Les attaquants de nos jours utilisent des astuces connues sous le nom d’ingénierie sociale. C’est une méthode utilisée pour accéder à une installation, un système, des données ou tout ce qu’ils veulent, en exploitant la nature humaine. Alors que la plupart des humains vivent d’émotions, les ingénieurs sociaux manipulent la réponse émotionnelle pour atteindre leurs buts et leurs objectifs. Tout expert en sécurité expérimenté vous dira que le point le plus faible des logiciels de sécurité est l’être humain, et tout ingénieur social vous dira que le moyen le plus simple d’obtenir votre mot de passe est de le leur dire.
Bien que la liste suivante ne soit pas exhaustive, examinons quelques astuces d’ingénierie sociale couramment utilisées dans les attaques.
Pretexting
L’usurpation d’identité est utilisée dans presque toutes les attaques d’ingénierie sociale. C’est l’art de mentir pour obtenir des données sensibles, généralement en recueillant des informations sur quelqu’un pour se faire passer pour lui. Cela peut inclure la connaissance de détails personnels tels que votre numéro de sécurité sociale, votre date de naissance ou le nom de votre conjoint. Il peut également s’agir simplement de mettre une chemise et un chapeau rouges et de se faire passer pour un vendeur d’assurances. Agir est un excellent moyen de légitimer au début d’une attaque.
Hameçonnage / Phishing
L’hameçonnage est l’une des techniques d’ingénierie sociale les plus populaires aujourd’hui, et il dépend de l’envoi d’un grand nombre d’e-mails. Cette attaque consiste à tromper les gens en leur faisant donner de l’argent ou des données. En 2017, il y a eu une augmentation significative du nombre d’utilisateurs de Netflix recevant un e-mail indiquant que leurs comptes avaient été suspendus en raison d’une erreur dans leurs paramètres de facturation. Dans le corps de l’e-mail, il y avait un lien qui dirigeait les utilisateurs vers un site qui ressemblait beaucoup à la page de connexion légitime de Netflix. Les utilisateurs transmettaient leurs informations confidentielles de connexion et de carte de crédit aux attaquants à leur insu.
Spear Phishing
Ce type de phishing est un cas particulier de phishing, où l’usurpation d’identité est utilisée pour personnaliser et détailler un e-mail avant de l’envoyer à la personne (ou au groupe) sélectionnée manuellement. Dans un incident, des e-mails ont été envoyés aux employés d’une entreprise pour collecter des données personnelles pour les employés, des données fiscales, etc. Ces messages sont falsifiés de sorte qu’ils semblent provenir du PDG de l’entreprise pour laquelle travaillent les employés. Un modèle courant d’attaques d’usurpation d’identité est le « compromis de courrier électronique professionnel » ou « fraude au niveau du PDG » qui manipule une entreprise en utilisant de fausses identités. Cela peut nuire considérablement à la réputation de l’entreprise.
Hameçonnage vocal / Vishing
C’est l’une des méthodes les plus populaires d’ingénierie sociale. C’est la pratique d’utiliser des appels téléphoniques ou des messages vocaux pour obtenir des données d’accès ou toute autre donnée. L’usurpation d’identité est beaucoup plus facile sur un téléphone qu’elle ne l’est en réalité, les attaquants le savent bien.
Trou d’eau / Watering hole
Une attaque par trou d’eau consiste à placer un code malveillant sur des sites Web publics visités par la victime. L’attaquant explore d’abord les sites que la victime visitera, puis y recherche les vulnérabilités. Lorsque ces vulnérabilités sont trouvées et confirmées, le site peut être utilisé pour télécharger une porte dérobée sur la machine de la victime.
Appâtage / Baiting
Cette méthode est généralement considérée comme un type d’attaque de phishing, mais elle diffère en ce que l’appât est généralement quelque chose que la victime désire. Cela peut être n’importe quoi, de la musique gratuite, des films ou tout autre type de média. Pour l’obtenir, la victime n’a qu’à saisir les données de connexion.
Troc / Quid Pro Quo
Les attaques de troc sont la promesse de quelque chose ou d’un avantage, en échange d’informations. Les informations sont généralement le mot de passe de la victime, mais des informations supplémentaires peuvent inclure des informations personnellement identifiables, des données de localisation ou une architecture de réseau. Le contraste peut être n’importe quoi. En fait, il le sait, certaines personnes sont prêtes à donner leur mot de passe en échange d’un stylo bon marché ou d’une barre chocolatée.
Talonnage / Tailgating
Le suivi se produit lorsque l’accès à un lieu ou à quelque chose est protégé par un appareil électronique, et l’attaquant marche simplement derrière quelqu’un qui y a accès. On voit beaucoup de tels incidents dans les films, où un employé scanne son badge sur la serrure du portail, et quand il s’ouvre, deux personnes passent avant qu’il ne se ferme. Dans tous les cas, en fait, il pourrait s’agir simplement de transporter une grande boîte, ou un plateau de livraison de nourriture amené à la porte arrière où les employés prennent leurs pauses. Voici le rôle de l’émotion humaine pour l’attaquant d’ouvrir la porte pour lui par quelqu’un, indépendamment du fait que cette porte nécessite la fonction d’accès du personnel.