Qu'est-ce qu'ils sont et comment les prévenir

L’ingénierie sociale implique généralement d’influencer une personne pour qu’elle entreprenne une action qu’elle ne ferait pas autrement. En tant que telle, l’ingénierie sociale malveillante dans le cadre de la cybersécurité fait référence à la manipulation d’humains pour accéder à des informations privées ou à des systèmes restreints. Un rapport de 2020 de Verizon a estimé que 22 % des violations de données confirmées impliquaient des attaques d’ingénierie sociale, qui sont des escroqueries basées sur la manipulation psychologique qui relèvent de la cybercriminalité. Pour cette raison, ils sont aussi parfois connus sous le nom de piratage humain. La plupart des gens sont vulnérables à ces attaques en raison d’un manque de sensibilisation, ce qui aide les pirates à tromper des cibles inconscientes.

Attaques d’ingénierie sociale courantes

Les attaques d’ingénierie sociale existent depuis les premiers jours des réseaux informatiques. Au fil des ans, ils se sont transformés en quelques escroqueries populaires. Il s’agit non seulement d’appels ou de messages frauduleux, mais aussi de sites Web élaborés, d’e-mails intelligemment conçus et même d’escroqueries en personne et physiques.

Attaques de phishing

Les attaques de phishing impliquent de prétendre être une autorité de confiance pour obtenir les informations nécessaires pour récupérer les informations d’identification et, finalement, accéder aux données protégées. Deux méthodes populaires utilisées par les attaquants sont le spam phishing et le spear phishing. Le spam phishing est un message général envoyé à de nombreux utilisateurs dans le but d’attraper quelqu’un. En revanche, le harponnage, ou chasse à la baleine, est plus ciblé et s’adresse souvent à des personnes ayant une autorité supérieure. Les attaques de phishing peuvent utiliser la voix, les SMS ou les e-mails menant à des liens frauduleux. Cependant, une méthode plus récente, appelée hameçonnage à la ligne, a lieu sur les réseaux sociaux, où un attaquant se fera passer pour un représentant de l’entreprise et canalisera vos interactions vers lui-même. D’autres méthodes incluent l’hameçonnage de moteur de recherche, qui tente de classer les liens malveillants sur un moteur de recherche, et l’hameçonnage d’URL, qui vous dirige vers un site Web malveillant via des liens cachés qui ont été orthographiés de manière trompeuse ou qui promettent de donner un accès gratuit à l’information.

Attaques d’appâts

Les attaques d’appâts font exactement ce que leur nom l’indique. Ils impliquent généralement d’offrir des liens avec accès à tout, des cadeaux aux messages promissoires, qui incitent les utilisateurs à ouvrir ces liens, soit par cupidité, soit par curiosité. Une fois attiré, l’attaquant peut infecter le système de l’utilisateur avec des logiciels malveillants et accéder à des données et des réseaux sensibles. Les attaquants sont même connus pour utiliser des supports physiques, dans lesquels ils laissent quelque chose comme une clé USB dans un espace public, où vous ne soupçonnerez aucune intention malveillante. Et lorsque vous essayez de le brancher sur votre système, il propage des logiciels malveillants sur votre système.

Logiciels effrayants

Scareware fait référence à toute cyberattaque qui représente une menace fictive et exige une action urgente. La solution proposée est, en fait, la tentative de l’attaquant d’infecter votre appareil ou votre réseau avec des logiciels malveillants en téléchargeant des logiciels malveillants sur votre appareil ou en vous dirigeant vers un site frauduleux. Il apparaît généralement sous forme de fenêtres contextuelles qui parlent de l’expiration de l’antivirus, de l’infection ou de la détection de logiciels espions nuisibles. Cependant, il peut également se propager par la circulation de certains e-mails. Souvent, il est destiné à vous faire acheter des logiciels inutiles ou à agir comme un logiciel malveillant lui-même.

Spammage

Le spam par e-mail est le moyen le plus ancien utilisé par les pirates pour utiliser l’ingénierie sociale en ligne. Il est idéalement filtré dans votre boîte de réception de courrier indésirable par votre fournisseur de messagerie. Malheureusement, le spam est plus qu’une simple nuisance. Le spam malveillant peut être dangereux s’il passe à travers les filtres dans votre boîte de réception.

A lire aussi : Conseils de sécurité des e-mails pour prévenir l’hameçonnage et les logiciels malveillants

Talonnage

Le talonnage consiste à accéder physiquement à une zone réglementée par de mauvais moyens. L’exemple le plus direct consiste à entrer dans une porte nécessitant une authentification en se faufilant simplement derrière une personne ayant accès. Cependant, le talonnage peut inclure tout moyen similaire, tel que discuter avec le personnel de la réception ou se faire passer pour un chauffeur-livreur.

Pretexte

En faisant semblant, un attaquant se fait parfois passer pour quelqu’un dans une position critique, comme un agent de banque ou un membre informatique. Ici, l’escroquerie commence souvent par des questions anodines qui dégénèrent en questions concernant des informations sensibles. Ensuite, sous prétexte de confirmer l’identité de la victime, l’attaquant peut collecter des informations telles que des numéros de sécurité sociale, des numéros de téléphone ou des relevés bancaires.

Mesures contre l’ingénierie sociale

L’ingénierie sociale est basée sur des facteurs psychologiques tels que nos biais cognitifs. Les caractéristiques les plus couramment identifiables de toute escroquerie d’ingénierie sociale sont l’urgence et la convivialité excessive. Vous pouvez prendre certaines mesures pour empêcher tout accès indésirable à vos informations, notamment  :

Outils de sécurité

Bien qu’aucun outil ne soit parfait, la plupart sont efficaces contre un grand nombre d’escroqueries. De plus, avec des mises à jour et une assistance régulières, ils peuvent constituer la première ligne de défense contre les accès indésirables.

  • Maintenez à jour votre logiciel anti-malware et antivirus
  • Réglez les filtres anti-spam sur une sécurité élevée
  • /li>

  • Rendre la sécurité Internet obligatoire sur les appareils officiels

Mots de passe

Vous pouvez améliorer votre sécurité en prenant des mesures simples comme choisir un mot de passe fort et le mettre à jour régulièrement.

/li>

  • Ne partagez jamais votre mot de passe
  • Si vous pensez que votre mot de passe est compromis, changez-le au plus tôt
  • Envisagez d’utiliser l’authentification en deux étapes
  • Dispositifs

    Un seul appareil compromis peut rendre un réseau sécurisé vulnérable. Prenez les mesures appropriées pour vous assurer que vos appareils ne sont pas ouverts sur les réseaux publics ou qu’il n’y a pas d’appareils non identifiés sur votre réseau.

    • Ne laissez pas vos appareils non sécurisés en public
    • Verrouillez toujours vos écrans lorsque vous quittez votre bureau

    Réseau

    Certains des moyens les plus simples de sécuriser vos données peuvent se produire au niveau du réseau.

    • Ne laissez jamais des étrangers se connecter à votre Wi-Fi principal. Au lieu de cela, activez l’utilisation du Wi-Fi invité
    • /li>

    • Sécurisez tous les appareils connectés à votre réseau

    Personnel

    Le dénominateur commun de toutes les attaques est la psychologie humaine. Les équipes doivent être formées pour être activement à l’affût d’une tentative d’attaque d’ingénierie sociale.

    • Vérifiez toujours la crédibilité du numéro ou de l’e-mail par lequel vous êtes contacté
    • Dans des situations physiques, demandez toujours une pièce d’identité et assurez-vous que vos employés portent leur pièce d’identité à un endroit visible
    • Faites du talonnage une infraction grave
    • Faites attention aux comportements inattendus d’un appelant, tels que l’urgence, la pression ou les tentatives de vous effrayer pour que vous divulguiez certaines informations

    Les autres

    Pour rester au courant des cybermenaces, assurez-vous d’intégrer d’autres méthodes de sécurité.

    • Informez vos employés des mesures de sécurité et concevez des politiques pertinentes
    • Effectuez une vérification régulière des violations de données connues

    Ingénierie sociale  : une menace constante

    En 2020, les comptes Twitter d’Elon Musk, de l’ancien président américain Obama et du président américain Biden ont été piratés pour pousser les ventes de crypto. Cela prouve que personne n’est à l’abri des escroqueries par ingénierie sociale, pas même les géants de la technologie ou les célébrités. L’ingénierie sociale est le moyen le plus court pour quelqu’un d’accéder à vos appareils. Bien que le vol de vos informations d’identification nécessite du temps et des efforts, quelqu’un pourrait obtenir les informations nécessaires par téléphone, par e-mail ou même lors d’une réunion en personne. À mesure que la sécurité numérique s’améliore, l’ingénierie sociale peut être la solution de facilité pour les attaquants. Vous et vos équipes de sécurité devez rester proactifs face aux menaces et aux mesures émergentes, car la technologie disponible pour les ingénieurs en sécurité est également disponible pour les cybercriminels. Les cyberattaques peuvent être une affaire coûteuse pour l’organisation victime. Cependant, vous pouvez prendre les mesures nécessaires pour réduire les risques et l’impact d’une attaque. La préparation vous permettra également de repérer une brèche et de récupérer rapidement.

    Lire ensuite  : Sensibilisation des employés à la cybersécurité  : meilleures pratiques

    Tags: