Nous connaissons tous le type d’attaquant qui met à profit son expertise technique pour infiltrer des systèmes informatiques protégés et compromettre des données sensibles. Cette race d’acteurs malveillants fait des nouvelles tout le temps, nous incitant à contrer leurs exploits en investissant dans de nouvelles technologies qui renforceront nos défenses de réseau.
Cependant, il existe un autre type d’attaquant qui utilise différentes tactiques pour contourner nos outils et solutions. On les appelle des «ingénieurs sociaux» car ils exploitent la seule faiblesse qui se trouve dans chaque organisation: la psychologie humaine. À l’aide d’appels téléphoniques et d’autres médias, ces attaquants incitent les gens à donner accès aux informations sensibles de l’organisation.
L’ingénierie sociale est un terme qui englobe un large spectre d’activités malveillantes. Pour les besoins de cet article, concentrons-nous sur les cinq types d’attaques les plus courants que les ingénieurs sociaux utilisent pour cibler leurs victimes. Il s’agit du hameçonnage, du prétexte, de l’appâtage, des quid pro Quo et talonnage.
Phishing
Le phishing est le type d’attaque d’ingénierie sociale le plus courant qui se produit aujourd’hui. Mais qu’est-ce que c’est exactement? À un niveau élevé, la plupart des escroqueries par hameçonnage s’efforcent d’accomplir trois choses:
- Obtenez des informations personnelles telles que des noms, des adresses et des numéros de sécurité sociale.
- Utilisez des liens raccourcis ou trompeurs qui redirigent les utilisateurs vers des sites Web suspects qui hébergent des pages de destination de phishing.
- Incorporer t hreats, peur et sentiment d’urgence dans une tentative de manipuler l’utilisateur pour qu’il réponde rapidement.
Il n’y a pas deux e-mails de phishing identiques. Il existe en fait au moins six sous-catégories d’attaques de phishing. De plus, nous savons tous que certains sont mal conçus dans la mesure où leurs messages souffrent d’erreurs d’orthographe et de grammaire. Même ainsi, ces e-mails ont généralement le même objectif d’utiliser de faux sites Web ou de faux formulaires pour voler les informations de connexion des utilisateurs et d’autres données personnelles.
Une récente campagne de phishing a utilisé un compte de messagerie compromis pour envoyer des e-mails d’attaque. Ces messages demandaient aux destinataires d’examiner un document proposé en cliquant sur une URL intégrée. Enveloppée avec la protection des URL au moment des clics de Symantec, cette URL malveillante redirige les destinataires vers un compte SharePoint compromis qui a fourni une deuxième URL malveillante intégrée dans un document OneNote. Cette URL, à son tour, redirige les utilisateurs vers une page de phishing qui se fait passer pour un portail de connexion Microsoft Office 365.
Prétexte
Le prétexte est une autre forme d’ingénierie sociale où les attaquants se concentrent sur la création d’un bon prétexte , ou un scénario fabriqué, qu’ils utilisent pour essayer de voler les informations personnelles de leurs victimes. Dans ces types d’attaques, le fraudeur dit généralement qu’il a besoin de certaines informations de sa cible pour confirmer son identité. En réalité, ils volent ces données et les utilisent pour commettre un vol d’identité ou lancer des attaques secondaires.
Des attaques plus avancées tentent parfois de tromper leurs cibles en faisant quelque chose qui abuse des faiblesses numériques et / ou physiques d’une organisation. Par exemple, un attaquant peut se faire passer pour un auditeur externe des services informatiques afin de convaincre l’équipe de sécurité physique d’une entreprise cible de les laisser entrer dans le bâtiment.
Alors que les attaques de phishing utilisent principalement la peur et l’urgence à leur avantage, sous prétexte les attaques reposent sur l’établissement d’un faux sentiment de confiance avec la victime. Cela oblige l’attaquant à construire une histoire crédible qui laisse peu de place au doute de la part de sa cible.
Le prétexte peut prendre et prend différentes formes. Même ainsi, de nombreux acteurs de la menace qui adoptent ce type d’attaque décident de se faire passer pour du personnel RH ou des employés dans le développement financier. Ces déguisements leur permettent de cibler les cadres de niveau C, comme Verizon l’a constaté dans son rapport d’enquête sur les violations de données (DBIR) 2019.
Appâtage
L’appâtage est à bien des égards similaire aux attaques de phishing. Cependant, ce qui les distingue des autres types d’ingénierie sociale, c’est la promesse d’un élément ou d’un bien que les acteurs malveillants utilisent pour attirer les victimes. Les baiters peuvent tirer parti de l’offre de téléchargement gratuit de musique ou de films, par exemple, pour inciter les utilisateurs à transmettre leurs identifiants de connexion.
Les attaques d’appât ne sont pas non plus limitées aux systèmes en ligne. Les attaquants peuvent également se concentrer sur l’exploitation de la curiosité humaine via l’utilisation de médias physiques.
En juillet 2018, par exemple, KrebsOnSecurity a signalé une campagne d’attaque ciblant des agences gouvernementales étatiques et locales aux États-Unis. L’opération a envoyé des enveloppes postales chinoises contenant une lettre déroutante ainsi qu’un disque compact (CD). Le but était de piquer la curiosité des destinataires afin qu’ils chargent le CD et infectent ainsi par inadvertance leurs ordinateurs avec des logiciels malveillants.
Quid Pro Quo
Semblable à l’appâtage, les attaques quid pro quo promettent un avantage en échange d’informations. Cet avantage prend généralement la forme d’un service, alors que l’appâtage prend généralement la forme d’un bien.
L’un des types les plus courants d’attaques de contrepartie qui a été lancée ces dernières années est celui où des fraudeurs se font passer pour la Social Security Administration (SSA) des États-Unis. Ces faux membres du personnel SSA contactent des individus au hasard, les informent qu’il y a eu un problème informatique de leur côté et leur demandent de confirmer leur numéro de sécurité sociale, le tout dans le but de commettre un vol d’identité. Dans d’autres cas détectés par la Federal Trade Commission (FTC), des acteurs malveillants ont créé de faux sites Web SSA qui disent qu’ils peuvent aider les utilisateurs à demander de nouvelles cartes de sécurité sociale, mais simplement à voler leurs informations personnelles.
C’est important à noter, cependant, que les attaquants peuvent utiliser des offres de contrepartie qui sont beaucoup moins sophistiquées que les ruses sur le thème de l’ASS. Comme les attaques précédentes l’ont montré, les employés de bureau sont plus que disposés à donner leurs mots de passe pour un stylo bon marché ou même une barre de chocolat.
Tailgating
Notre dernier type d’attaque d’ingénierie sociale de la journée est connue sous le nom de talonnage ou de «ferroutage». Dans ces types d’attaques, une personne sans authentification appropriée suit un employé authentifié dans une zone restreinte. L’attaquant peut se faire passer pour un livreur et attendre à l’extérieur d’un bâtiment pour que les choses commencent. Lorsqu’un employé obtient l’approbation de la sécurité et ouvre la porte, l’attaquant demande à l’employé de tenir la porte pour accéder au bâtiment.
Le talonnage ne fonctionne pas dans tous les contextes d’entreprise, comme les grandes entreprises dont les entrées nécessitent l’utilisation d’une carte d’accès. Cependant, dans les entreprises de taille moyenne , les attaquants peuvent engager des conversations avec les employés et utiliser cette démonstration de familiarité pour passer la réception.
En fait, Colin Greenless, consultant en sécurité chez Siemens Enterprise Communications, a utilisé ces tactiques pour accéder à plusieurs étages et la salle de données d’une société financière cotée FTSE. Il a même pu s’installer dans une salle de réunion au troisième étage et y travailler pendant plusieurs jours.
Recommandations d’ingénierie sociale
M les acteurs malveillants qui se livrent à des attaques d’ingénierie sociale sont victimes de la psychologie et de la curiosité humaines afin de compromettre les informations de leurs cibles. En gardant à l’esprit cette approche centrée sur l’humain, il appartient aux organisations d’aider leurs employés à contrer ces types d’attaques.
Voici quelques conseils que les organisations peuvent intégrer dans leurs programmes de formation sur la sensibilisation à la sécurité qui aideront les utilisateurs pour éviter les schémas d’ingénierie sociale:
- N’ouvrez aucun e-mail provenant de sources non fiables. Contactez un ami ou un membre de votre famille en personne ou par téléphone si vous recevez un e-mail suspect de leur part.
- Ne donnez pas d’offres provenant d’étrangers au bénéfice du doute. Si elles semblent trop belles pour être vraies, elles le sont probablement.
- Verrouillez votre ordinateur portable chaque fois que vous êtes loin de votre poste de travail.
- Achetez un logiciel antivirus. Aucune solution audiovisuelle ne peut se défendre contre toutes les menaces qui cherchent à mettre en péril les informations des utilisateurs, mais elles peuvent aider à se protéger contre certaines.
- Lisez la politique de confidentialité de votre entreprise pour comprendre dans quelles circonstances vous pouvez ou devriez laisser un étranger entrer dans le bâtiment.