Qu'est-ce que l'ingénierie sociale et comment l'éviter?
Les logiciels malveillants ne sont pas la seule menace en ligne à craindre. L'ingénierie sociale est une menace énorme et peut vous affecter sur tout système d'exploitation. En fait, l'ingénierie sociale peut également se produire au téléphone et dans des situations face à face.
Il est important d'être conscient de l'ingénierie sociale et d'être à l'affût. Les programmes de sécurité ne vous protègent pas de la plupart des menaces d'ingénierie sociale, vous devez donc vous protéger.
L'ingénierie sociale expliquée
Les attaques informatiques classiques dépendent souvent de la découverte d'une vulnérabilité dans le code d'un ordinateur. Par exemple, si vous utilisez une version obsolète d'Adobe Flash - ou, Dieu ne le permet pas, Java, qui a été à l'origine de 91% des attaques en 2013 selon Cisco - vous pouvez visiter un site Web malveillant et ce site Web. exploiterait la vulnérabilité de votre logiciel pour accéder à votre ordinateur. L’attaquant manipule des bogues logiciels pour obtenir un accès et collecter des informations privées, éventuellement avec un enregistreur de frappe qu’il installe..
Les astuces d'ingénierie sociale sont différentes car elles impliquent plutôt une manipulation psychologique. En d'autres termes, ils exploitent les gens, pas leur logiciel.
Vous avez probablement déjà entendu parler du phishing, qui est une forme d'ingénierie sociale. Vous pouvez recevoir un courrier électronique prétendant provenir de votre banque, société de carte de crédit ou autre entreprise de confiance. Ils peuvent vous diriger vers un faux site Web déguisé pour lui donner l'aspect d'un vrai ou vous demander de télécharger et d'installer un programme malveillant. Mais ces astuces d'ingénierie sociale ne doivent pas nécessairement impliquer de faux sites Web ou des logiciels malveillants. Le courrier électronique de phishing peut simplement vous demander d’envoyer une réponse électronique avec des informations privées. Plutôt que d'essayer d'exploiter un bogue dans un logiciel, ils essaient d'exploiter les interactions humaines normales. Le phishing peut être encore plus dangereux, car il s'agit d'une forme de phishing conçue pour cibler des individus spécifiques..
Exemples d'ingénierie sociale
Une astuce populaire dans les services de chat et les jeux en ligne a été d’enregistrer un compte avec un nom comme «Administrateur» et d’envoyer des messages effrayants comme «AVERTISSEMENT: nous avons détecté une personne qui piratait votre compte, répondez avec votre mot de passe pour vous authentifier». Si une cible répond avec son mot de passe, elle a craqué et l’attaquant a maintenant son mot de passe de compte..
Si quelqu'un a des informations personnelles sur vous, elles pourraient les utiliser pour accéder à vos comptes. Par exemple, des informations telles que votre date de naissance, votre numéro de sécurité sociale et votre numéro de carte de crédit sont souvent utilisées pour vous identifier. Si quelqu'un a cette information, il peut contacter une entreprise et se faire passer pour vous. Un pirate a utilisé cette astuce pour accéder à Yahoo! de Sarah Palin. Compte de messagerie en 2008, soumettant suffisamment de données personnelles pour pouvoir accéder au compte via le formulaire de récupération du mot de passe de Yahoo !. La même méthode peut être utilisée par téléphone si vous disposez des informations personnelles nécessaires au commerce pour vous authentifier. Un attaquant disposant d'informations sur une cible peut se faire passer pour eux et accéder à plus de choses.
L'ingénierie sociale pourrait également être utilisée en personne. Un attaquant peut pénétrer dans une entreprise, informer le secrétaire qu’il est un réparateur, un nouvel employé ou un inspecteur des incendies sur un ton autoritaire et convaincant, puis se promener dans les couloirs et potentiellement voler des données confidentielles ou des bogues pour espionner les entreprises. Cette astuce dépend de l'attaquant qui se présente comme quelqu'un qu'il n'est pas. Si un secrétaire, un portier ou une autre personne responsable ne pose pas trop de questions ou ne regarde pas de trop près, le tour sera joué.
Les attaques d'ingénierie sociale couvrent une gamme de faux sites Web, d'e-mails frauduleux et de messages de discussion néfastes, allant jusqu'à l'usurpation de l'identité de quelqu'un au téléphone ou en personne. Ces attaques se présentent sous des formes très diverses, mais elles ont toutes un point commun: elles dépendent de la ruse psychologique. L'ingénierie sociale a été appelée l'art de la manipulation psychologique. C'est l'un des principaux moyens utilisés par les «pirates» pour «pirater» des comptes en ligne..
Comment éviter l'ingénierie sociale
Savoir que l'ingénierie sociale existe peut vous aider à le combattre. Méfiez-vous des courriels non sollicités, des messages de discussion en ligne et des appels téléphoniques demandant des informations confidentielles. Ne révélez jamais d'informations financières ou d'informations personnelles importantes par courrier électronique. Ne téléchargez pas de pièces jointes potentiellement dangereuses et ne les exécutez pas, même si un courrier électronique prétend qu'elles sont importantes..
Vous ne devez pas non plus suivre les liens contenus dans un courrier électronique vers des sites Web sensibles. Par exemple, ne cliquez pas sur un lien dans un courriel qui semble provenir de votre banque et connectez-vous. Cela peut vous mener à un site de phishing factice déguisé pour ressembler à celui de votre banque, mais avec une URL légèrement différente. Visitez le site directement à la place.
Si vous recevez une demande suspecte (par exemple, un appel téléphonique de votre banque demande des informations personnelles), contactez directement la source de la demande et demandez une confirmation. Dans cet exemple, vous appelez votre banque pour lui demander ce qu'elle veut plutôt que de divulguer les informations à une personne qui prétend être votre banque..
Les programmes de messagerie, les navigateurs Web et les suites de sécurité ont généralement des filtres anti-hameçonnage qui vous avertissent lorsque vous visitez un site connu d'hameçonnage. Tout ce qu'ils peuvent faire, c'est vous avertir lorsque vous visitez un site de phishing connu ou que vous recevez un courrier électronique de phishing connu. Ils ne sont pas informés de tous les sites de phishing ou de tous les courriels. Pour l’essentiel, c’est à vous de vous protéger - les programmes de sécurité ne peuvent que vous aider un peu.
Il est judicieux d’exercer des soupçons sains lorsqu’il s’agit de demandes de données confidentielles et de tout ce qui pourrait constituer une attaque d'ingénierie sociale. La suspicion et la prudence aideront à vous protéger, en ligne et hors ligne..
Crédit d'image: Jeff Turnet sur Flickr