Divers

6 des cyberattaques d'ingénierie sociale les plus courantes

6 des cyberattaques d'ingénierie sociale les plus courantes

Les attaques d'ingénierie sociale peuvent être très convaincantes et, potentiellement, très coûteuses pour les victimes. Les ingénieurs sociaux utiliseront une variété de techniques pour récolter des informations sensibles auprès des victimes pour leur propre bénéfice commercial ou autre.

Nous explorons ici ce que font les ingénieurs sociaux et mettons en évidence six stratégies communes qu'ils utilisent.

CONNEXION: COMMENT SE PROTÉGER DE DEVENIR VICTIME DE LA CYBERSTALKING

Qu'est-ce que la cyber-ingénierie sociale?

L'ingénierie sociale, au cas où vous ne le sauriez pas, consiste à utiliser diverses techniques psychologiques pour frauder ou collecter des informations sensibles auprès d'un individu ou d'une organisation.

Dans le contexte de cet article, le terme d'ingénierie sociale est utilisé en référence à la sécurité de l'information plutôt qu'aux stratégies planifiées de manière centralisée utilisées pour encourager, bien que généralement forcer, le changement social afin de réguler le développement et le comportement futurs d'une société.

"[Le] recours à la tromperie pour manipuler des individus afin qu'ils divulguent des informations confidentielles ou personnelles qui pourraient être utilisées à des fins frauduleuses." - Lexico.com.

Il s'agit d'un terme très large et comprend une gamme d'activités malveillantes utilisant des interactions humaines pour obtenir des données à des fins commerciales ou pour un autre avantage pour l'attaquant.

Quels sont quelques exemples d'attaques d'ingénierie sociale?

Voici six exemples d'attaques d'ingénierie sociale courantes. Les exemples suivants sont sans ordre particulier et sont loin d'être exhaustifs.

1. Le phishing est une stratégie très courante

Le phishing est l'une des formes les plus courantes de cyberattaque d'ingénierie sociale, sinon la plus courante. Selon des sites comme lifewire.com, il représente en fait une quantité substantielle de tous les spams que les gens reçoivent quotidiennement.

Mais cela peut également être tenté par SMS, messagerie instantanée et d'autres formes d'interaction sur les réseaux sociaux.

Ces formes de messages tentent de vous inciter à divulguer directement des informations sensibles telles que des mots de passe, des détails de carte, etc., ou de visiter une URL frauduleuse pour extraire des informations similaires.

Les types les plus avancés de cette forme d'attaque d'ingénierie sociale tentent d'imiter une institution réputée et digne de confiance comme votre banque, etc. etc.).

2. Les attaques de points d'eau sont une forme courante de cyberespionnage

Les attaques de points d'eau consistent en des individus malveillants qui injectent du code malveillant dans des sites Web publics pour attaquer des utilisateurs réguliers.

"Dans cette attaque, l'attaquant devine ou observe quels sites Web [un groupe cible] utilise souvent et infecte un ou plusieurs d'entre eux avec des logiciels malveillants. Finalement, un membre du groupe ciblé devient infecté", selon Wikipedia.

Lorsque les utilisateurs visitent le site, le site Web inclus ouvre un cheval de Troie de porte dérobée à l'ordinateur de l'utilisateur. La méthode d'attaque du point d'eau est très courante pour les opérations de cyberespionnage ou les attaques parrainées par l'État.

3. Le talonnage peut être un réel problème

Le talonnage, comme son nom l'indique, est une forme d'attaque d'ingénierie sociale qui est utilisée pour donner à un individu malveillant un accès physique à une zone sans autorisation appropriée. Dans leurs formes les plus élémentaires, un attaquant attendra qu'une personne autorisée utilise sa carte d'accès ou ses informations d'identification biométriques pour ouvrir une porte d'accès électronique.

Ils passeront alors simplement la porte avant qu'elle ne se ferme.

Les versions plus avancées impliquent l'utilisation de jouer sur la générosité de quelqu'un. Par exemple, ils peuvent s'encombrer d'objets lourds et attendre à la porte d'accès.

Lorsqu'un employé autorisé s'approche, il prétend qu'il ne peut pas accéder à sa propre carte d'accès et lui demande de lui ouvrir la porte.

4. Le prétexte peut être très convaincant

Le prétexte, par opposition au phishing, tente d'extraire des informations sensibles en renforçant la confiance au fil du temps. L'attaquant créera un prétexte crédible, mais complètement fabriqué, pour jeter les bases et briser les défenses d'une victime au fil du temps.

Par exemple, ils appellent une cible et prétendent avoir besoin de certaines informations pour activer un nouveau compte système ou vérifier leur identité. Les versions les plus sophistiquées établiront une relation sur des jours ou des semaines, et elles peuvent prendre l'identité d'un employé réel dans le service informatique de leur victime.

Ce type de tactique est utilisé pour gagner la confiance de la victime et augmenter la probabilité qu'elle divulgue les informations demandées sans hésitation.

5. Les attaques de chasse à la baleine visent généralement les cadres supérieurs

La chasse à la baleine est une forme de phishing plus sophistiquée qui utilise des techniques d'ingénierie sociale plus avancées pour récolter des informations sensibles. Il a tendance à mettre le fardeau sur les informations qui ont une valeur économique et commerciale plus élevée pour l'attaquant.

"Ce qui distingue cette catégorie de phishing des autres, c'est le choix des cibles: les cadres compétents des entreprises privées et des agences gouvernementales. Le mot chasse à la baleine est utilisé, indiquant que la cible est un gros poisson à capturer." - infosecinstitute.com.

Les e-mails provenant d'attaques de chasse à la baleine ont tendance à prendre l'apparence d'e-mails commerciaux critiques envoyés par des autorités légitimes ou d'autres organisations importantes. Le contenu des messages tend également à être destiné à des cadres supérieurs et comprendra souvent de fausses informations concernant des problèmes à l'échelle de l'entreprise ou d'autres questions confidentielles.

6. Attaques Baiting et Quid Pro Quo

L'appâtage est une autre attaque néfaste d'ingénierie sociale qui tente de jouer sur la curiosité de la victime. Un exemple classique utilisera des fichiers malveillants déguisés en quelque chose d'autre comme une mise à jour logicielle ou un autre logiciel générique.

Il peut également être diffusé grâce à l'utilisation de périphériques USB infectés déposés dans le monde réel - par exemple, une clé USB "perdue" dans un parking. Le logiciel malveillant utilisé compromettra la sécurité d'un PC et fournira aux attaquants une porte dérobée pour accéder aux informations sensibles.

Une attaque similaire, mais subtilement différente, est appelée Quiproquo attaque. Cette forme d'attaque tente d'installer un logiciel malveillant en faisant quelque chose de «bien» pour la victime.

Dans ce type de scénario d'attaque, le hacker propose un service ou un avantage en échange d'informations ou d'accès. Les pirates informatiques auront tendance à se faire passer pour les membres du personnel informatique d'une organisation et à contacter les employés pour avoir accès à l'installation ou à la mise à niveau du logiciel système.

Quels sont trois exemples de techniques utilisées dans les attaques d'ingénierie sociale?

Nous avons déjà couvert 6 des formes les plus courantes de cyberattaques d'ingénierie sociale ci-dessus, mais il en existe d'autres.

  • Vishing - Autrement connu sous le nom de phishing vocal, il s'agit d'une forme d'attaque d'ingénierie sociale qui se concentre principalement sur la collecte d'informations par téléphone. Il peut également être utilisé par des attaquants à des fins de reconnaissance pour accéder à des personnes plus critiques dans une organisation.
  • Smishing - "Le fait d'utiliser la messagerie texte SMS pour attirer les victimes dans un plan d'action spécifique. Comme le phishing, il peut s'agir de cliquer sur un lien malveillant ou de divulguer des informations", note Wikipedia.
  • Hameçonnage - Il s'agit d'une forme de phishing qui a tendance à utiliser des e-mails hautement personnalisés envoyés à un nombre limité de victimes potentielles.

Que fait un ingénieur social?

Les ingénieurs sociaux sont des personnes qui mènent une gamme d'activités malveillantes pour inciter les victimes humaines à divulguer des informations personnelles ou sensibles, ou à accéder à ces informations. Cela peut être soit par des moyens numériques (comme le courrier électronique), soit physiquement dans le monde réel.

En référence à ces derniers, ils seraient traditionnellement appelés «escrocs» ou «escrocs de confiance».

Quoi qu'il en soit, les ingénieurs sociaux tenteront d'employer une gamme de techniques de manipulation psychologique pour inciter les victimes à commettre des erreurs de sécurité ou donner librement des informations.

Les ingénieurs sociaux auront tendance à identifier et à attaquer les victimes en suivant quelques étapes clés:

1. Enquête - Trouvez des victimes potentielles et rassemblez des informations générales / sélectionnez des moyens d'attaque

2. Essayez de les accrocher - Utilisation des techniques mentionnées précédemment

3. Jouer - Essayez de recueillir de plus en plus d'informations au fil du temps.

4. Quitter - Fermez leur interaction avec la victime. Ils tenteront également de supprimer toute trace de tout logiciel malveillant utilisé, etc. et apporteront généralement leur mascarade à une conclusion.


Voir la vidéo: CONFÉRENCE CYBERCRIME 12 (Janvier 2022).