TechnoChouette

Qu’est-ce que l’ingénierie sociale? Voici comment vous pourriez être piraté

16 novembre 2020 Hibou Gourou

L'ingénierie sociale est un terme important dans le monde de la sécurité, mais vous ne savez peut-être pas exactement ce que cela signifie. Bien qu'il s'agisse d'un vaste sujet, il existe des types spécifiques d'ingénierie sociale que nous pouvons examiner pour en savoir plus.

Examinons l'ingénierie sociale en tant que concept pour éviter d'en être victime.

Dans le domaine de la sécurité, l'ingénierie sociale est l'acte de manipuler des personnes pour leur voler des informations privées ou leur faire abandonner ces détails confidentiels. L'ingénierie sociale repose sur l'exploitation de la nature humaine, qui est généralement le maillon le plus faible d'un système par ailleurs fort.

L'ingénierie sociale, contrairement à de nombreuses autres attaques techniques, n'essaie pas de s'introduire directement dans les systèmes informatiques. Alors qu'un pirate informatique peut écrire un programme qui tente de forcer le mot de passe de quelqu'un ou d'exploiter un bogue dans un logiciel, l'ingénierie sociale ne repose que sur le fait de tromper ou de manipuler les victimes pour faire quelque chose que l'attaquant veut.

Alors que l'ingénierie sociale est antérieure à l'ère d'Internet (pensez aux tactiques de vente qui vous poussent à acheter quelque chose que vous ne voulez pas), la pratique est devenue beaucoup plus répandue en ligne.

Même avec des mots de passe forts, des logiciels de sécurité de premier ordre et des machines physiquement sécurisées, une personne trompée peut être une vulnérabilité et toujours inviter une faille de sécurité dans une entreprise ou dans sa propre configuration.

La plupart des gens reconnaissent les escroqueries flagrantes. Étant donné que la connaissance de ces astuces s'est accrue au fil du temps, les fraudeurs qui les dirigent doivent régulièrement modifier leurs tactiques pour les maintenir viables.

En conséquence, des schémas d'ingénierie sociale spécifiques s'adaptent au fil du temps. Cependant, beaucoup de ces astuces utilisent un mélange des éléments suivants:

Tactiques de peur : si un escroc peut vous faire craindre que quelque chose de mal soit sur le point de se produire, vous êtes plus susceptible de suivre sans réfléchir de manière critique. Par exemple, ils pourraient se faire passer pour le gouvernement et exiger des paiements d'impôts sous peine d'être arrêtés.
Un sentiment d'urgence: pour vous pousser à agir avant de penser, de nombreuses escroqueries d'ingénierie sociale nécessitent une action immédiate, de peur que vous ne «perdiez votre compte» ou autre.
Se faire passer pour une entreprise légitime: pour vous convaincre qu'ils ne sont pas faux, les attaquants utiliseront des éléments d'apparence authentique dans leur courrier électronique ou toute autre communication.
Formulation vague: étant donné que les attaques d'ingénierie sociale s'adressent généralement à de nombreuses personnes à la fois, la plupart ne vous sont pas spécifiques. Un libellé générique et l'absence de raison particulière pour la communication sont des signes que vous avez affaire à un faux.

Ensuite, jetons un coup d'œil à certaines formes courantes d'ingénierie sociale pour voir comment cela se déroule.

Hameçonnage

Vous êtes probablement familier avec le phishing. C'est l'un des types d'ingénierie sociale les plus courants. Il s'agit d'une attaque où quelqu'un prétend être une entité légitime, généralement par e-mail, et demande des informations sensibles.

Il prétend souvent provenir de PayPal, d'Apple, de votre banque ou d'une autre société de confiance, vous demandant de «confirmer» vos coordonnées ou d'examiner une transaction suspecte.

Pour vous protéger contre le phishing, vous ne devez jamais cliquer sur les liens dans les e – mails et rappelez-vous que les entreprises légitimes ne demandent pas d'informations sensibles de cette manière. Assurez-vous également de bien connaître les différentes formes de phishing .

Escroqueries téléphoniques

Les escroqueries par téléphone sont plus anciennes que le phishing par e-mail, mais elles sont toujours populaires. Dans ces schémas, quelqu'un vous appelle en prétendant, par exemple, être de la société de votre carte de crédit et vous demandant de confirmer vos coordonnées en raison d'une activité suspecte.

Ils peuvent également prétendre représenter une entreprise informatique qui doit «réparer les infections virales» sur votre ordinateur.

Par téléphone, un voleur peut établir une connexion plus personnelle que par e-mail. Mais si vous faites attention, il est facile de savoir quand vous êtes au téléphone avec un escroc .

Appâtage

Bien qu'il ne soit pas aussi répandu que les formes ci-dessus, l'appâtage est une forme d'ingénierie sociale qui s'attaque à la curiosité humaine. Lors de ces attaques, un fraudeur laisse un CD ou une clé USB infecté dans un endroit où il espère que quelqu'un le récupérera. Si vous insérez ensuite le média dans votre PC, vous pourriez finir par être touché par des logiciels malveillants si le contenu du lecteur s'exécute automatiquement.

Cette attaque est plus compliquée, car elle utilise des supports physiques. Cependant, cela montre que vous ne devez jamais brancher une clé USB ou un autre appareil sur votre ordinateur si vous ne lui faites pas confiance.

Talonnage

Cette attaque, contrairement aux autres, repose sur la présence physique de l'escroc. Le talonnage fait référence à l'acte d'accéder à une zone sécurisée en se superposant à une autre personne (légitime).

Un exemple courant de ceci est une porte sur un lieu de travail qui vous oblige à numériser une carte-clé pour entrer. Bien qu'il soit courtoisie de maintenir la porte ouverte à quelqu'un derrière vous, la plupart des entreprises ne veulent pas que vous le fassiez. La personne derrière vous pourrait essayer de se faufiler dans un endroit où elle ne devrait pas être, en se nourrissant de votre gentillesse.

Celui-ci est principalement applicable à une utilisation professionnelle, mais il est judicieux de se rappeler que vous devez également protéger l'accès physique à votre ordinateur . Quelqu'un qui est capable de se faufiler sur votre machine sans que vous regardiez pourrait faire beaucoup de dégâts.

Scareware

Parfois appelé «scareware», il s'agit d'une sorte de mélange entre le phishing et les logiciels malveillants. Dans ces attaques, vous êtes menacé d'utiliser de faux messages, dans l'espoir de payer de l'argent à un escroc ou de renoncer à des informations sensibles.

Les fausses alertes virales constituent une forme courante de scareware. Ceux-ci ne sont pas dangereux en eux-mêmes, mais vous incitent à penser qu'il s'agit de signes réels d'infection sur votre appareil. Les escrocs espèrent que vous tomberez dans le faux et que vous leur enverrez de l'argent pour «réparer» l'infection ou que vous téléchargerez leur logiciel, ce qui est en fait dangereux.

Les e-mails d'extorsion sont une autre technique d'effarouchement courante . Dans ceux-ci, vous recevez un e-mail de quelqu'un qui prétend avoir un contenu compromettant de vous, ou similaire. Ils exigent un paiement pour les empêcher de diffuser la vidéo ou l'image à tous vos amis. Bien sûr, ils n'ont pas réellement de telles informations; ils espèrent juste que vous les croyez.

Comme nous l'avons vu, l'ingénierie sociale prend de nombreuses formes et peut souvent être difficile à détecter. Pour vous protéger de ces attaques et d'autres similaires, gardez à l'esprit les points suivants:

Ne faites pas confiance aux e-mails . Les e-mails sont l'une des formes de communication les plus faciles à simuler. Ne cliquez jamais sur un lien dans un e-mail à moins que vous ne vous y attendiez spécifiquement. Il est toujours plus sûr de visiter directement des sites Web.
N'agis pas sans réfléchir . Si vous recevez un message qui s'attaque à vos émotions, il est probablement conçu pour vous tromper. Arrêtez-vous et réfléchissez lorsque vous vous sentez particulièrement inquiet ou curieux, car vous êtes plus susceptible de prendre des décisions hâtives dans ces cas.
Confirmez toujours les informations suspectes . Si quelqu'un prétend venir d'une certaine entreprise, demandez-lui des informations pour le prouver. S'ils répondent par de vagues excuses, ils sont des menteurs.

Même si vous n'êtes jamais victime d'un exploit compliqué ou que votre mot de passe n'est pas piraté, vous risquez toujours de vous laisser sécher par un programme d'ingénierie sociale. En reconnaissant ces escroqueries courantes et en réfléchissant de manière critique lorsque ces situations se présentent, vous pouvez éviter de faire le jeu d'un fraudeur.

Pendant ce temps, l'ingénierie sociale n'est pas la seule façon dont la psychologie humaine est exploitée en ligne.

Crédit d'image: wk1003mike / Shutterstock