Les nombreux visages de l’ingénierie sociale –
Les ingénieurs sociaux savent sur quels boutons appuyer pour vous faire faire ce qu’ils veulent. Leurs techniques ancestrales fonctionnent vraiment. il était donc inévitable que les cybercriminels appliquent ces techniques à la cybercriminalité.
Sommaire
Comment fonctionne l’ingénierie sociale
Dès la naissance, nous sommes programmés pour être serviables et polis. Si quelqu’un vous pose une question, il faut un effort conscient pour ne pas y répondre, surtout si cela semble anodin. C’est l’un des comportements que les ingénieurs sociaux manipulent pour obtenir ce qu’ils veulent. Ils le font subtilement et lentement, faisant sortir les informations de leur victime pièce par pièce. Ils intercalent des questions inoffensives avec celles qui vous poussent à révéler ce qu’ils veulent savoir.
L’ingénierie sociale fonctionne en manipulant les gens en utilisant des techniques qui jouent sur les traits humains de base. Des ingénieurs sociaux qualifiés peuvent vous faire ressentir de la sympathie envers eux ou leur situation – fabriquée. Ils peuvent vous donner envie de contourner les règles, juste cette fois, soit parce que vous sympathisez avec eux et que vous voulez les aider, soit parce qu’ils sont pénibles et que vous voulez vraiment les faire raccrocher. Ils peuvent vous faire vous sentir inquiet ou paniqué, plein d’espoir ou excité. Ils exploitent ensuite ces réponses émotionnelles pour vous faire agir dans la précipitation, souvent pour éviter un prétendu désastre ou pour profiter d’une offre spéciale.
Les attaques d’ingénierie sociale peuvent se produire en un seul appel téléphonique. Ils peuvent se dérouler sur une période de temps, car ils entretiennent lentement un faux rapport. Mais l’ingénierie sociale ne se limite pas à la parole. Les attaques d’ingénierie sociale les plus courantes sont livrées par courrier électronique.
La seule chose que toutes les attaques d’ingénierie sociale ont en commun est leur objectif. Ils veulent passer à travers vos mesures de sécurité. Avec vous comme leur complice involontaire.
Piratage de la nature humaine
Les gens utilisent des techniques d’ingénierie sociale depuis aussi longtemps qu’il y a des escrocs. L’arnaque du « Prisonnier espagnol » remonte aux années 1580. Une personne fortunée reçoit une lettre d’une personne prétendant représenter un propriétaire foncier qui est illégalement détenu en captivité en Espagne sous une fausse identité. Leur véritable identité ne peut être révélée car cela le mettra lui et sa belle fille encore plus en danger.
Leur seul espoir d’évasion est de soudoyer leurs gardes. Toute personne qui contribue au fonds de pots-de-vin sera récompensée de nombreuses fois lorsque le captif sera libéré et aura accès à ses actifs financiers considérables. Toute personne qui accepte de faire un don rencontre l’intermédiaire qui recueille le don.
La victime est bientôt approchée à nouveau. D’autres difficultés sont apparues – le captif et sa fille doivent être exécutés, nous n’avons que deux semaines ! – et bien sûr il faut plus d’argent. Ceci est répété jusqu’à ce que la victime soit saignée à blanc ou refuse de remettre plus d’argent.
Les escroqueries comme celles-ci opèrent sur différentes personnes de différentes manières. Certaines victimes sont prises au piège parce que cela fait appel à leurs nobles qualités comme la gentillesse, la compassion et le sens de la justice. Pour d’autres, l’hostilité croissante entre la Grande-Bretagne et l’Espagne les aurait incités à agir. D’autres sauteraient sur l’occasion de faire un profit facile.
L’escroquerie du prisonnier espagnol est l’équivalent élisabéthain et l’ancêtre direct du « prince nigérian » et d’autres e-mails frauduleux qui rapportent encore de l’argent aux cybercriminels en 2021.
La plupart des gens aujourd’hui peuvent les reconnaître comme des escroqueries. Mais la plupart des attaques d’ingénierie sociale modernes sont beaucoup plus subtiles. Et l’éventail des réactions humaines aux événements émotionnels n’a pas changé. Nous sommes toujours programmés de la même manière, nous sommes donc toujours sensibles à ces attaques.
Types d’attaques
L’acteur menaçant veut que vous fassiez quelque chose qui soit à son avantage. Leur objectif peut être de collecter les informations d’identification du compte ou les détails de la carte de crédit. Ils peuvent vouloir que vous installiez par inadvertance des logiciels malveillants comme des ransomwares, des enregistreurs de frappe ou des portes dérobées. Ils peuvent même vouloir accéder physiquement à votre bâtiment.
Un trait commun à toutes les attaques d’ingénierie sociale est qu’elles tentent de générer un sentiment d’urgence. D’une manière ou d’une autre, une échéance approche. Le message subliminal au destinataire est « agissez maintenant, ne vous arrêtez pas pour réfléchir ». La victime est obligée de ne pas laisser le désastre se produire, de ne pas manquer l’offre spéciale ou de ne pas laisser quelqu’un d’autre avoir des ennuis.
E-mails d’hameçonnage
L’attaque d’ingénierie sociale la plus courante utilise les e-mails de phishing. Ceux-ci semblent provenir d’une source fiable, mais sont en réalité des faux habillés dans la livrée de la véritable entreprise. Certains présentent une opportunité telle qu’une offre spéciale. D’autres présentent un problème qui devra être résolu, tel qu’un problème de verrouillage de compte.
Les e-mails de phishing sont très facilement modifiés pour correspondre à tout ce qui fait l’actualité. La pandémie de COVID-19 de 2020 a donné aux cybercriminels la couverture parfaite pour envoyer des e-mails de phishing avec de nouvelles lignes d’objet. Les nouvelles sur la pandémie, l’accès aux kits de test et les fournitures de désinfectant pour les mains ont tous été utilisés comme des crochets pour piéger les imprudents. Les e-mails d’hameçonnage contiennent soit un lien vers un site Web contaminé, soit une pièce jointe contenant un programme d’installation de logiciels malveillants.
Appels téléphoniques
Les e-mails de phishing sont envoyés par millions, avec un corps de texte générique. L’ingénierie sociale par appel téléphonique est généralement adaptée à une organisation particulière, de sorte que les acteurs de la menace doivent effectuer une reconnaissance sur l’entreprise. Ils regarderont le Rencontrer l’équipe sur le site Web et consultez les profils LinkedIn et Twitter des membres de l’équipe.
Des informations telles que les personnes absentes du bureau en congé, assister à une conférence, gérer une nouvelle équipe ou être promues peuvent toutes être incluses dans les conversations téléphoniques par les acteurs de la menace afin que le destinataire ne se demande pas si l’appelant est vraiment originaire de support technique, ou de l’hôtel où séjourne l’équipe de vente, et ainsi de suite.
Appeler les employés et se faire passer pour le support technique est un stratagème courant. Les nouveaux employés sont de bonnes cibles. Ils s’efforcent de plaire et ne veulent pas avoir d’ennuis. Si le support technique les appelle et leur demande s’ils ont essayé de faire quelque chose qu’ils n’auraient pas dû faire (essayer d’accéder à des partages réseau privilégiés, par exemple), l’employé peut sur-compenser et devenir trop disposé à être coopératif pour effacer son nom.
Un ingénieur social peut exploiter cette situation à son avantage et au cours d’une conversation, il peut extraire suffisamment d’informations de l’employé pour pouvoir compromettre son compte.
Le support technique peut également être la cible. Se faisant passer pour un cadre supérieur, l’attaquant appelle l’assistance technique et se plaint qu’il se trouve dans un hôtel et qu’il ne peut pas envoyer un e-mail important depuis son compte d’entreprise. Une affaire énorme est en jeu et le temps presse. Ils disent qu’ils enverront une capture d’écran du message d’erreur, en utilisant leur e-mail personnel. L’ingénieur de support souhaite que ce problème soit résolu le plus rapidement possible. Lorsque l’e-mail arrive, ils ouvrent immédiatement la pièce jointe qui installe les logiciels malveillants.
N’importe qui peut être le destinataire d’un appel téléphonique d’ingénierie sociale. Le support technique n’a pas le monopole. Il existe des centaines de variantes parmi lesquelles les attaquants peuvent choisir.
Entrer dans vos locaux
Les acteurs menaçants se feront passer pour presque n’importe qui pour accéder à votre bâtiment. Des coursiers, des traiteurs, des fleuristes, des inspecteurs des incendies, des ingénieurs de service d’ascenseur et des ingénieurs d’impression ont tous été utilisés. Ils peuvent arriver à l’improviste ou ils peuvent appeler à l’avance et prendre rendez-vous. La prise de rendez-vous aide à établir que l’acteur de la menace est bien celui qu’il prétend être. Le jour du rendez-vous, vous attendez un ingénieur imprimeur et un autre arrive.
Plutôt que de dire qu’ils vont entretenir l’imprimante, ils sont susceptibles de dire qu’ils mettent à jour son micrologiciel ou une autre tâche qui ne nécessite pas d’outils ou de pièces de rechange. Ils seront très rassurants. Il leur suffit d’une connexion réseau ou de sauter quelques instants sur l’un de vos ordinateurs. L’imprimante ne se déconnectera même pas. Une fois dans vos locaux et sur votre réseau, ils peuvent installer tout type de malware. il s’agira généralement d’une porte dérobée qui leur permettra d’accéder à distance à votre réseau.
Un autre type d’attaque nécessite de cacher un petit appareil quelque part. Derrière l’imprimante se trouve un endroit populaire. Il est hors de vue et il y a généralement des prises secteur et réseau de rechange derrière. L’appareil établit une connexion cryptée appelée tunnel inverse SSH vers le serveur des acteurs malveillants. Les acteurs de la menace ont désormais un accès facile à votre réseau quand ils le souhaitent. Ces appareils peuvent être construits à l’aide d’un Raspberry Pi ou d’autres ordinateurs monocarte bon marché et déguisés en blocs d’alimentation ou en appareils inoffensifs similaires.
Se protéger contre l’ingénierie sociale
L’ingénierie sociale fonctionne sur les personnes, la défense principale est donc la formation de sensibilisation du personnel et des politiques et procédures claires. Le personnel doit être sûr qu’il ne sera pas pénalisé s’il s’en tient au protocole. Certaines entreprises de cybersécurité proposent des sessions de formation et de jeux de rôle avec leurs ingénieurs sociaux internes. Voir les techniques en action est un moyen puissant de montrer que personne n’est à l’abri.
Établissez des procédures qui donnent au personnel des directives claires sur ce qu’il faut faire s’il est invité à enfreindre le protocole, peu importe qui leur demande. Par exemple, ils ne doivent jamais communiquer leur mot de passe au support technique.
Des analyses régulières du réseau doivent être utilisées pour trouver de nouveaux appareils qui ont été connectés au réseau. Tout ce qui est inexpliqué doit être identifié et examiné.
Les visiteurs ne doivent jamais être laissés sans surveillance et leurs informations d’identification doivent être vérifiées à leur arrivée sur le site.