Les cyberattaquants utilisent l'ingénierie sociale, un type d'attaque qui cible l'élément humain plutôt que le système informatique et ses logiciels. L'attaquant tente de tromper une personne pour qu'elle effectue une action qui lui permette d'accéder aux ordinateurs des victimes.
L'un des types les plus courants de ce type d'attaque est l'attaque de type "man-in-the-middle". Une attaque de type man-in-the-middle se produit lorsqu'un attaquant se fait passer pour quelqu'un d'autre afin de tromper les victimes en leur faisant croire qu'elles parlent directement entre elles via des protocoles de normalisation tels que la réponse vocale interactive, le courrier électronique, la messagerie instantanée et la conférence Web.
Le piratage par manipulation humaine est plus facile à exécuter que le piratage direct à partir d'une source externe. Cet article explique pourquoi les attaques SE sont en augmentation et pourquoi les cyberattaquants utilisent couramment ces tactiques.
Pourquoi les cyber-attaquants utilisent-ils l'ingénierie sociale ? Causes et raisons probables
Les attaques d'ingénierie sociale sont l'une des méthodes les plus populaires et les plus efficaces utilisées par les pirates informatiques aujourd'hui. Ces attaques exploitent souvent les relations interhumaines, telles que la confiance et la familiarité des employés, ou la proximité physique entre les employés et les clients.
a. L'élément humain est le maillon le plus faible de la sécurité traditionnelle.
Les attaques ont tendance à être plus efficaces lorsqu'elles reposent sur une interaction humaine, ce qui signifie que la technologie n'a aucun moyen de nous en protéger.
Tout ce dont un attaquant a besoin, c'est d'un peu d'informations sur les habitudes ou les préférences de sa cible et d'un peu de créativité dans la façon dont il se présente à la victime.
Les attaquants obtiennent ainsi ce qu'ils veulent sans avoir à recourir à des techniques plus compliquées, comme le piratage du réseau d'une organisation ou l'intrusion dans les systèmes d'une entreprise.
b. Les techniques de piratage avancées ne sont pas nécessaires
Les attaques par ingénierie sociale utilisent la confiance des gens pour accéder à un système ou à un réseau. Ces attaques sont efficaces car il est facile pour un attaquant d'y accéder, plutôt que d'utiliser des techniques de piratage avancées pour s'introduire par force brute dans un réseau.
Pour ce faire, l'attaquant utilise généralement des techniques de manipulation psychologique telles que le phishing, le spear phishing et le pretexting.
➜ On parle d'hameçonnage lorsqu'un attaquant envoie des courriels qui semblent légitimes mais qui sont conçus pour inciter les utilisateurs à donner leurs informations personnelles, comme des mots de passe ou des détails de cartes de crédit.
➜ Le spear phishing, c'est lorsqu'un attaquant utilise les mêmes méthodes que le phishing mais avec des techniques plus avancées, comme se faire passer pour quelqu'un d'autre pour vous tromper et vous amener à donner vos informations.
➜ On parle de prétextage lorsqu'un attaquant utilise des faux-semblants pour gagner la confiance de ses victimes avant de tenter de les voler.
Une fois que les attaquants ont obtenu l'accès à votre système ou à votre réseau, ils peuvent y faire tout ce qu'ils veulent, y compris installer des programmes, modifier des fichiers ou même les supprimer, sans se faire prendre par un système de sécurité ou un administrateur qui pourrait les en empêcher s'ils savaient ce qui se passe dans leur réseau !
c. Le Dumpster Diving est plus facile que le Brute Forcing dans un réseau
La fouille de poubelles consiste à récupérer des informations à partir de matériaux mis au rebut pour mener des attaques d'ingénierie sociale. Cette technique consiste à fouiller les poubelles à la recherche de trésors tels que des codes d'accès ou des mots de passe écrits sur des notes autocollantes. La fouille de poubelles facilite ce type d'activités car elle permet au pirate d'accéder au réseau sans avoir à s'y introduire.
Les informations découvertes par les fouilleurs de poubelles peuvent être banales, comme une liste de téléphones ou un calendrier, ou plus innocentes, comme un organigramme. Mais ces informations apparemment innocentes peuvent aider un attaquant à utiliser des techniques d'ingénierie sociale pour accéder au réseau.
En outre, si un ordinateur a été mis au rebut, il peut être une mine d'or pour les cyberattaquants. Il est possible de récupérer des informations sur des supports de stockage, y compris des disques qui ont été effacés ou mal formatés. Les mots de passe et les certificats de confiance sont souvent stockés sur l'ordinateur et sont vulnérables aux attaques.
L'équipement mis au rebut peut contenir des données sensibles sur le Trusted Platform Module (TPM). Ces données sont importantes pour une organisation car elles lui permettent de stocker en toute sécurité des informations sensibles, telles que des clés cryptographiques. Un ingénieur social pourrait exploiter les identifiants du matériel auxquels une organisation fait confiance pour élaborer des exploits potentiels contre ses utilisateurs.
d. Utilise la peur, la cupidité et le sentiment d'urgence des gens.
Les attaques par ingénierie sociale sont faciles à réaliser car elles reposent sur l'élément humain. Le cyber-attaquant peut utiliser le charme, la persuasion ou l'intimidation pour manipuler la perception de la personne ou exploiter son émotion pour obtenir des détails importants sur son entreprise.
Par exemple, un cyber-attaquant peut parler avec un employé mécontent d'une entreprise pour obtenir des informations cachées, qui peuvent ensuite être utilisées pour s'introduire dans le réseau.
Le salarié mécontent peut fournir des informations sur l'entreprise à un agresseur s'il a le sentiment d'être traité injustement ou maltraité par son employeur actuel. L'employé mécontent peut également fournir des informations sur l'entreprise s'il n'a pas d'autre emploi et qu'il sera bientôt au chômage.
Les méthodes de piratage les plus avancées impliquent de s'introduire dans un réseau en utilisant des techniques plus avancées telles que les logiciels malveillants, les enregistreurs de frappe et les chevaux de Troie. Ces techniques avancées nécessitent beaucoup plus de temps et d'efforts que de simplement parler avec un employé mécontent pour obtenir des informations cachées qui peuvent être utilisées pour pénétrer dans un réseau.
Les six grands principes de l'influence
Les escroqueries d'ingénierie sociale exploitent six vulnérabilités spécifiques de la psyché humaine. Ces vulnérabilités sont identifiées par le psychologue Robert Cialdini dans son livre "Influence : The Psychology of Persuasion" et sont les suivantes :
➜ Réciprocité - La réciprocité est le désir de rendre des faveurs en nature. Nous avons tendance à nous sentir redevables envers les personnes qui nous ont aidés ; nous pensons qu'il est de notre responsabilité de les aider. Ainsi, lorsque quelqu'un nous demande quelque chose - un mot de passe, l'accès à des dossiers financiers ou autre - nous sommes plus susceptibles d'obtempérer s'il nous a déjà aidé auparavant.
➜ Engagement et cohérence - Nous avons tendance à faire les choses sur la durée plutôt qu'une seule fois. Nous sommes plus susceptibles d'accepter une demande si nous avons déjà accepté l'une de ses parties - ou même plusieurs. Si quelqu'un a déjà demandé l'accès à vos dossiers financiers, peut-être que le fait de le demander à nouveau n'est pas si grave après tout !
➜ Preuve sociale - Il s'agit d'une technique de tromperie qui s'appuie sur le fait que nous avons tendance à suivre l'exemple des personnes qui nous entourent (également connu sous le nom d'"effet bandwagon"). Par exemple, les employés pourraient être influencés par un acteur de la menace qui présente de fausses preuves qu'un autre employé s'est conformé à une demande.
➜ Aimer - Nous aimons les gens qui ont l'air d'être aux commandes ; ainsi, un pirate pourrait envoyer un message à votre adresse électronique qui semble provenir de votre patron ou d'un de vos amis, ou même d'un expert dans un domaine qui vous intéresse. Le message pourrait dire quelque chose comme : "Hé ! Je sais que tu travailles sur ce projet et nous avons besoin d'aide. Pouvons-nous nous rencontrer bientôt ?" Il demande généralement votre aide - et en acceptant, vous donnez des informations sensibles.
➜ Autorité - Les gens se soumettent généralement aux figures d'autorité parce que nous les considérons comme les "bons" que nous devons suivre et auxquels nous devons obéir. Ainsi, les tactiques d'ingénierie sociale peuvent exploiter notre tendance à faire confiance à ceux qui semblent faire autorité pour obtenir ce qu'ils veulent de nous.
➜ Pénurie - Le manque est un instinct humain qui est câblé dans notre cerveau. C'est le sentiment de "J'ai besoin de ça maintenant" ou "Je devrais avoir ça". Ainsi, lorsque les gens se font arnaquer par des ingénieurs sociaux, ils vont ressentir un sentiment d'urgence pour donner leur argent ou leurs informations le plus rapidement possible.
Les personnalités qui sont vulnérables à l'ingénierie sociale et pourquoi ?
Selon le Dr Margaret Cunningham, principale chercheuse en comportement humain chez Forcepoint X-Labs, une société de cybersécurité, l'agréabilité et l'extraversion sont les traits de personnalité les plus vulnérables aux exploits d'ingénierie sociale.
Les personnes agréables ont tendance à faire confiance, à être amicales et à suivre les instructions sans poser de questions. Elles sont de bons candidats pour les attaques de phishing car elles sont plus susceptibles de cliquer sur des liens ou d'ouvrir des pièces jointes dans des e-mails qui semblent authentiques.
Les extravertis sont également plus susceptibles de subir des attaques d'ingénierie sociale parce qu'ils préfèrent souvent être entourés d'autres personnes et qu'ils sont plus enclins à faire confiance aux autres. Elles sont plus susceptibles de se méfier des motivations des autres que les personnes introverties, ce qui peut les amener à être trompées ou manipulées par un ingénieur social.
Les personnalités qui résistent à l'ingénierie sociale et pourquoi ?
Les personnes qui résistent aux attaques de l'ingénierie sociale ont tendance à être consciencieuses, introverties et à avoir un haut niveau d'auto-efficacité.
Les personnes consciencieuses sont les plus susceptibles de résister aux arnaques d'ingénierie sociale en se concentrant sur leurs propres besoins et désirs. Elles sont également moins susceptibles de se conformer aux exigences des autres.
Les introvertis ont tendance à être moins sensibles aux manipulations extérieures, car ils prennent du temps pour eux et apprécient la solitude, ce qui signifie qu'ils sont moins susceptibles d'être influencés par des signaux sociaux ou des personnes insistantes qui tentent de les influencer.
L'auto-efficacité est importante car elle nous aide à croire en nous-mêmes, de sorte que nous sommes plus confiants dans notre capacité à résister à la pression des autres ou aux influences extérieures.
Protégez votre organisation des escroqueries par ingénierie sociale avec PowerDMARC
L'ingénierie sociale est une pratique qui consiste à manipuler les employés et les clients pour qu'ils divulguent des informations sensibles qui peuvent être utilisées pour voler ou détruire des données. Dans le passé, ces informations étaient obtenues en envoyant des courriels qui semblaient provenir de sources légitimes, comme votre banque ou votre employeur. Aujourd'hui, il est beaucoup plus facile d'usurper des adresses électroniques.
PowerDMARC aide à se protéger contre ce type d'attaque en déployant des protocoles d'authentification du courrier électronique tels que SPF, DKIM et DMARC p=reject dans votre environnement afin de minimiser le risque d'usurpation de domaine direct et les attaques de phishing par email.
Si vous souhaitez vous protéger, ainsi que votre entreprise et vos clients, contre les attaques d'ingénierie sociale, inscrivez-vous pour notre essai DMARC gratuit dès aujourd'hui !
- Augmentation des escroqueries fiscales et des attaques d'usurpation d'identité par courriel de l'IRS pendant la saison des impôts - 2 mai 2024
- Sécurité des courriels 101 pour lutter contre les escroqueries aux cryptomonnaies - 30 avril 2024
- Comment trouver le meilleur fournisseur de solutions DMARC pour votre entreprise ? - 25 avril 2024