Hacking : Comprendre l’ingénierie sociale
C’est quoi au juste le Social engineering ? Nous allons tenter de vous expliquer cela dans ce dossier complet. L’ingénierie sociale est l’art de manipuler les gens pour qu’ils renoncent à des informations confidentielles. Les types d’informations recherchés par ces criminels peuvent varier, mais lorsqu’ils sont ciblés, les criminels essaient généralement de vous inciter à leur donner vos mots de passe ou vos informations bancaires, ou d’accéder à votre ordinateur pour installer secrètement des logiciels malveillants, ce qui leur donnera accès à votre mots de passe et informations bancaires ainsi que leur donner le contrôle de votre ordinateur. Cela s’applique pour des mots de passe Facebook, Paypal etc.
Les criminels utilisent des tactiques d’ingénierie sociale car il est généralement plus facile d’exploiter votre inclination naturelle à la confiance que de découvrir des moyens de pirater votre ordi. Par exemple, il est beaucoup plus facile de tromper quelqu’un en vous donnant son mot de passe que d’essayer de pirater son mot de passe (sauf si le mot de passe est vraiment faible).
La sécurité consiste à savoir à qui et à quoi faire confiance. Il est important de savoir quand et quand ne pas croire une personne sur parole et quand la personne avec qui vous communiquez est celle qu’elle prétend être. Il en va de même pour les interactions en ligne et l’utilisation du site Web: Le site internet que vous utilisez est-il vraiment légitime, ce dernier peut fournir vos informations en toute sécurité ? Voilà la question qu’il vous faudra vous poser quand vous devez fournir des informations (bancaires, mail etc).
Cybersécurité - Ingénierie sociale
Demandez à n’importe quel professionnel de la sécurité et il vous dira que le maillon le plus faible de la chaîne de sécurité est l’humain qui accepte une personne ou un scénario à sa valeur nominale. Peu importe le nombre de serrures sur vos portes et fenêtres, ou si vous avez des chiens de garde, des systèmes d’alarme, des projecteurs, des clôtures avec des barbelés et du personnel de sécurité armé; si vous faites confiance à la personne à la porte qui dit être le livreur de pizzas et que vous la laissez entrer sans vérifier au préalable s’il est légitime, vous êtes complètement exposé au risque qu’il représente.
À quoi ressemble une attaque d'ingénierie sociale?
Si un criminel parvient à pirater ou à créer socialement le mot de passe d’une personne, il a accès à la liste de contacts de cette personne – et comme la plupart des gens utilisent un mot de passe partout, ils ont probablement également accès aux contacts de réseau social de cette personne (exemple: e-mail Gmail utilisé sur facebook aussi pour la banque Crédit Agricole etc.).
Une fois que le criminel a ce compte de messagerie sous son contrôle, il envoie des courriels à tous les contacts de la personne ou laissent des messages sur toutes les pages sociales de son ami, et éventuellement sur les pages des amis de l’ami de la personne.
Profitant de votre confiance et de votre curiosité, ces messages permettront:
Contenir un lien que vous n’avez qu’à vérifier – et comme le lien provient d’un ami et que vous êtes curieux, vous ferez confiance au lien et cliquez – et serez infecté par un logiciel malveillant afin que le criminel puisse prendre le contrôle de votre machine et récupérer votre les informations sur les contacts et les tromper comme si vous étiez trompé.
Ces logiciels malveillants peuvent se présenter sous forme de téléchargement d’images, de musique, de film, de document, etc. Si vous téléchargez – ce que vous êtes susceptible de faire puisque vous pensez qu’il vient de votre ami – vous êtes infecté. Désormais, le criminel a accès à votre machine, à votre compte de messagerie, à vos comptes et contacts sur les réseaux sociaux, et l’attaque se propage à tous ceux que vous connaissez. Et ainsi de suite.
Courriel d'une autre source fiable
Les attaques de phishing sont un sous-ensemble de la stratégie d’ingénierie sociale qui imite une source fiable et concocte un scénario apparemment logique pour transmettre les informations de connexion ou d’autres données personnelles sensibles. D’ailleurs, les institutions financières représentent la grande majorité des entreprises usurpées et, selon le rapport annuel d’ enquête sur les violations de données de Verizon , les attaques d’ingénierie sociale, y compris le phishing et le prétexte (voir ci-dessous), sont responsables de 93% des violations de données réussies.
En utilisant une histoire ou un prétexte convaincant, ces messages peuvent:
Demandez votre aide de toute urgence. Votre «ami» est coincé dans le pays X, a été volé, battu et est à l’hôpital. Ils ont besoin que vous envoyiez de l’argent pour qu’ils puissent rentrer chez eux et ils vous disent comment envoyer l’argent au criminel.
Utilisez des tentatives de phishing avec un arrière-plan qui semble légitime . En règle générale, un hameçonneur envoie un e-mail, un message instantané, un commentaire ou un SMS qui semble provenir d’une entreprise, d’une banque, d’une école ou d’une institution légitime et populaire.
Demandez-vous de faire un don à leur organisme de bienfaisance ou à une autre cause. Probablement avec des instructions sur la façon d’envoyer l’argent au criminel. Peu scrupuleux, ces hameçonneurs demandent de l’aide ou du soutien pour tout désastre, campagne politique ou charité qui leur tient à cœur momentanément.
Présentez un problème qui vous oblige à «vérifier» vos informations en cliquant sur le lien affiché et en fournissant des informations dans leur formulaire. L’emplacement du lien peut sembler très légitime avec tous les bons logos et contenus (en fait, les criminels peuvent avoir copié le format et le contenu exacts du site légitime). Parce que tout semble légitime, vous faites confiance à l’e-mail et au faux site et fournissez toutes les informations que l’escroc demande. Ces types d’escroqueries par hameçonnage incluent souvent un avertissement de ce qui se passera si vous n’agissez pas rapidement, car les criminels savent que s’ils peuvent vous amener à agir avant que vous ne réfléchissiez, vous êtes plus susceptible de tomber dans le piège de leur tentative de phishing.
Il arrive parfois que l’e-mail prétend provenir d’une loterie, d’un parent décédé, ou de la millionième personne à cliquer sur son site, etc. Ce sont les «hameçonnages par avidité» où, même si le prétexte de l’histoire est mince, les gens veulent ce qui est offert et tombent sous le charme en donnant leurs informations, puis en se faisant vider leur compte bancaire et en se faisant voler leur identité.
Scénarios d'appâtage
Ces schémas d’ingénierie sociale savent que si vous suspendez quelque chose que les gens veulent, beaucoup de gens prendront l’appât. Ces schémas se trouvent souvent sur des sites Peer-to-Peer proposant le téléchargement de quelque chose comme un nouveau film ou de la musique. Mais les schémas se trouvent également sur les sites de réseaux sociaux, les sites Web malveillants que vous trouvez dans les résultats de recherche, etc.
Ou bien, le système peut apparaître comme une très bonne affaire sur les sites classés, les sites d’enchères, etc. Pour dissiper vos soupçons, vous pouvez voir que le vendeur a une bonne note (tout planifié et conçu à l’avance).
Les personnes qui prennent l’appât peuvent être infectées par des logiciels malveillants qui peuvent générer un nombre illimité de nouveaux exploits contre elles-mêmes et leurs contacts, peuvent perdre leur argent sans recevoir l’article acheté et, si elles ont été assez stupides pour payer avec un chèque, peuvent trouver leur compte bancaire est vide.
Réponse à une question que vous n'avez jamais posée
Les criminels peuvent prétendre répondre à votre «demande d’aide» de la part d’une entreprise tout en offrant davantage d’aide. Ils choisissent des entreprises que des millions de personnes utilisent, comme une banque ou assurance par exemple. Si vous n’utilisez pas le produit ou le service, vous ignorerez l’e-mail, l’appel téléphonique ou le message, mais si vous utilisez le service, il y a de fortes chances que vous répondiez car vous avez probablement besoin d’aide pour résoudre un problème .
Par exemple, même si vous savez que vous n’avez pas posé de question à l’origine, vous avez probablement un problème avec le système d’exploitation de votre ordinateur et vous saisissez cette opportunité pour le réparer. Gratuitement! Au moment où vous répondez, vous avez acheté l’histoire de l’escroc, leur avez donné votre confiance et vous vous êtes ouvert à l’exploitation.
Ingénierie sociale, anatomie d'une attaque classique
Découvrez comment se prépare et se mène une attaque d’ingénierie sociale, véritable fléau de cybercriminalité moderne. Une vidéo que tous les collaborateurs d’une entreprise devraient avoir vu, partie intégrante du cursus complet sur la sécurité de l’information proposé par Conscio Technologies, au travers des solutions Rapid Awareness ou Sensiwave.
Le représentant, qui est en fait un criminel, devra “ vous authentifier ”, vous avoir connecté à “ son système ” ou vous connecter à votre ordinateur et lui donner un accès à distance à votre ordinateur afin qu’il puisse le “ réparer ” vous, ou vous indiquer les commandes afin que vous puissiez résoudre le problème vous-même avec leur aide – où certaines des commandes qu’ils vous disent d’entrer ouvriront un moyen pour le criminel de revenir dans votre ordinateur plus tard.
Créer la méfiance
Une certaine ingénierie sociale consiste à créer de la méfiance ou à déclencher des conflits; ceux-ci sont souvent effectués par des personnes que vous connaissez et qui sont en colère contre vous, mais cela est également fait par des personnes méchantes qui essaient simplement de faire des ravages, des personnes qui veulent d’abord créer la méfiance dans votre esprit à l’égard des autres afin qu’elles puissent ensuite intervenir en tant que héros et gagner votre confiance, ou par des extorqueurs qui veulent manipuler des informations et ensuite vous menacer de divulgation.
Cette forme d’ingénierie sociale commence souvent par accéder à un compte de messagerie ou à un autre compte de communication sur un client de messagerie instantanée, un réseau social, un chat, un forum, etc. Ils accomplissent cela soit par piratage, ingénierie sociale, soit simplement en devinant des mots de passe vraiment faibles.
La personne malveillante peut alors modifier les communications sensibles ou privées (y compris les images et l’audio) en utilisant des techniques d’édition de base et les transmettre à d’autres personnes pour créer un drame, de la méfiance, de l’embarras, etc. Elles peuvent donner l’impression d’avoir été envoyées accidentellement ou ressembler à ils vous font savoir ce qui se passe «vraiment».
Alternativement, ils peuvent utiliser le matériel modifié pour extorquer de l’argent à la personne qu’ils ont piratée ou au destinataire supposé.
Il existe littéralement des milliers de variantes des attaques d’ingénierie sociale. L’imagination du criminel est la seule limite au nombre de façons dont ils peuvent socialement ingénier les utilisateurs grâce à ce type d’exploit. Et vous pouvez rencontrer plusieurs formes d’exploits en une seule attaque. Ensuite, le criminel est susceptible de vendre vos informations à d’autres afin qu’eux aussi puissent exploiter leurs exploits contre vous, vos amis, les amis de vos amis, etc., car les criminels tirent parti de la confiance déplacée des gens.
Ne deviens pas une victime
Alors que les attaques de phishing sont endémiques, de courte durée et ne nécessitent que quelques utilisateurs pour se lancer dans une campagne réussie, il existe des méthodes pour vous protéger. La plupart ne nécessitent pas beaucoup plus que de simplement prêter attention aux détails devant vous. Gardez les points suivants à l’esprit pour éviter d’être vous-même victime de phishing.
Conseils à retenir:
Ralentir. Les spammeurs veulent que vous agissiez en premier et que vous réfléchissiez plus tard. Si le message exprime un sentiment d’urgence ou utilise des tactiques de vente à haute pression, soyez sceptique; ne laissez jamais leur urgence influencer votre examen attentif.
Recherchez les faits . Méfiez-vous des messages non sollicités. Si l’e-mail semble provenir d’une entreprise que vous utilisez, faites vos propres recherches. Utilisez un moteur de recherche pour accéder au site réel de l’entreprise ou un annuaire téléphonique pour trouver son numéro de téléphone.
Ne laissez pas un lien contrôler votre destination. Gardez le contrôle en trouvant vous-même le site Web à l’aide d’un moteur de recherche pour être sûr que vous atterrissez là où vous avez l’intention d’atterrir. Le survol des liens dans les e-mails affichera l’URL réelle en bas, mais un escroc “doué” peut toujours vous induire en erreur.
Le piratage des e-mails est monnaie courante. Les pirates, les spammeurs et les ingénieurs sociaux qui prennent le contrôle des comptes de messagerie des gens (et d’autres comptes de communication) sont devenus monnaie courante. Une fois qu’ils contrôlent un compte de messagerie, ils s’appuient sur la confiance des contacts de la personne. Même lorsque l’expéditeur semble être quelqu’un que vous connaissez, si vous n’attendez pas un e-mail avec un lien ou une pièce jointe, vérifiez auprès de votre ami avant d’ouvrir des liens ou de télécharger.
Méfiez-vous de tout téléchargement. Si vous ne connaissez pas l’expéditeur personnellement ET attendez un fichier de sa part, télécharger quoi que ce soit est une erreur.
Le père Noël n’existe pas 😉 Les offres étrangères sont fausses. Si vous recevez un e-mail d’une loterie étrangère ou d’un tirage au sort, de l’argent d’un parent inconnu ou des demandes de transfert de fonds d’un pays étranger pour une part de l’argent, il est garanti qu’il s’agit d’une arnaque.
Façons de vous protéger:
Supprimez toute demande d’informations financières ou de mots de passe. Si vous êtes invité à répondre à un message avec des informations personnelles, c’est une arnaque.
Rejetez les demandes d’aide ou les offres d’aide. Les entreprises et organisations légitimes ne vous contactent pas pour vous aider. Si vous n’avez pas spécifiquement demandé l’assistance de l’expéditeur, considérez toute offre visant à «aider» à restaurer les cotes de crédit, à refinancer une maison, à répondre à votre question, etc., c’est une arnaque. De même, si vous recevez une demande d’aide d’un organisme de bienfaisance ou d’une organisation avec laquelle vous n’avez pas de relation, supprimez-la. Pour faire un don, cherchez par vous-même des organisations caritatives réputées pour éviter de tomber dans une arnaque.
Réglez vos filtres anti-spam sur haut . Chaque programme de messagerie dispose de filtres anti-spam. Pour trouver le vôtre, regardez vos options de paramètres et définissez-les sur Élevé. N’oubliez pas de vérifier régulièrement votre dossier de spam pour voir si des e-mails légitimes y ont été accidentellement piégés. Vous pouvez également rechercher un guide étape par étape pour configurer vos filtres anti-spam en recherchant le nom de votre fournisseur de messagerie et l’expression «filtres anti-spam».
Sécurisez vos appareils informatiques . Installez un logiciel antivirus, des pare-feu, des filtres de messagerie et maintenez-les à jour. Configurez votre système d’exploitation pour qu’il se mette à jour automatiquement, et si votre smartphone ne se met pas à jour automatiquement, mettez-le à jour manuellement chaque fois que vous recevez un avis à cet effet. Utilisez un outil anti-hameçonnage proposé par votre navigateur Web ou par un tiers pour vous alerter des risques.
Un petit résumé sur l'ingénierie sociale
Bloquer les attaques d’ingénierie sociale exige une cyberdéfense centrée sur les personnes, et non sur la technologie. Vous devez empêcher les messages d’atteindre leurs cibles, et former les utilisateurs à reconnaître et signaler toute tentative contournant les défenses. Informez-vous davantage sur l’ingénierie sociale et sur la façon de reconnaître et d’éviter les techniques d’ingénierie sociale les plus fréquentes afin de mieux protéger vos collaborateurs, vos installations et vos actifs. N’hésitez pas à nous contacter si vous souhaitez sécuriser vos sites web en cliquant ici.