5 exemples de Social Engineering

5 exemples de Social Engineering

Le Social Engineering est une technique de manipulation qui exploite l’erreur humaine pour obtenir des informations privées, un accès ou des objets de valeur. Dans la cybercriminalité, ces escroqueries de «piratage humain» ont tendance à inciter les utilisateurs sans méfiance à exposer des données, à propager des infections par des logiciels malveillants ou à donner accès à des systèmes restreints. Les attaques peuvent se produire en ligne, en personne et via d’autres interactions.

c un autre type d’ate type d’attaque utilise différentes tactiques pour contourner nos outils et solutions.

Ils exploitent la seule faiblesse qui se trouve dans chaque organisation: la psychologie humaine. À l’aide d’appels téléphoniques et d’autres médias, les hackers incitent les gens à donner accès aux informations sensibles de l’organisation.

Le Social Engineering est un terme qui englobe un large spectre d’activités malveillantes. Pour les besoins de cet article, concentrons-nous sur les cinq types d’attaques les plus courants que les social engineers utilisent pour cibler leurs victimes. Ce sont le hameçonnage, le prétexte, l’appâtage, le Quid Pro Quo et le talonnage.

1- Le Phishing ou hameçonnage

Le phishing est le type d’attaque le plus courant qui se produit aujourd’hui. Mais qu’est ce que c’est exactement? À un niveau élevé, la plupart des escroqueries par hameçonnage tentent d’accomplir trois choses:

  • Obtenir des informations personnelles telles que les noms, adresses et numéros de sécurité sociale.
  • Utiliser des liens raccourcis ou trompeurs qui redirigent les utilisateurs vers des sites Web suspects hébergeant des pages de destination de phishing.
  • Incorporer les menaces, la peur et un sentiment d’urgence pour tenter de manipuler l’utilisateur pour qu’il réagisse rapidement.

2- Le Social engineering par prétexte

Le prétexte est une autre forme d’ingénierie sociale où les attaquants se concentrent sur la création d’un bon prétexte, ou d’un scénario fabriqué, qu’ils utilisent pour essayer de voler les informations personnelles de leurs victimes. Dans ces types d’attaques, le fraudeur dit généralement qu’il a besoin de certaines informations de sa cible pour confirmer son identité. En réalité, ils volent ces données et les utilisent pour commettre un vol d’identité ou organiser des attaques secondaires.

Des attaques plus avancées tentent parfois de tromper leurs cibles en faisant quelque chose qui abuse des faiblesses numériques et / ou physiques d’une organisation. Par exemple, un attaquant peut se faire passer pour un auditeur externe des services informatiques afin de convaincre l’équipe de sécurité physique d’une entreprise cible de les laisser entrer dans le bâtiment.

Lire aussi :
La voiture volante Lilium Jet

Alors que les attaques de phishing utilisent principalement la peur et l’urgence à leur avantage, les attaques de prétexte reposent sur l’établissement d’un faux sentiment de confiance avec la victime. Cela oblige l’attaquant à construire une histoire crédible qui laisse peu de place au doute de la part de sa cible.

Lire aussi: Comment sécuriser un réseau informatique

3- L’appâtage ou baiting

L’appâtage est assez similaire aux attaques de phishing. Cependant, ce qui les distingue des autres types d’ingénierie sociale, c’est la promesse d’un article ou d’un bien que les acteurs malveillants utilisent pour attirer les victimes. Les amorces peuvent tirer parti de l’offre de téléchargement gratuit de musique ou de films, par exemple, pour inciter les utilisateurs à transmettre leurs identifiants de connexion.

Les hackers qui utilisent l’appatage ne se limitent pas non plus aux systèmes en ligne. Les attaquants peuvent également se concentrer sur l’exploitation de la curiosité humaine via l’utilisation de supports physiques.

4- Quid Pro Quo Hacking

Semblables à l’appâtage, les attaques quid pro quo promettent un avantage en échange d’informations. Cet avantage prend généralement la forme d’un service, alors que l’appâtage prend généralement la forme d’un bien.

L’un des types les plus courants d’attaques de contrepartie qui a été lancée ces dernières années est celui où des fraudeurs se font passer pour la Social Security Administration (SSA) des États-Unis. Ces faux membres du personnel de la SSA contactent des personnes au hasard, les informent qu’il y a eu un problème informatique de leur côté et leur demandent de confirmer leur numéro de sécurité sociale, le tout dans le but de commettre un vol d’identité. Dans d’autres cas détectés par la Federal Trade Commission (FTC), des acteurs malveillants ont créé de faux sites Web SSA qui disent qu’ils peuvent aider les utilisateurs à demander de nouvelles cartes de sécurité sociale, mais simplement à voler leurs informations personnelles.

Lire aussi :
Wi-Fi Alliance lance les améliorations WPA2 et annonce WPA3

Il est important de noter, cependant, que les attaquants peuvent utiliser des offres de contrepartie qui sont beaucoup moins sophistiquées que les ruses sur le thème de l’ASS.

5- Le Tailgating ou Talonnage

Notre dernier type d’attaque d’ingénierie sociale du jour est connu sous le nom de talonnage ou tailgating. Dans ces types d’attaques, une personne sans authentification appropriée suit un employé authentifié dans une zone restreinte. L’attaquant peut se faire passer pour un livreur et attendre à l’extérieur d’un bâtiment pour que les choses commencent. Lorsqu’un employé obtient l’approbation de la sécurité et ouvre la porte, l’attaquant demande à l’employé de tenir la porte, ayant ainsi accès au bâtiment.

Le talonnage ne fonctionne pas dans tous les contextes d’entreprise tels que les grandes entreprises dont les entrées nécessitent l’utilisation d’une carte d’accès. Cependant, dans les entreprises de taille moyenne, les attaquants peuvent engager des conversations avec les employés et utiliser cette démonstration de familiarité pour dépasser la réception.

Les recommandations pour éviter le social engineering

Les acteurs malveillants qui se livrent à des attaques d’ingénierie sociale se nourrissent de la psychologie humaine et de la curiosité afin de compromettre les informations de leurs cibles. Dans cette optique centrée sur l’humain, il appartient aux organisations d’aider leurs employés à contrer ce type d’attaques.

Voici quelques conseils que les organisations peuvent intégrer à leurs programmes de formation sur la sensibilisation à la sécurité qui aideront les utilisateurs à éviter les schémas d’ingénierie sociale:

  1. N’ouvrez aucun e-mail provenant de sources non fiables. Contactez un ami ou un membre de votre famille en personne ou par téléphone si vous recevez un e-mail suspect de leur part.
  2. Verrouillez votre ordinateur portable lorsque vous vous éloignez de votre poste de travail.
  3. Achetez un logiciel antivirus. Aucune solution ne peut se défendre seule contre toutes les menaces qui cherchent à mettre en péril les informations des utilisateurs.
  4. Lisez la politique de confidentialité de votre entreprise pour comprendre dans quelles circonstances vous pouvez ou devez laisser un étranger entrer dans le bâtiment.

A Propos Yefien

Voir aussi

Comment avoir Internet gratuitement en Côte d’Ivoire ?

Avoir accès à Internet est devenu une nécessité dans notre société actuelle. Que ce soit …

Laisser un commentaire

%d blogueurs aiment cette page :