Ingénierie sociale
L'ingénierie sociale est l'art de manipuler les gens pour qu'ils révèlent des informations confidentielles. Chaque cybercrime commence par une attaque d'ingénierie sociale. Voyons comment cela fonctionne et comment se protéger contre cela.
Developer
Introduction
Quand on parle de cybersécurité, la plupart des gens pensent à des attaques techniques telles que l'injection SQL, le cross-site scripting, les attaques de l'homme du milieu ou les logiciels malveillants. Cependant, les attaques les plus courantes et les plus efficaces ne sont souvent pas du tout techniques. L'ingénierie sociale est l'art de manipuler les gens pour qu'ils révèlent des informations confidentielles. Chaque cybercrime commence par une attaque d'ingénierie sociale.
Voici la définition de Wikipédia:
Dans le contexte de la sécurité de l'information, l'ingénierie sociale est la manipulation psychologique des gens pour les amener à accomplir des actions ou à divulguer des informations confidentielles. Un type de tromperie utilisé pour la collecte d'informations, la fraude ou l'accès au système, elle diffère d'une « arnaque » traditionnelle en ce qu'elle est souvent l'une des nombreuses étapes d'un stratagème de fraude plus complexe.[1] Elle a également été définie comme "tout acte qui influence une personne à prendre une action qui peut ou non être dans son meilleur intérêt."
Les types d'informations que ces criminels recherchent peuvent varier, mais lorsqu'ils ciblent des individus, ils essaient généralement de les tromper pour qu'ils leur fournissent leurs mots de passe, des informations personnelles, ou leur donnent accès à leur ordinateur pour installer secrètement des logiciels malveillants, ce qui leur permettra d'accéder à leurs mots de passe et à leurs informations bancaires, tout en leur donnant le contrôle de leur ordinateur.
Comment fonctionne l'ingénierie sociale?
Les attaques d'ingénierie sociale se déroulent en une ou plusieurs étapes. La plupart des attaques d'ingénierie sociale reposent sur une véritable communication entre les attaquants et les victimes. Il est souvent le cas que les victimes sont ciblées par plusieurs attaquants sur une période prolongée, et les attaques sont soigneusement conçues pour éviter la détection. Une attaque réussie comprend les étapes suivantes :
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M153.457%2c62L147.628%2c66.167C141.799%2c70.333%2c130.142%2c78.667%2c124.313%2c86.333C118.484%2c94%2c118.484%2c101%2c118.484%2c104.5L118.484%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M118.484%2c166L118.484%2c170.167C118.484%2c174.333%2c118.484%2c182.667%2c118.484%2c190.333C118.484%2c198%2c118.484%2c205%2c118.484%2c208.5L118.484%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M118.484%2c270L118.484%2c274.167C118.484%2c278.333%2c118.484%2c286.667%2c123.771%2c294.612C129.057%2c302.558%2c139.63%2c310.116%2c144.916%2c313.895L150.203%2c317.674'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M228.997%2c320L234.825%2c315.833C240.654%2c311.667%2c252.311%2c303.333%2c258.14%2c290.5C263.969%2c277.667%2c263.969%2c260.333%2c263.969%2c243C263.969%2c225.667%2c263.969%2c208.333%2c263.969%2c191C263.969%2c173.667%2c263.969%2c156.333%2c263.969%2c139C263.969%2c121.667%2c263.969%2c104.333%2c258.682%2c91.888C253.396%2c79.442%2c242.823%2c71.884%2c237.537%2c68.105L232.251%2c64.326'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(191.2265625%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='137.375' y='-27' x='-68.6875' style='' class='basic label-container'/%3e%3cg transform='translate(-38.6875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='77.375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eRecherche%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(118.484375%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='101.8125' y='-27' x='-50.90625' style='' class='basic label-container'/%3e%3cg transform='translate(-20.90625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='41.8125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eApp%c3%a2t%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(118.484375%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='220.96875' y='-27' x='-110.484375' style='' class='basic label-container'/%3e%3cg transform='translate(-80.484375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='160.96875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eJouer sur les %c3%a9motions%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(191.2265625%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='130.265625' y='-27' x='-65.1328125' style='' class='basic label-container'/%3e%3cg transform='translate(-35.1328125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='70.265625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eEx%c3%a9cution%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Recherche : L'attaquant recueille des informations sur la cible, telles que les points d'entrée potentiels et les protocoles de sécurité faibles, nécessaires pour mener à bien l'attaque. Dans le monde d'aujourd'hui, il est très facile de trouver des informations sur une personne en ligne. Par exemple, vous pouvez trouver l'adresse e-mail d'une personne, son numéro de téléphone, et même son adresse personnelle sur son profil de réseau social. Vous pouvez également découvrir où elle travaille, ce qu'elle fait, et avec qui elle travaille. Ces informations peuvent être utilisées pour confectionner un e-mail de phishing ou un appel téléphonique très convaincant à l'étape suivante.
-
Appât : L'attaquant utilise ces informations pour créer un scénario crédible afin d'inciter la victime à faire ce que l'attaquant veut. Par exemple, l'attaquant peut appeler la victime et se faire passer pour un agent du service client de sa banque, lui demandant de vérifier ses informations de compte. Ou bien, il peut appeler un employé d'une entreprise et se faire passer pour un support informatique, lui demandant de réinitialiser son mot de passe.
-
Jouer sur les émotions : L'attaquant joue sur les émotions pour pousser la victime à agir immédiatement, sans réfléchir. Par exemple, l'attaquant peut menacer la victime d'amendes, de sanctions ou de poursuites judiciaires si elle ne se conforme pas immédiatement à la demande. Ou bien, il peut faire appel à la cupidité de la victime, en lui promettant une grosse somme d'argent ou une récompense en échange de son aide.
-
Exécution : L'attaquant exécute l'attaque, qui peut prendre diverses formes. Par exemple, il peut :
- Tromper la victime pour qu'elle installe des logiciels malveillants sur son ordinateur.
- Tromper la victime pour qu'elle révèle des informations sensibles par e-mail ou par téléphone.
- Tromper la victime pour qu'elle envoie de l'argent à l'attaquant.
- Tromper la victime pour qu'elle clique sur un lien malveillant dans un e-mail ou un message texte.
Les étapes ci-dessus peuvent se dérouler sur une période très courte ou sur des semaines ou mois. L'attaquant peut cibler une seule personne ou un groupe de personnes. La connexion peut être établie par appel téléphonique, e-mail, message texte ou discussions sur les réseaux sociaux. Mais cela se conclut finalement par une action que vous entreprenez, comme partager vos informations ou vous exposer à des logiciels malveillants.
Types d'attaques d'ingénierie sociale
Il existe de nombreux types d'attaques d'ingénierie sociale, et chacun a son propre but et objectif. Voici quelques-uns des types d'attaques d'ingénierie sociale les plus courants :
Phishing de masse
Le phishing de masse est le type d'attaque d'ingénierie sociale le plus courant. Il s'agit d'un type d'attaque de phishing où l'attaquant envoie des millions d'e-mails à des personnes au hasard, en espérant que certaines d'entre elles tomberont dans le piège. Les e-mails sont généralement envoyés à partir d'une fausse adresse e-mail, et ils contiennent souvent un lien vers un site Web malveillant ou une pièce jointe malveillante. L'objectif de l'attaque est de tromper la victime pour qu'elle clique sur le lien ou ouvre la pièce jointe, ce qui installera des logiciels malveillants sur son ordinateur.
Exemple
Imaginez que vous recevez un e-mail non sollicité dans votre boîte de réception avec un sujet alléchant qui prétend que vous avez gagné un prix en argent substantiel. Le titre de l'e-mail indique que vous avez gagné 1 000 000 $ et que vous devez réclamer votre prix immédiatement.
En ouvrant l'e-mail, vous trouvez un message vous félicitant pour avoir soi-disant gagné à une loterie. Il peut inclure des promesses extravagantes, telles qu'une somme d'argent qui changera votre vie. L'e-mail contient généralement un lien ou des informations de contact pour que vous réclamiez vos gains.
Cet e-mail présente des signes classiques d'une attaque de phishing de masse :
-
Non sollicité : Vous n'avez jamais participé à une loterie ou à un concours, donc vous ne devriez pas avoir gagné de prix.
-
Trop beau pour être vrai : La promesse d'une grosse somme d'argent sans raison apparente est une tactique courante utilisée pour attirer les victimes.
-
Action urgente : L'e-mail peut affirmer que vous devez agir rapidement pour réclamer votre prix, créant ainsi un sentiment d'urgence.
-
Demande d'informations personnelles ou d'argent : Pour "réclamer" votre prix, il se peut que l'on vous demande de fournir des informations personnelles, de payer des frais ou de transférer de l'argent pour couvrir les frais de traitement présumés.
Spear Phishing
Le spear phishing est un type d'attaque de phishing où l'attaquant cible une personne ou un groupe de personnes en particulier. L'attaquant fera des recherches sur la cible, puis lui enverra un e-mail personnalisé qui semble provenir d'une source de confiance. L'e-mail contiendra généralement un lien vers un site Web malveillant ou une pièce jointe malveillante. L'objectif de l'attaque est de tromper la victime pour qu'elle clique sur le lien ou ouvre la pièce jointe, ce qui installera des logiciels malveillants sur son ordinateur. Contrairement au phishing de masse, les attaques de spear phishing sont hautement ciblées et personnalisées, et elles ont beaucoup plus de chances de réussir.
Exemple
Dans ce scénario de spear phishing, vous recevez un e-mail qui semble provenir d'un collègue ou de quelqu'un que vous connaissez. L'e-mail contient un sujet suggérant qu'il s'agit d'un avis de sécurité important. Ce qui distingue le spear phishing du phishing classique, c'est que l'attaquant cible un individu spécifique et possède souvent des informations sur la cible.
En ouvrant l'e-mail, vous trouvez un message qui prétend provenir de votre conseiller informatique, Charles. Il s'adresse à vous par votre nom complet et mentionne une supposée violation de sécurité sur votre compte professionnel. L'e-mail demande que vous cliquiez sur un lien ou téléchargiez une pièce jointe pour sécuriser votre compte. Vous cliquez sur le lien, et il vous mène à un site Web qui ressemble exactement à la page de connexion de votre entreprise. Vous entrez votre nom d'utilisateur et votre mot de passe, et l'attaquant a maintenant accès à votre compte.
Cet e-mail présente des signes classiques d'une attaque de spear phishing :
-
Personnalisation : L'e-mail vous adresse par votre nom complet, ce qui lui donne une apparence légitime.
-
Urgence : Le message transmet un sentiment d'urgence, impliquant que vous devez prendre des mesures immédiates pour régler un problème de sécurité.
-
Demande d'action : L'e-mail vous demande de cliquer sur un lien ou de télécharger une pièce jointe. Ces liens ou pièces jointes contiennent souvent des logiciels malveillants ou des sites de phishing.
Hameçonnage avec un leurre (Baiting)
Le hameçonnage avec un leurre (Baiting) est un type d'attaque d'ingénierie sociale où l'attaquant offre quelque chose d'alléchant à la victime en échange de ses informations personnelles. Par exemple, l'attaquant pourrait offrir une carte-cadeau gratuite ou un téléchargement de film gratuit en échange de l'adresse e-mail de la victime. L'objectif de l'attaque est de tromper la victime pour qu'elle fournisse ses informations personnelles, que l'attaquant peut ensuite utiliser pour usurper son identité ou commettre une fraude. Il profite de la curiosité ou de la cupidité de la victime.
Exemple
Dans ce scénario de Baiting, les attaquants laissent une clé USB dans un lieu public, comme un café ou un parking. La clé USB est étiquetée "Confidentiel" ou "Privé", et contient un programme malveillant qui installera des logiciels malveillants sur l'ordinateur de la victime lorsqu'elle la branche. L'objectif de l'attaque est de tromper la victime pour qu'elle branche la clé USB sur son ordinateur, ce qui installera des logiciels malveillants sur son ordinateur.
Vous branchez la clé USB sur votre ordinateur, espérant trouver des informations précieuses. Elle semble contenir un fichier nommé "Données_Projet_Confidentiel.csv." Lorsque vous essayez d'ouvrir le fichier, il déclenche un script caché qui infecte votre ordinateur avec des logiciels malveillants.
Dans cette attaque de Baiting :
- L'appât est la clé USB, qui est étiquetée "Confidentiel" ou "Privé", la rendant attrayante pour quiconque la trouve, surtout dans un contexte professionnel.
- Facteur de curiosité : La curiosité humaine est exploitée comme une vulnérabilité, incitant les individus à commettre des actions qu'ils éviteraient normalement.
Water holing
Le Water holing est un type d'attaque d'ingénierie sociale où l'attaquant cible un groupe spécifique de personnes en infectant un site Web qu'elles sont susceptibles de visiter. Par exemple, l'attaquant pourrait infecter un site d'actualités populaire ou un site de réseautage social populaire. L'objectif de l'attaque est de tromper la victime pour qu'elle visite le site Web infecté, ce qui installera des logiciels malveillants sur son ordinateur.
Exemple
Un groupe d'attaquants a pour objectif de compromettre la sécurité d'une association industrielle spécifique qui représente une communauté de professionnels de la cybersécurité. Les attaquants ont l'intention de voler des données sensibles et d'infiltrer les systèmes d'experts en cybersécurité.
Les attaquants identifient un site Web bien connu et respecté utilisé par cette communauté. Dans ce cas, ils choisissent le site officiel de l'association de l'industrie de la cybersécurité. Les attaquants identifient et exploitent une vulnérabilité sur le site Web de l'association industrielle. Ils peuvent utiliser des méthodes techniques telles que l'injection SQL ou le cross-site scripting (XSS) pour obtenir un accès non autorisé au système de gestion de contenu du site. Une fois qu'ils ont accès au site Web, les attaquants injectent un code malveillant dans les pages du site. Ce code est conçu pour livrer des logiciels malveillants aux visiteurs des pages compromises.
Les attaquants attendent ensuite que les professionnels de la cybersécurité visitent le site Web. Ils savent que de nombreux experts en cybersécurité vérifient régulièrement le site pour des mises à jour, des nouvelles et des ressources.
Alors que les professionnels de la cybersécurité visitent le site Web de l'association pour lire des articles, assister à des webinaires ou télécharger des ressources, ils exposent involontairement leurs appareils aux logiciels malveillants injectés. Les logiciels malveillants peuvent voler des informations sensibles, telles que des identifiants de connexion ou des données personnelles. Ils peuvent également fournir aux attaquants un point d'ancrage pour lancer d'autres attaques, notamment le spear phishing ou l'exploitation de vulnérabilités connues sur les systèmes des victimes.
Dans cette attaque de Water holing :
- Le point d'eau est le site Web de l'association industrielle, qui est une destination populaire pour les professionnels de la cybersécurité.
- Public cible : Les attaquants ciblent un groupe spécifique de personnes, dans ce cas, des professionnels de la cybersécurité.
- Exploitation de la confiance : Les attaquants exploitent la confiance que les professionnels de la cybersécurité accordent au site Web de l'association industrielle.
- Exploitation des vulnérabilités : Les attaquants exploitent les vulnérabilités du système de gestion de contenu du site Web pour injecter du code malveillant dans les pages du site.
Comment vous protéger contre les attaques d'ingénierie sociale
Se protéger contre les attaques d'ingénierie sociale nécessite une combinaison de conscience, de scepticisme et de bonnes pratiques. Voici quelques étapes essentielles pour vous prémunir contre les attaques d'ingénierie sociale :
-
Informez-vous : Apprenez les tactiques courantes d'ingénierie sociale, y compris le phishing, le prétextage, l'appâtage et le piggybacking. Restez informé sur les dernières techniques et tendances en matière d'ingénierie sociale.
-
Vérifiez l'identité : Vérifiez toujours l'identité des individus ou des organisations qui demandent vos informations personnelles ou sensibles. Ne vous fiez pas uniquement aux numéros de téléphone, e-mails ou sites Web fournis par la personne qui vous contacte. Utilisez des informations de contact officielles obtenues indépendamment à partir de sources fiables.
-
Questionnez les demandes : Soyez sceptique face aux demandes non sollicitées d'informations personnelles, financières ou confidentielles. Les organisations légitimes ne demandent généralement pas de telles informations par e-mail ou par téléphone. Si quelqu'un demande des informations sensibles, demandez pourquoi elles sont nécessaires et comment elles seront utilisées.
-
Méfiez-vous de l'urgence et de la pression : Les ingénieurs sociaux créent souvent un sentiment d'urgence pour vous pousser à prendre des décisions sans réfléchir. Prenez le temps de considérer les demandes ou offres. Vérifiez la légitimité de la situation.
-
Sécurisez l'accès physique : Protégez votre espace de travail physique contre les accès non autorisés. Verrouillez votre ordinateur et vos appareils lorsque vous ne les utilisez pas. Soyez prudent lorsque vous autorisez des personnes inconnues à entrer dans des zones sécurisées.
-
Formation des employés : Si vous faites partie d'une organisation, proposez une formation sur la sensibilisation à l'ingénierie sociale aux employés. Enseignez aux employés à reconnaître et à signaler les activités suspectes.
-
Utilisez des sources fiables : Obtenez des informations provenant de sources fiables et vérifiées. Évitez de vous fier à des sites Web non officiels ou à des nouvelles non vérifiées.
-
Chiffrez les données : Chiffrez les données sensibles, aussi bien au repos que pendant leur transmission, pour les protéger contre tout accès non autorisé.
Pratiquez un comportement en ligne sûr
Pour les développeurs et les propriétaires d'entreprise. Si vous développez une application Web, vous devez suivre les meilleures pratiques pour protéger vos utilisateurs contre les attaques d'ingénierie sociale. Il existe de nombreuses façons d'activer une sécurité supplémentaire pour votre application :
- Utilisez des mots de passe forts. La plupart des gens utilisent des mots de passe faibles qui sont faciles à deviner en fonction de leurs informations personnelles. Pour implémenter un système de gestion des identités utilisateurs sécurisé et digne de confiance, vous devez activer des politiques de mots de passe forts. Cela empêchera les utilisateurs d'utiliser leurs mots de passe faibles sans mesures de sécurité appropriées en place.
- Activez l'authentification multi-facteurs. L'authentification multi-facteurs (MFA) ajoute une couche de sécurité supplémentaire au compte des utilisateurs en leur demandant de saisir un code depuis leur téléphone ou un autre appareil en plus du mot de passe. Cela rend beaucoup plus difficile pour les attaquants d'accéder au compte de vos clients. Même si les mots de passe de vos clients sont compromis, les attaquants ne pourront pas accéder à leurs comptes sans le second facteur.
- Chiffrez les données des utilisateurs. Le cryptage des données des utilisateurs est un bon moyen de les protéger contre tout accès non autorisé. Si un attaquant parvient à accéder à votre base de données, il ne pourra pas lire les données sans la clé de cryptage. Cela les empêchera de voler les informations personnelles de vos clients.
- Faites tourner fréquemment les clés d'accès. Les clés d'accès sont utilisées pour accéder aux ressources de votre application. Si un attaquant parvient à accéder à vos clés d'accès, il pourra accéder aux ressources de votre application sans votre permission. Pour éviter cela, vous devez faire tourner fréquemment les clés d'accès.
- Utilisez des systèmes d'authentification modernes. Les protocoles d'authentification modernes comme OAuth 2.0 et OpenID Connect sont beaucoup plus sécurisés que les anciens protocoles tels que SAML et WS-Federation. Ils utilisent des algorithmes cryptographiques modernes et sont beaucoup plus difficiles à attaquer.
- Prédéfinissez les URL de redirection de connexion et les appareils. Si vous utilisez OAuth 2.0 ou OpenID Connect pour l'authentification, vous devez prédéfinir les URL de redirection de connexion et les appareils. Cela empêchera les attaquants d'utiliser les comptes de vos clients pour se connecter à votre application à partir de leurs propres appareils.