Dans les attaques d'ingénierie sociale, un pirate tente d'accéder à des données ou à des services en établissant des relations avec des personnes dont il peut exploiter la confiance. La première ligne de défense consiste à rester vigilant. L'attaquant peut vous entraîner dans une conversation qui tourne à l'interrogatoire. Cependant, la meilleure façon de se protéger de l'ingénierie sociale est de savoir à qui l'on peut faire confiance et d'être soi-même digne de confiance. Vous devez identifier toute personne susceptible d'accéder à votre compte ou de l'influencer et vous assurer qu'elle a une bonne raison de le faire.
Qu'est-ce qu'une attaque par ingénierie sociale ?
L'attaque par ingénierie sociale est une forme de piratage dans laquelle un attaquant tente d'obtenir un accès ou des informations en exploitant la confiance. Il s'agit d'une attaque très efficace car elle exploite votre désir d'aider les gens, votre curiosité et votre naïveté. Un ingénieur social peut faire de vous un complice involontaire en utilisant une manipulation de haut niveau pour obtenir ce que l'attaquant veut. Il s'agit d'une forme de piratage, mais au lieu de s'introduire dans les ordinateurs, les ingénieurs sociaux essaient d'y accéder en incitant les employés à donner des informations ou à télécharger des logiciels malveillants.
Techniques d'ingénierie sociale
Les attaques d'ingénierie sociale peuvent être menées par téléphone, par courrier électronique ou par message texte. Un ingénieur social peut appeler une entreprise et demander l'accès à une zone restreinte, ou se faire passer pour quelqu'un afin que quelqu'un d'autre ouvre un compte de courrier électronique en son nom.
Les ingénieurs sociaux utilisent de nombreuses tactiques différentes pour atteindre leurs objectifs. Par exemple, ils peuvent prétendre qu'ils appellent du service d'assistance d'une entreprise et demander un accès à distance afin de pouvoir réparer quelque chose sur votre ordinateur ou votre réseau. Ils peuvent aussi prétendre qu'ils ont besoin de votre mot de passe ou d'autres informations personnelles, comme des données bancaires, pour résoudre un problème sur votre compte bancaire.
Dans certains cas, les ingénieurs sociaux se font même passer pour des agents des forces de l'ordre et vous menacent de poursuites judiciaires si vous refusez d'accéder à leurs demandes d'informations. S'il est important que les entreprises prennent ces menaces au sérieux, n'oubliez pas que la police n'appellera jamais quelqu'un pour lui demander ses mots de passe par téléphone !
Objectif de l'ingénierie sociale
L'ingénierie sociale est souvent utilisée dans les attaques de phishing, c'est-à-dire des courriels qui semblent provenir d'une source fiable mais qui visent en fait à voler vos informations personnelles. Ces courriels contiennent généralement une pièce jointe contenant un logiciel malveillant (souvent appelé "malware") qui infectera votre ordinateur s'il est ouvert.
L'objectif de l'ingénierie sociale est toujours le même : obtenir l'accès à quelque chose de précieux sans avoir à travailler pour l'obtenir.
1. Vol d'informations sensibles
Les ingénieurs sociaux peuvent donc essayer de vous inciter à donner votre mot de passe et vos identifiants de connexion (tels que votre nom d'utilisateur/adresse électronique) afin d'accéder à votre compte de messagerie ou à votre profil de média social, où ils peuvent voler des informations personnelles telles que des numéros de carte de crédit et des informations de compte bancaire provenant de transactions antérieures.
2. Le vol d'identité
Ils peuvent également utiliser ces informations pour usurper l'identité de la victime et mener des activités malveillantes en se faisant passer pour elle si elle choisit de ne pas les détruire immédiatement.
Exemple d'attaque par ingénierie sociale
Le recours à la tromperie et à la ruse pour obtenir un avantage est bien antérieur à la généralisation des ordinateurs personnels et du World Wide Web. Mais nous pouvons remonter plus loin dans l'histoire pour voir certains des cas les plus flagrants d'attaques par ingénierie sociale.
Dans l'incident le plus récent, qui s'est produit en février 2020, un hameçonnage utilisant une fausse facture de rénovation a réussi à arnaquer Barbara Corcoran de l'émission " Shark Tank " sur ABC.Shark Tank". pour un montant de près de 400 000 dollars.
Si vous êtes victime d'attaques d'ingénierie sociale, il est essentiel de savoir comment vous protéger. Découvrez les signes avant-coureurs d'une menace potentielle et comment vous protéger.
Comment identifier une attaque d'ingénierie sociale ?
1. Faites confiance à votre instinct
Si vous recevez des courriels ou des appels téléphoniques qui vous semblent suspects, ne donnez aucune information avant d'avoir vérifié votre identité. Vous pouvez le faire en appelant directement votre entreprise ou en vous renseignant auprès de la personne qui est censée avoir envoyé l'e-mail ou laissé un message sur votre boîte vocale.
2. Ne soumettez pas vos informations personnelles
Si quelqu'un vous demande votre numéro de sécurité sociale ou d'autres informations privées, c'est le signe qu'il essaie de profiter de votre confiance et de l'utiliser contre vous plus tard. Il est conseillé de ne donner aucune information si elle n'est pas nécessaire.
3. Demandes inhabituelles sans contexte
Les ingénieurs sociaux font généralement des demandes importantes sans donner de contexte. Si quelqu'un demande de l'argent ou d'autres ressources sans expliquer pourquoi il en a besoin, il y a probablement quelque chose de louche. Il est préférable d'être prudent lorsque quelqu'un fait une demande importante de ce type : on ne sait jamais quels dommages peuvent être causés par l'accès à votre compte bancaire !
Voici quelques moyens de repérer les attaques d'ingénierie sociale:
- Réception d'un courriel de quelqu'un qui prétend appartenir à votre service informatique et qui vous demande de réinitialiser votre mot de passe et de le fournir dans un courriel ou un SMS
- Réception d'un courriel d'une personne prétendant appartenir à votre banque et demandant des informations personnelles, telles que votre numéro de compte ou votre code PIN.
- Réception d'un courriel d'une personne prétendant appartenir à votre banque et demandant des informations personnelles, telles que votre numéro de compte ou votre code PIN.
- Une personne prétendant appartenir au service des ressources humaines de l'entreprise vous demande des informations sur cette dernière.
Types d'attaques d'ingénierie sociale
Victimiser les gens par le biais d'attaques d'ingénierie sociale est un excellent moyen de perpétrer des fraudes. Cela peut se faire de plusieurs manières.
Accéder au compte : Les pirates peuvent accéder à votre compte bancaire en demandant un crédit au nom d'une autre personne. Cette fraude s'accompagne souvent d'un appel téléphonique ou d'un courriel envoyé à des amis ou à des membres de la famille, qui sont ensuite invités à effectuer un virement bancaire pour rembourser rapidement le pirate pour le tribut qu'il a payé à la vie de la victime.
Voler des informations personnelles: Une autre façon courante d'inciter les gens à communiquer leurs informations personnelles consiste à leur faire croire qu'ils ont gagné un prix ou un concours auquel ils n'ont jamais participé mais pour lequel ils se sont inscrits. Lorsqu'ils reçoivent des appels pour s'assurer qu'ils recevront le prix une fois qu'ils auront donné leurs coordonnées, les victimes tombent dans le piège de l'attaquant.
Phishing: dans cette attaque, les attaquants envoient des courriels qui semblent provenir d'entreprises ou d'organisations légitimes, mais qui contiennent des liens ou des pièces jointes malveillants. Il s'agit en outre de l'une des attaques d'ingénierie sociale les plus courantes dans le monde.
Prétextat: Une autre attaque massive d'ingénierie sociale consiste à créer une fausse identité ou un faux scénario pour accéder à des informations personnelles. L'un des exemples les plus marquants d'ingénierie sociale est celui des attaquants qui parviennent à manipuler des personnes par le biais de textos .
Shoulder Surfing (surf sur l'épaule) : Il s'agit d'une attaque où l'attaquant regarde par-dessus l'épaule de quelqu'un pour accéder à des informations confidentielles. Parfois, l'attaquant n'est rien d'autre que vos amis proches ou vos proches qui vous feront chanter une fois qu'ils auront obtenu les informations qu'ils ont toujours voulu avoir. Il est donc essentiel de garder un œil sur ces personnes et de ne jamais fournir le moindre détail personnel.
La filature: La filature est le fait pour un attaquant de suivre une personne autorisée à pénétrer dans un bâtiment ou une zone sécurisée sans y être réellement autorisé. Ce type d'attaque n'est pas aussi courant que d'autres attaques d'ingénierie sociale, mais il n'en reste pas moins dangereux et peut laisser des traces dommageables .
5 façons de se protéger des attaques d'ingénierie sociale
Nous avons rassemblé ici quelques conseils ou idées utiles qui vous aideront à vous protéger contre les attaques sociales ou à prévenir les attaques d'ingénierie sociale :
1. Expéditeurs inconnus (courriels et messages textuels)
Soyez très attentif à l'adresse électronique de l'expéditeur et au contenu du message. Il est essentiel de savoir que vous ne devez pas cliquer sur les liens de documents suspects.
2. Cesser de partager des informations personnelles
Réfléchissez avant de partager des informations personnelles, telles que des mots de passe et des numéros de carte de crédit. Aucune entreprise ou personne légitime ne devrait jamais vous demander ce type d'informations sensibles. Utilisez toujours des mots de passe forts et changez-les régulièrement. Évitez d'utiliser les mêmes mots de passe pour plusieurs comptes et évitez d'être victime d'attaques d'ingénierie sociale.
3. Couches de sécurité
Utilisez l'authentification à deux facteurs chaque fois que possible. Elle permet d'ajouter une couche supplémentaire de sécurité en demandant aux utilisateurs de saisir un code envoyé sur leur téléphone portable ainsi que leur nom d'utilisateur et leur mot de passe. Configurez toujours les codes d'authentification avec votre adresse électronique et votre numéro de téléphone, de sorte que si quelqu'un parvenait à accéder à l'un ou l'autre système, il ne pourrait pas utiliser directement votre compte.
4. Logiciel anti-virus
Installer un logiciel antilogiciels malveillants et un logiciel antivirus sur tous vos appareils. Maintenez ces programmes à jour afin qu'ils puissent vous protéger contre les menaces les plus récentes. Cependant, lorsqu'un antivirus est installé sur vos appareils, il peut constituer un excellent bouclier contre les attaques d'ingénierie sociale.
5. Toujours être conscient des risques
Il serait utile de toujours prendre en compte les risques. Assurez-vous que toute demande d'information est exacte en procédant à une double et triple vérification. Gardez un œil sur l'actualité de la cybersécurité lorsque vous êtes touché par une violation récente.
Conclusion
Pour vous protéger des attaques d'ingénierie sociale, vous devez apprendre à prendre des précautions contre elles. Comme nous vous avons déjà fourni quelques méthodes standard d'attaques d'ingénierie sociale, qui sont utilisées depuis des lustres dans le monde, assurez-vous de commencer à mettre en œuvre ces précautions dès maintenant. Les attaques d'ingénierie sociale peuvent porter atteinte à la vie professionnelle d'une personne en quelques secondes. Protégez toujours vos appareils, vos mots de passe et vos autres connexions à l'aide de codes de vérification d'authentification à deux niveaux pour une couche de protection supplémentaire.
Avant de faire quoi que ce soit d'autre, parlez-en à un professionnel de l'informatique ou à un expert en sécurité de confiance tel que PowerDMARC. Ils peuvent vous aider à comprendre les risques des attaques d'ingénierie sociale et à les minimiser.
- Augmentation des escroqueries fiscales et des attaques d'usurpation d'identité par courriel de l'IRS pendant la saison des impôts - 2 mai 2024
- Sécurité des courriels 101 pour lutter contre les escroqueries aux cryptomonnaies - 30 avril 2024
- Comment trouver le meilleur fournisseur de solutions DMARC pour votre entreprise ? - 25 avril 2024