare-feu, des filtres de messagerie et maintenez-les à jour.
    Configurez votre système d'exploitation pour qu'il se mette à jour
    automatiquement, et si votre smartphone ne se met pas à jour
    automatiquement, mettez-le à jour avant chaque fois que vous recevez un avis
    à cet effet. Utilisez un outil anti-hameçonnage proposé par votre navigateur
    Web ou par un tiers pour vous alerter des risques.
Si vous voulez un tutoriel de piratage quotidien et que vous voulez
apprendre le piratage éthique, rejoignez notre chaîne de télégramme et
nous partageons également des cours udemy gratuits, alors n'oubliez pas
de vous inscrire.
Share this article
Shareable URL
Prev Post

Comment créer un bot Telegram (Introduction à la programmation de bot Telegram)

Next Post

Que sont Google Ads ? Et comment fonctionnent les annonces ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Read next
S'abonner à la newsletter
Soyez informé de la publication de nos différents articles.