Rien ne broie les engrenages proverbiaux tout à fait comme être dupé. Avoir quelqu'un profiter de votre gentillesse, des désirs, de l'obéissance, de la curiosité, ou des peurs expose un trou en colère dans les profondeurs de votre âme. C'est le type exact de résultat, plus vos mots de passe et numéros de carte de crédit, que les pirates et les voleurs de données visent à découvrir avec les attaques d'ingénierie sociale.
Qu'est-ce qu'une attaque d'ingénierie sociale?
L'ingénierie sociale, qui est essentiellement la même chose que de devenir la proie des escrocs, est l'art sombre de l'utilisation des interactions sociales pour tromper quelqu'un à faire une erreur de sécurité. Les attaques d'ingénierie sociale visent à franchir un obstacle de sécurité (mot de passe, processus, porte verrouillée, etc.), en manipulant leur victime pour révéler des informations privées (nom d'utilisateur, mot de passe ou informations de carte de crédit). installation ou l'installation de logiciels malveillants sur un réseau ou un périphérique. Une attaque d'ingénierie sociale bien menée se terminera sans même que la victime sache ce qui s'est réellement passé.
Voici des définitions et des exemples de 7 des types les plus répandus d'attaques d'ingénierie sociale.
Phishing
L'une des formes les plus courantes d'attaques d'ingénierie sociale, l'hameçonnage est un courriel frauduleux ou un site Web conçu pour inciter les gens à révéler des informations privées (nom d'utilisateur, mots de passe, informations de carte de crédit, etc.) ou télécharger des logiciels malveillants. Les courriels d'hameçonnage réussis reposent sur des tactiques de peur, comme des courriels urgents de votre banque ou d'une autre institution financière, «trop bonnes pour être vraies», comme des offres de produits bon marché ou difficiles à trouver ou votre sens du devoir envers votre employeur. le voleur de données usurpera l'identité de votre patron ou d'un autre personnage de haut niveau de votre entreprise. Le but de l'hameçonnage est d'amener la victime à entrer un mot de passe ou un nom d'utilisateur sur une page d'atterrissage bidon qui semble presque identique à la réalité, ou de télécharger un logiciel malveillant sur son appareil.
Avec près de 1.5 millions de sites d'hameçonnage en cours de création chaque mois, le phishing continue de sévir dans les entreprises. Si ce n'est pas le cas, une tentative d'hameçonnage réussie pourrait entraîner une fuite importante de données et coûter à votre entreprise des millions de dollars en frais juridiques et autres efforts de remédiation.
Spear Phishing
Spear phishing est un type d'attaque d'hameçonnage plus spécifique et ciblé qui vise à obtenir des informations d'identification spécifiques auprès d'un utilisateur ou d'une entreprise spécifique. Plus fortement étudié qu'une attaque de phishing générique, les attaques de spear phishing usurperont généralement l'identité d'une personne dans le but d'escroquer une autre personne spécifique. Un exemple courant de harponnage est lorsqu'un criminel se présente en tant que PDG et envoie un e-mail à quelqu'un du département des finances pour demander que les fonds soient immédiatement transférés sur un certain compte bancaire. Souvent, ne voulant pas offenser leur patron, la personne des finances peut contourner certains processus dans le but de l'abattre rapidement.
Le cyber-criminel, dans ce cas, utilisera une adresse e-mail qui ressemble beaucoup à l'adresse e-mail du PDG. Voilà pourquoi il est important de éduquer les employés sur phis communhtechniques, afin qu'ils sachent quoi regarder.
vishing
Voice Phishing, ou vishing, est la version téléphonique du phishing, où quelqu'un tente d'escroquer quelqu'un par téléphone. Une version courante du vishing au Canada est un message préenregistré qui appelle des personnes innocentes prétendant être l'Agence du revenu du Canada. Ce type d'attaque repose souvent sur la peur, le message affirmant que la personne pourrait faire face à de lourdes amendes ou même à une peine de prison si elle ne renvoie pas immédiatement l'appel téléphonique. Dans ce type d'attaque, le fraudeur cherchera à obtenir le numéro d'assurance sociale de la victime ou à demander de l'argent sous forme d'arriérés d'impôts factices et impayés.
Pretexting
Pretexting, un type d'attaque d'ingénierie sociale utilisé à des fins de vol d'identité, est quand un attaquant crée un «prétexte», ou un faux scénario, pour obtenir des informations sensibles. Généralement, l'attaquant prétend rassembler des informations afin de confirmer l'identité de sa cible. L'agresseur pourrait imiter une banque, un employeur, un organisme gouvernemental, la police ou une autre entité officielle. Ici, l'attaquant utilise sa fausse position d'autorité pour gagner la confiance, car la victime croit qu'elle fournit l'information à quelqu'un qui l'a déjà.
Pour éviter les faux-semblants, n'ayez pas peur d'interroger la personne qui demande l'information. Si vous recevez un appel, demandez à les rappeler et consultez le numéro en ligne sur un site officiel. Souvent, les attaquants peuvent être non professionnels ou trop autoritaires.
Baiting
Un autre truc conmanuel classique, l'appâtage est la promesse d'un objet, qui lorsque la victime va obtenir l'élément (que ce soit une chanson, un film ou un autre téléchargement alléchant), ils vont plutôt infecter leur appareil avec des logiciels malveillants. Un exemple commun d'appâtage est une goutte USB, où une clé USB infectée est laissée dans un lieu public. Les personnes curieuses avec souvent brancher l'appareil dans leur ordinateur, et finissent par infecter l'ensemble de leur réseau. Baiting utilise souvent en tandem avec un courriel de phishing.
Talonnage
Le talonnage est un type d'attaque d'ingénierie sociale visant principalement à accéder à une zone verrouillée. Les accompagnateurs peuvent poser comme livreur, entrepreneur ou autre employé d'entretien, et suivre un employé dans un immeuble sans avoir les compétences requises. Souvent, l'agresseur engage une conversation d'une manière amicale avec quelqu'un entrant dans un immeuble et il suffit de les suivre. C'est un type d'attaque assez courant, car de nombreux employés sont habitués aux visiteurs dans leur immeuble.
Pourquoi Google indique-t-il que les sites ne sont pas sécurisés?
Il est important de former les employés sur les pratiques de sécurité communes, comme s'assurer que les portes se ferment derrière eux, car cela peut entraîner des problèmes assez importants. Une fois qu'un attaquant se trouve dans un bâtiment et passe la première ligne de défense, il peut voler des documents, prendre des photos des écrans des employés et des caméras de sécurité, ce qui peut causer des problèmes majeurs.
Quiproquo
Semblable à l'appât, les attaques quid pro quo offrent à la victime un avantage en échange d'informations ou d'accès. La forme la plus courante de quid pro quo est un attaquant se présentant comme une personne de soutien informatique. Dans ce cas, l'attaquant appellera des numéros aléatoires dans une entreprise, jusqu'à ce qu'ils atteignent finalement quelqu'un qui a un problème informatique. L'attaquant demandera alors à la victime de désactiver son système antivirus ou d'installer un logiciel malveillant sous prétexte de fournir une assistance.
Conseils pour éviter les attaques d'ingénierie sociale
En général, il est toujours préférable d'être prudent quand il s'agit de vos informations personnelles. Prenez le temps de regarder l'URL des sites Web que vous visitez pour vous assurer qu'ils semblent légitimes, et n'oubliez pas ces quelques conseils:
- Si cela semble trop beau pour être vrai, c'est probablement le cas.
- Méfiez-vous des messages menaçants, urgents ou exigeants
- N'ayez pas peur de parler. Si quelque chose semble hors de propos ou étrange, demandez à votre équipe informatique.
Être prudent quand il s'agit de vos informations privées n'est pas seulement bénéfique pour vous, mais pour l'ensemble de votre entreprise, alors ne laissez pas les attaques d'ingénierie sociale pleuvent sur votre défilé.