Ingénierie sociale : le plus grand risque de sécurité, c’est nous-mêmes
L’un des pirates informatiques les plus populaires de tous les temps, Kevin Mitnick, a popularisé le terme « ingénierie sociale » au cours des années 1990. Cependant, les façons dont les différentes techniques sont appliquées existent depuis toujours. Plus tard, nous vous montrerons les techniques les plus populaires. Très probablement, certains d’entre eux peuvent vous être familiers, en particulier sur le lieu de travail.
C’est une technique qui tire parti de la psychologie humaine. Une définition populaire dit que c’est « l’art d’exploiter la psychologie humaine ». Vous n’avez pas besoin de beaucoup de connaissances techniques pour le mettre en pratique. Cependant, l’ingénierie sociale est la passerelle idéale pour mener d’autres attaques plus complexes ou spécifiques, comme le Phishing .
C’est incroyable comme toutes les politiques de sécurité, toutes les migrations et améliorations au niveau des infrastructures, pratiquement tout ce qui est lié à la technologie, peuvent être complètement inutiles à cause du maillon le plus faible de la chaîne : l’être humain. Un appel téléphonique de moins de 5 minutes est nécessaire afin d’avoir accès à des informations pouvant être cruciales pour la victime, ou pour l’entreprise pour laquelle elle travaille.
Une particularité de cette technique est le temps qu’il faut généralement pour se préparer à des attaques, surtout si l’objectif est d’attaquer une entreprise. Il est nécessaire d’étudier le comportement des employés, les pratiques de l’entreprise, les procédures, entre autres liées à l’entreprise, cependant, si nous pouvions accéder aux données téléphoniques ou électroniques de la cible, cela prendrait beaucoup moins de temps. Généralement, avec des bases de données divulguées, il est déjà possible de mener des attaques par téléphone ou par email. C’est rapide et facile.
Cas populaires d’ingénierie sociale
Comme nous l’avons évoqué plus haut, la pratique de cette technique par téléphone est un fait courant. Un cas courant est de recevoir un appel d’une personne prétendant être un support technique pour (un exemple aléatoire) Gmail ou Microsoft, et ils vous disent qu’ils doivent mettre à jour votre mot de passe et vos questions de sécurité car s’ils ne le font pas, ils ne le feront plus. avoir accès à votre messagerie.
L’innocence et, malheureusement, l’ignorance de beaucoup de gens, conduit à des conséquences peu agréables. Des millions de personnes perdent chaque année l’accès à des «comptes mineurs» tels que la messagerie électronique à des comptes beaucoup plus sensibles tels que la messagerie électronique d’entreprise, les comptes bancaires et l’accès aux systèmes de gestion.
Retour au domaine des affaires. Un point que peu de gens comprennent parfaitement, c’est que si c’était le cas, seules les personnes qui ont des cartes d’accès peuvent accéder et sortir librement du bureau. Que se passe-t-il si une personne que vous ne connaissez pas vous dit qu’elle a besoin d’accéder au bureau, mais qu’elle n’a pas sa carte d’accès parce qu’elle l’a oubliée ? Et s’il vous dit qu’il est en retard et qu’un des gérants a demandé sa présence dès que possible ?
L’être humain, par nature, tend à aider la personne dans le besoin ou en détresse. Ensuite, il vous permet d’accéder. Cependant, ceux qui pratiquent ces techniques d’ingénierie sociale n’ont pas besoin et ne doivent pas y accéder sans autorisation légitime préalable. Quel est le pire qui puisse arriver si une personne non autorisée y accède ? De laisser des périphériques USB (avec des logiciels malveillants, des logiciels de rançon, etc.) sur le terrain pour être passés comme «perdus» à de graves incidents violents.
Sans surprise, il existe des entreprises qui appliquent des mesures très strictes, où les personnes qui ont des cartes d’accès ne sont utilisées que par elles-mêmes. Sans possibilité de prêter les cartes à n’importe quel collègue, pas même à leurs supérieurs directs. Le temps donne de plus en plus raison aux politiques Zero Trust , non seulement comme moyen de protéger les réseaux, mais aussi comme modèle de comportement qui ne fait confiance à rien ni à personne.
L’ingénierie sociale comme pont pour le phishing
Le phishing est connu pour être l’une des attaques les plus populaires, principalement en raison de son efficacité et de la facilité avec laquelle les victimes sont abandonnées. L’une des situations les plus fréquentes est lorsque des personnes tombent dans des attaques de phishing afin que l’attaquant ait accès à des comptes bancaires.
Il peut arriver que quelqu’un vous appelle ou vous envoie un e-mail au nom de votre banque, vous informant que vous devez accéder à la banque en ligne de toute urgence afin de mettre à jour vos données, ou sinon, vous perdriez vos fonds disponibles. N’oubliez pas que tout type de message qui encourage une action urgente ou qui est fait dans les plus brefs délais, est déjà un point à prendre en compte pour douter. De plus, fournir des informations sensibles par téléphone à une personne que vous ne connaissez pas n’est pas sûr, encore pire si vous rencontrez des personnes qui vous sont très proches et qui pourraient vous écouter.
D’autre part, ces types d’attaques sont également menés par le biais de publicités malveillantes affichées en fonction des intérêts, des préférences et des goûts des victimes. C’est pourquoi il est évident que l’ingénierie sociale se concentre avant tout sur l’ étude des personnes et de leur comportement en ligne.
Comment éviter de tomber dans le piège ?
L’essentiel est déjà un secret de polichinelle : une pratique correcte et efficace de sensibilisation à la sécurité . Jamais aucune mesure de sécurité de la plus haute technologie ne sera efficace, si la personne n’a pas les connaissances nécessaires et, surtout, la conscience de la sécurité des données qu’elle manipule et de l’environnement où elle se trouve. Les informations sensibles qui vous appartiennent ne doivent jamais être fournies par téléphone, email et même personnellement, si cela n’est pas strictement nécessaire. Aussi, ne permettez pas à des étrangers ou à des étrangers d’accéder au bureau où vous travaillez sans l’autorisation correspondante, quelle que soit l’urgence dans laquelle la personne prétend se trouver. On le sait déjà, mieux vaut prévenir que guérir.
Profitons de tous les utilitaires qu’offrent nos applications et services pour pouvoir protéger nos données, en particulier la vérification en deux étapes, car les cybercriminels auront non seulement besoin du mot de passe mais aussi d’une clé supplémentaire pour y accéder.