Posts

Comment se protéger de l'ingénierie sociale ?

La première ligne de défense consiste à rester vigilant. Dans les attaques d'ingénierie sociale, l'agresseur peut vous attirer dans une conversation qui se transforme en interrogatoire. Toutefois, la meilleure façon de se protéger de l'ingénierie sociale est de savoir à qui vous pouvez faire confiance et d'être vous-même digne de confiance. Vous devez identifier toute personne susceptible d'avoir accès à votre compte ou de l'influencer et vous assurer qu'elle a une bonne raison de le faire. 

En poursuivant votre lecture, vous saurez quelle est la méthode la plus utilisée en matière d'ingénierie sociale. et comment vous pouvez vous protéger des cyberattaques à l'avenir !

Qu'est-ce qu'une attaque d'ingénierie sociale ?

Dans les attaques par ingénierie sociale, un attaquant tente d'accéder à des données ou à des services en nouant des relations avec des personnes dont il peut exploiter la confiance.

Les attaques par ingénierie sociale sont une forme de piratage dans laquelle un attaquant tente d'obtenir un accès ou des informations en exploitant la confiance. Il s'agit d'une attaque très efficace car elle exploite votre désir d'aider les gens, votre curiosité et votre naïveté. Un ingénieur social peut faire de vous un complice involontaire en utilisant une manipulation de haut niveau pour obtenir ce que l'attaquant veut. 

Le recours à la tromperie et à la ruse pour obtenir un avantage est bien antérieur à la généralisation des ordinateurs personnels et du World Wide Web. Mais nous pouvons remonter plus loin dans l'histoire pour voir certains des cas les plus flagrants d'attaques par ingénierie sociale.

Dans l'incident le plus récent, qui s'est produit en février 2020, un hameçonnage utilisant une fausse facture de rénovation a réussi à arnaquer Barbara Corcoran de l'émission " Shark Tank " sur ABC.Shark Tank". pour un montant de près de 400 000 dollars.

Si vous êtes victime d'attaques d'ingénierie sociale, il est essentiel de savoir comment vous protéger. Découvrez les signes avant-coureurs d'une menace potentielle et comment vous protéger.

Lire la suite : Qu'est-ce que l'ingénierie sociale ?

Quelle est une méthode courante utilisée dans l'ingénierie sociale ?

Une méthode courante utilisée par les ingénieurs sociaux dans les attaques d'ingénierie sociale consiste à se faire passer pour le service informatique. Pour ce faire, ils peuvent appeler une entreprise et demander à parler au service informatique ou envoyer un courriel à l'entreprise en disant qu'ils appellent du service informatique.

Une fois que l'appelant ou l'expéditeur a obtenu l'accès, il peut prétendre appartenir à un autre service ou demander des informations que l'entreprise ne divulgue pas normalement. L'ingénieur social recueillera également le plus d'informations possible sur sa cible avant d'établir le contact.

5 façons de se protéger des attaques d'ingénierie sociale

Nous avons rassemblé ici quelques conseils ou idées utiles qui vous aideront à vous protéger contre les attaques sociales ou à prévenir les attaques d'ingénierie sociale :

Expéditeurs inconnus (courriels et messages texte)

Soyez très attentif à l'adresse électronique de l'expéditeur et au contenu du message. Il est essentiel de savoir que vous ne devez pas cliquer sur les liens de documents suspects. 

Cessez de partager vos informations personnelles

Réfléchissez avant de partager des informations personnelles, telles que des mots de passe et des numéros de carte de crédit. Aucune entreprise ou personne légitime ne devrait jamais vous demander ce type d'informations sensibles. Utilisez toujours des mots de passe forts et changez-les régulièrement. Évitez d'utiliser les mêmes mots de passe pour plusieurs comptes et évitez d'être victime d'attaques d'ingénierie sociale.

Couches de sécurité

Utilisez l'authentification à deux facteurs chaque fois que possible. Elle permet d'ajouter une couche supplémentaire de sécurité en demandant aux utilisateurs de saisir un code envoyé sur leur téléphone portable ainsi que leur nom d'utilisateur et leur mot de passe. Configurez toujours les codes d'authentification avec votre adresse électronique et votre numéro de téléphone, de sorte que si quelqu'un parvenait à accéder à l'un ou l'autre système, il ne pourrait pas utiliser directement votre compte.

Logiciel anti-virus

Installer un système antilogiciels malveillants et un logiciel antivirus sur tous vos appareils. Maintenez ces programmes à jour afin qu'ils puissent vous protéger des dernières menaces. Cependant, lorsqu'un antivirus est installé sur vos appareils, il peut constituer un excellent bouclier contre les attaques d'ingénierie sociale.

Soyez toujours conscient des risques

Vous devez toujours tenir compte des risques. Assurez-vous que toute demande d'information est exacte en vérifiant deux et trois fois. Restez à l'affût des actualités en matière de cybersécurité lorsque vous êtes touché par une violation récente. 

Quels sont les exemples d'ingénierie sociale ?

Victimiser les gens par des attaques d'ingénierie sociale est un excellent moyen de commettre des fraudes. Cela peut se faire de plusieurs manières. Voici quelques exemples d'ingénierie sociale :

Obtenir l'accès

Les pirates informatiques peuvent accéder à votre compte bancaire en demandant un crédit au nom d'une autre personne. Cette fraude s'accompagne souvent d'un appel téléphonique ou d'un courriel envoyé à des amis ou à des membres de la famille, à qui il est ensuite demandé d'effectuer un virement bancaire afin de rembourser rapidement le pirate pour l'atteinte qu'il a portée à la vie de la victime. 

Voler des informations personnelles

Un autre moyen courant d'inciter les gens à communiquer leurs informations personnelles est de leur faire croire qu'ils ont gagné un prix ou un concours auquel ils n'ont jamais participé mais auquel ils se sont inscrits. Et lorsqu'elles reçoivent de tels appels pour s'assurer qu'elles recevront le prix une fois qu'elles auront donné leurs coordonnées, c'est là que les victimes tombent dans le piège de l'attaquant. 

Phishing

Dans cette attaque, les attaquants envoient des e-mails qui semblent provenir d'entreprises ou d'organisations légitimes mais qui contiennent des liens ou des pièces jointes malveillants. Il s'agit en outre de l'une des attaques d'ingénierie sociale les plus courantes dans le monde. 

Prétextage

Une autre attaque massive d'ingénierie sociale consiste à créer une fausse identité ou un faux scénario pour avoir accès à des informations personnelles. L'un des exemples les plus frappants d'ingénierie sociale est le suivant où les attaquants parviennent à manipuler des personnes par le biais de textos.

Surf des épaules

Il s'agit d'une attaque où l'attaquant regarde par-dessus l'épaule de quelqu'un pour avoir accès à des informations confidentielles. Parfois, l'attaquant n'est rien d'autre que vos amis proches ou vos proches qui vous feront chanter une fois qu'ils auront obtenu les informations qu'ils ont toujours voulu avoir. Il est donc essentiel de garder un œil sur ces personnes et de ne jamais fournir tous les détails personnels. 

Tailgating

On parle de "tailgating" lorsqu'un attaquant suit une personne autorisée à entrer dans un bâtiment ou une zone sécurisée sans y être réellement autorisé. Il n'est pas aussi courant que d'autres attaques d'ingénierie sociale, mais elle est tout de même dangereuse et peut laisser des traces préjudiciables.

Conclusion

Pour vous protéger des attaques d'ingénierie sociale, vous devez apprendre à prendre des précautions contre elles. Comme nous vous avons déjà fourni quelques méthodes standard d'attaques d'ingénierie sociale, qui sont utilisées depuis des lustres dans le monde, assurez-vous de commencer à mettre en œuvre ces précautions dès maintenant. Les attaques d'ingénierie sociale peuvent porter atteinte à la vie professionnelle d'une personne en quelques secondes. Protégez toujours vos appareils, vos mots de passe et vos autres connexions à l'aide de codes de vérification d'authentification à deux niveaux pour une couche de protection supplémentaire.

Avant de faire quoi que ce soit d'autre, parlez-en à un professionnel de l'informatique ou à un expert en sécurité de confiance tel que PowerDMARC. Ils peuvent vous aider à comprendre les risques des attaques d'ingénierie sociale et à les minimiser.

/par

Types d'attaques d'ingénierie sociale en 2022

Avant de nous plonger dans les types d'attaques d'ingénierie sociale dont les victimes sont la proie au quotidien, ainsi que dans les attaques à venir qui ont pris l'internet d'assaut, voyons d'abord brièvement ce qu'est l'ingénierie sociale. 

Pour l'expliquer en termes simples, l'ingénierie sociale désigne une tactique de déploiement de cyberattaques dans laquelle les acteurs de la menace utilisent la manipulation psychologique pour exploiter leurs victimes et les escroquer.

Ingénierie sociale : Définition et exemples

Qu'est-ce qu'une attaque d'ingénierie sociale ?

Contrairement aux cybercriminels qui piratent votre ordinateur ou votre système de messagerie, les attaques par ingénierie sociale sont orchestrées en essayant d'influencer l'opinion d'une victime pour la pousser à exposer des informations sensibles. Les analystes de la sécurité ont confirmé que plus de 70 % des cyberattaques qui ont lieu chaque année sur l'internet sont des attaques par ingénierie sociale.

Exemples d'ingénierie sociale

Regardez l'exemple ci-dessous :

 

Ici, nous pouvons observer une publicité en ligne qui attire la victime en lui promettant de gagner 1000 $ par heure. Cette publicité contient un lien malveillant qui peut déclencher l'installation d'un logiciel malveillant sur son système. 

Ce type d'attaque, communément appelé "appât en ligne" ou simplement "appât", est une forme d'attaque par ingénierie sociale. 

Voici un autre exemple :

Comme nous l'avons vu plus haut, les attaques d'ingénierie sociale peuvent également être perpétrées en utilisant le courrier électronique comme moyen de communication. Le phishing en est un exemple courant. Nous aborderons ces attaques plus en détail dans la section suivante.

Types d'attaques d'ingénierie sociale

1. Vishing et Smishing

Supposons que vous receviez aujourd'hui un SMS de votre banque (supposée) vous demandant de vérifier votre identité en cliquant sur un lien, faute de quoi votre compte sera désactivé. Il s'agit d'un message très courant, souvent diffusé par les cybercriminels pour tromper les personnes peu méfiantes. Une fois que vous avez cliqué sur le lien, vous êtes redirigé vers une page d'usurpation qui vous demande vos informations bancaires. Soyez assuré que si vous finissez par fournir vos coordonnées bancaires aux attaquants, ils videront votre compte. 

De même, le Vishing ou Voice phishing est initié par des appels téléphoniques au lieu de SMS.

2. Appât en ligne / Baiting 

Nous rencontrons chaque jour toute une série de publicités en ligne lorsque nous naviguons sur des sites web. Bien que la plupart d'entre elles soient inoffensives et authentiques, il peut y avoir quelques pommes pourries qui se cachent dans le lot. Il est facile de les identifier en repérant les publicités qui semblent trop belles pour être vraies. Elles comportent généralement des allégations et des attraits ridicules, comme la possibilité de gagner le jackpot ou de bénéficier d'une réduction considérable.

N'oubliez pas que cela peut être un piège (alias a appât). Si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Il est donc préférable de se tenir à l'écart des publicités suspectes sur Internet et de ne pas cliquer dessus.

3. Hameçonnage

Les attaques d'ingénierie sociale sont le plus souvent menées par le biais d'e-mails et sont appelées hameçonnage. Les attaques de phishing font des ravages à l'échelle mondiale depuis presque aussi longtemps que le courrier électronique lui-même existe. Depuis 2020, en raison d'un pic dans les communications par courrier électronique, le taux de phishing a également grimpé en flèche, escroquant les organisations, grandes et petites, et faisant les gros titres chaque jour. 

Les attaques de phishing peuvent être classées en trois catégories : Spear phishing, whaling et CEO fraud, qui consistent à usurper l'identité d'employés spécifiques au sein d'une organisation, de décideurs de l'entreprise et du CEO, respectivement.

4. Les escroqueries à la romance

Le Federal Bureau of Investigation (FBI) définit les arnaques à la romance sur Internet comme "des escroqueries qui se produisent lorsqu'un criminel adopte une fausse identité en ligne pour gagner l'affection et la confiance d'une victime. L'escroc utilise ensuite l'illusion d'une relation romantique ou proche pour manipuler et/ou voler la victime." 

Les escroqueries à la romance relèvent des types d'attaques d'ingénierie sociale, car les attaquants utilisent des tactiques de manipulation pour nouer une relation amoureuse étroite avec leurs victimes avant de passer à l'action, c'est-à-dire de les escroquer. En 2021, les arnaques à la romance ont pris la première place des cyberattaques les plus dommageables financièrement de l'année, suivies de près par les ransomwares.

5. Usurpation d'identité

L'usurpation de domaine est une forme très évoluée d'attaque par ingénierie sociale. Il s'agit d'un attaquant qui falsifie le domaine d'une entreprise légitime pour envoyer des courriels à des clients au nom de l'organisation expéditrice. L'attaquant manipule les victimes en leur faisant croire que ledit courriel provient d'une source authentique, c'est-à-dire d'une entreprise dont elles font confiance aux services. 

Les attaques par usurpation d'identité sont difficiles à repérer car les courriels sont envoyés à partir du propre domaine de l'entreprise. Cependant, il existe des moyens de les résoudre. L'une des méthodes les plus utilisées et recommandées par les experts du secteur consiste à minimiser l'usurpation d'identité à l'aide d'un protocole DMARC .

6. Prétextage

Le prétextage peut être considéré comme le prédécesseur d'une attaque d'ingénierie sociale. Il s'agit du cas où un attaquant tisse une histoire hypothétique pour étayer sa demande d'informations sensibles sur l'entreprise. Dans la plupart des cas, le prétextage s'effectue par le biais d'appels téléphoniques, dans lesquels l'attaquant se fait passer pour un client ou un employé et demande des informations sensibles à l'entreprise.

Quelle est une méthode courante utilisée dans l'ingénierie sociale ?

La méthode la plus courante utilisée en ingénierie sociale est le phishing. Jetons un coup d'œil à quelques statistiques pour mieux comprendre comment le phishing est une menace mondiale croissante :

  • Le rapport 2021 Cybersecurity Threat Trends de CISCO souligne que 90 % des violations de données sont dues à l'hameçonnage.
  • Dans son rapport Cost of a Data Breach Report de 2021, IBM a attribué au phishing le titre de vecteur d'attaque le plus coûteux financièrement.
  • Chaque année, le taux d'attaques par hameçonnage augmente de 400 %, comme l'indique le FBI.

Comment se protéger des attaques d'ingénierie sociale ?

Protocoles et outils que vous pouvez configurer : 

  • Déployez des protocoles d'authentification des e-mails au sein de votre organisation, tels que SPF, DKIM et DMARC. Commencez par créer un enregistrement DMARC gratuit dès aujourd'hui avec notre générateur d'enregistrements DMARC.
  • Appliquez votre politique DMARC à p=reject pour minimiser l'usurpation de domaine direct et les attaques de phishing par e-mail
  • Assurez-vous que votre système informatique est protégé à l'aide d'un logiciel antivirus.

Les mesures personnelles que vous pouvez prendre :

  • Sensibiliser votre organisation aux types courants d'attaques d'ingénierie sociale, aux vecteurs d'attaque et aux signes avant-coureurs.
  • Renseignez-vous sur les vecteurs et les types d'attaque. Visitez notre base de connaissances, saisissez "phishing" dans la barre de recherche, appuyez sur la touche Entrée et commencez à apprendre dès aujourd'hui !  
  • Ne soumettez jamais d'informations confidentielles sur des sites web externes
  • Activer les applications d'identification de l'appelant sur votre appareil mobile
  • N'oubliez jamais que votre banque ne vous demandera jamais de communiquer vos informations de compte et votre mot de passe par courrier électronique, par SMS ou par téléphone.
  • Vérifiez toujours l'adresse de départ et l'adresse de retour de vos courriels pour vous assurer qu'elles correspondent. 
  • Ne cliquez jamais sur des pièces jointes ou des liens suspects avant d'être sûr à 100% de l'authenticité de leur source.
  • Réfléchissez à deux fois avant de faire confiance aux personnes avec lesquelles vous interagissez en ligne et que vous ne connaissez pas dans la vie réelle.
  • Ne naviguez pas sur les sites Web qui ne sont pas sécurisés par une connexion HTTPS (par exemple, http://domain.com).

/par