Ingénieurs sociaux savoir sur quels boutons appuyer pour vous faire faire ce qu'ils veulent. Leurs techniques ancestrales fonctionnent vraiment. il était donc inévitable que les cybercriminels appliquent ces techniques à la cybercriminalité.
Comment fonctionne l'ingénierie sociale
Dès la naissance, nous sommes programmés pour être serviables et polis. Si quelqu'un vous pose une question, il faut un effort conscient pour ne pas y répondre, surtout si cela semble anodin. C'est l'un des comportements que les ingénieurs sociaux manipulent pour obtenir ce qu'ils veulent. Ils le font subtilement et lentement, faisant sortir les informations de leur victime pièce par pièce. Ils intercalent des questions inoffensives avec celles qui vous poussent à révéler ce qu'ils veulent savoir.
CONNEXESPourquoi votre personnel est votre maillon faible en matière de cybersécurité
L'ingénierie sociale fonctionne en manipulant les gens à l'aide de techniques qui jouent sur les traits humains de base. Des ingénieurs sociaux qualifiés peuvent vous faire ressentir de la sympathie pour eux ou pour leur situation “fabriquée”. Ils peuvent vous donner envie de contourner les règles, juste cette fois, soit parce que vous sympathisez avec eux et que vous voulez les aider, soit parce qu'ils sont pénibles et que vous voulez vraiment les retirer du téléphone. Ils peuvent vous faire vous sentir inquiet ou paniqué, plein d'espoir ou excité. Ils exploitent ensuite ces réponses émotionnelles pour vous faire agir à la hâte, souvent pour éviter une catastrophe supposée ou pour profiter d'une offre spéciale.
Les attaques d'ingénierie sociale peuvent se produire en un seul appel téléphonique. Ils peuvent se dérouler sur une période de temps, car ils entretiennent lentement un faux rapport. Mais l'ingénierie sociale ne se limite pas à la parole. Les attaques d'ingénierie sociale les plus courantes sont livrées par e-mail.
La seule chose que toutes les attaques d'ingénierie sociale ont en commun est leur objectif. Ils veulent passer à travers vos mesures de sécurité. Avec vous comme complice involontaire.
Hacking Human Nature
Les gens utilisent des techniques d'ingénierie sociale depuis aussi longtemps qu'il y a des escrocs. Le “prisonnier espagnol” l'arnaque remonte aux années 1580. Une personne fortunée reçoit une lettre d'une personne prétendant représenter un propriétaire foncier qui est illégalement détenu en captivité en Espagne sous une fausse identité. Leur véritable identité ne peut être révélée car cela le mettra encore plus en danger, lui et sa belle fille.
Publicité
Leur seul espoir d'évasion est de soudoyer leurs gardes. Toute personne qui contribue au fonds de pots-de-vin sera récompensée de nombreuses fois lorsque le captif sera libéré et aura accès à ses actifs financiers considérables. Toute personne qui accepte de faire un don rencontre l'intermédiaire qui recueille le don.
La victime est bientôt approchée à nouveau. D'autres difficultés sont survenues, le captif et sa fille doivent être exécutés, nous n'avons que deux semaines ! et bien sûr il faut plus d'argent. Ceci est répété jusqu'à ce que la victime soit saignée à blanc ou refuse de remettre plus d'argent.
Les escroqueries comme celles-ci opèrent sur différentes personnes de différentes manières. Certaines victimes sont prises au piège parce que cela fait appel à leurs nobles qualités comme la gentillesse, la compassion et le sens de la justice. Pour d'autres, l'hostilité croissante entre la Grande-Bretagne et l'Espagne les aurait incités à agir. D'autres sauteraient sur l'occasion de faire un profit facile.
L'escroquerie du prisonnier espagnol est l'équivalent élisabéthain et l'ancêtre direct du « prince nigérian ». et d'autres e-mails frauduleux qui rapportent encore de l'argent aux cybercriminels en 2021.
La plupart des gens aujourd'hui peuvent les reconnaître comme des escroqueries. Mais la plupart des attaques d'ingénierie sociale modernes sont beaucoup plus subtiles. Et l'éventail des réactions humaines aux événements émotionnels n'a pas changé. Nous sommes toujours programmés de la même manière, nous sommes donc toujours sensibles à ces attaques.
Types d'attaques
Le l'acteur menaçant veut que vous fassiez quelque chose qui soit à son avantage. Leur objectif peut être de collecter les informations d'identification du compte ou les détails de la carte de crédit. Ils peuvent vouloir que vous installiez par inadvertance des logiciels malveillants tels que des ransomwares, des enregistreurs de frappe ou des portes dérobées. Ils peuvent même vouloir accéder physiquement à votre bâtiment.
Publicité
Un trait commun à toutes les attaques d'ingénierie sociale est qu'elles tentent de générer un sentiment d'urgence. D'une manière ou d'une autre, une échéance approche. Le message subliminal au destinataire est « agissez maintenant, ne vous arrêtez pas pour réfléchir ». La victime est obligée de ne pas laisser le désastre se produire, de ne pas manquer l'offre spéciale ou de ne pas laisser quelqu'un d'autre avoir des ennuis.
E-mails de phishing
L'attaque d'ingénierie sociale la plus courante utilise les e-mails de phishing. Ceux-ci semblent provenir d'une source fiable, mais sont en réalité des faux habillés dans la livrée de la véritable entreprise. Certains présentent une opportunité telle qu'une offre spéciale. D'autres présentent un problème qui devra être résolu, tel qu'un problème de verrouillage de compte.
Les e-mails de phishing sont très facilement modifiés pour correspondre à tout ce qui est dans l'actualité. La pandémie de COVID-19 de 2020 a donné aux cybercriminels la couverture parfaite pour envoyer des e-mails de phishing avec de nouvelles lignes d'objet. Les nouvelles sur la pandémie, l'accès aux kits de test et les fournitures de désinfectant pour les mains ont tous été utilisés comme crochets pour piéger les imprudents. Les e-mails d'hameçonnage contiennent soit un lien vers un site Web contaminé, soit une pièce jointe contenant un programme d'installation de malware.
CONNEXES : Pourquoi épelent-ils l'hameçonnage avec “ph ?” Un hommage improbable
Appels téléphoniques
Les e-mails de phishing sont envoyés par millions, avec un corps de texte générique. L'ingénierie sociale par appel téléphonique est généralement adaptée à une organisation particulière, de sorte que les acteurs de la menace doivent effectuer une reconnaissance sur l'entreprise. Ils consulteront la page Rencontrez l'équipe sur le site Web et vérifieront les profils LinkedIn et Twitter des membres de l'équipe.
Des informations telles que les personnes absentes du bureau en congé ou assistant à une conférence , gérer une nouvelle équipe ou être promu peuvent tous être intégrés dans des conversations téléphoniques par les acteurs de la menace afin que le destinataire ne se demande pas si l'appelant vient vraiment du support technique ou de l'hôtel où séjourne l'équipe de vente, et ainsi de suite.
Publicité
Appeler les employés et se faire passer pour le support technique est un stratagème courant. Les nouveaux employés sont de bonnes cibles. Ils s'efforcent de plaire et ne veulent pas avoir d'ennuis. Si le support technique les appelle et leur demande s'ils ont essayé de faire quelque chose qu'ils n'auraient pas dû essayer d'accéder à des partages réseau privilégiés, par exemple, l'employé peut sur-compenser et devenir trop disposé à le faire. être coopératif pour effacer leur nom.
Un ingénieur social peut exploiter cette situation à son avantage et au cours d'une conversation, il peut extraire suffisamment d'informations de l'employé pour pouvoir compromettre son compte.
Le support technique peut également être la cible. Se faisant passer pour un cadre supérieur, l'attaquant appelle le support technique et se plaint d'être dans un hôtel et de ne pas pouvoir envoyer un e-mail important depuis son compte d'entreprise. Une affaire énorme est en jeu et le temps presse. Ils disent qu'ils enverront une capture d'écran du message d'erreur à l'aide de leur adresse e-mail personnelle. L'ingénieur du support souhaite que ce problème soit résolu le plus rapidement possible. Lorsque l'e-mail arrive, ils ouvrent immédiatement la pièce jointe qui installe des logiciels malveillants.
N'importe qui peut être le destinataire d'un appel téléphonique d'ingénierie sociale. Le support technique n'a pas le monopole. Il existe des centaines de variantes parmi lesquelles les attaquants peuvent choisir.
Entrer dans vos locaux
Les acteurs menaçants se feront passer pour presque n'importe qui pour accéder à votre bâtiment. Des coursiers, des traiteurs, des fleuristes, des inspecteurs des incendies, des ingénieurs de service d'ascenseur et des ingénieurs d'impression ont tous été utilisés. Ils peuvent arriver à l'improviste ou ils peuvent appeler à l'avance et prendre rendez-vous. La prise de rendez-vous aide à établir que l'acteur de la menace est bien celui qu'il prétend être. Le jour du rendez-vous, vous attendez un ingénieur imprimeur et un autre arrive.
Publicité
Plutôt que de dire qu'ils vont réparer l'imprimante, ils sont susceptibles de dire qu'ils mettent à jour son micrologiciel ou une autre tâche qui ne nécessite pas d'outils ou de pièces de rechange. Ils seront très rassurants. Tout ce dont ils ont besoin, c'est d'une connexion réseau ou de sauter sur l'un de vos ordinateurs pendant quelques instants. L'imprimante ne se déconnecte même pas. Une fois dans vos locaux et sur votre réseau, ils peuvent installer tout type de malware. il s'agira généralement d'une porte dérobée qui leur permettra d'accéder à distance à votre réseau.
Un autre type d'attaque consiste à cacher un petit appareil quelque part. Derrière l'imprimante se trouve un endroit populaire. Il est hors de vue et il y a généralement des prises secteur et réseau de rechange derrière. L'appareil établit une connexion cryptée appelée tunnel inverse SSH vers les acteurs de la menace’ serveur. Les acteurs de la menace ont désormais un accès facile à votre réseau quand ils le souhaitent. Ces appareils peuvent être construits à l'aide d'un Raspberry Pi ou d'autres ordinateurs monocarte bon marché et déguisés en blocs d'alimentation ou en appareils inoffensifs similaires.
CONNEXES : Qu'est-ce que le tunnel SSH inversé ? (et comment l'utiliser)
Protection contre l'ingénierie sociale
L'ingénierie sociale opère sur les personnes, donc le principal la défense est une formation de sensibilisation du personnel et des politiques et procédures claires. Le personnel doit être sûr qu'il ne sera pas pénalisé s'il s'en tient au protocole. Certaines entreprises de cybersécurité proposent des sessions de formation et de jeux de rôle avec leurs ingénieurs sociaux internes. Voir les techniques en action est un moyen puissant de montrer que personne n'est à l'abri.
Établissez des procédures qui donnent au personnel des indications claires sur ce qu'il faut faire s'il leur est demandé de rompre le protocole—peu importe qui est leur demandant. Par exemple, ils ne doivent jamais communiquer leur mot de passe au support technique.
Des analyses régulières du réseau doivent être utilisées pour trouver de nouveaux appareils qui ont été connectés au réseau. Tout ce qui n'est pas expliqué doit être identifié et examiné.
Les visiteurs ne doivent jamais être laissés sans surveillance, et leurs informations d'identification doivent être vérifiées à leur arrivée sur le site.