L’art de l’ingénierie sociale: êtes-vous conditionné?

[ware_item id=33][/ware_item]

Une illustration d'un homme dans un sweat à capuche à l'aide de cordes de marionnettes sur un homme assis à un bureau.


À mesure que nous améliorons la sécurité de nos systèmes informatiques, nous découvrons que la ligne de défense la plus faible est, en fait, l'être humain. L'ingénierie sociale est l'art sombre de la manipulation des personnes. Les pirates sociaux pourraient vouloir accéder à un bâtiment, se procurer des informations qu'ils ne sont pas censés avoir, ou simplement augmenter leur statut dans la société.

Les pirates sociaux ont été glorifiés dans des films comme Catch Me If You Can et Six Degrees of Separation, et le même charme qui leur donne les capacités de manipuler les victimes peut être transformé pour en faire des stars pour un public adulateur.

Le piratage social peut prendre plusieurs formes, telles que des escroqueries par téléphone et par e-mail, des mariages délibérément exploiteurs ou des fausses identités entières qui sont maintenues pendant des décennies.

Mais comment font-ils cela? Et comment pouvons-nous nous protéger des personnes qui ont un don pour amener tout le monde autour d'eux à baisser leur garde?

1) Il y a beaucoup d'informations sur vous sur Internet

Dans une tactique appelée prétexte, le pirate inventera un prétexte pour vous contacter, par téléphone ou par e-mail ou en personne. Souvent, cela impliquera de faire d'énormes recherches sur vos antécédents, votre formation, votre travail et même les appareils que vous possédez. Les attaquants pourraient vous surprendre avec ce qui semble être des informations privilégiées, peut-être en connaissant votre adresse IP ou votre ID universitaire. Ils pourraient tirer parti des informations que vous avez volontairement fournies ailleurs sur Internet, puis ont oublié.

Le prétexte est souvent utilisé pour obtenir plus d'informations d'une cible et est parfois formulé comme des informations de «confirmation». Il peut être utilisé pour inciter l'utilisateur à effectuer des tâches sensibles à la sécurité, telles que le téléchargement de logiciels, la désactivation des pare-feu ou le contournement des mécanismes de sécurité.

Une autre tactique est technique de détournement. C'est quand un attaquant vous convainc de faire un paiement sur un autre compte ou d'envoyer votre envoi à une adresse différente. Souvent, cette tactique consiste à détourner des communications ou des clés de chiffrement. Quelqu'un pourrait vous appeler, prétendant être le représentant d'une banque ou d'un fournisseur de messagerie, puis vous donner un avertissement utile concernant un message d'avertissement. La personne peut vous dire «d'ignorer en toute sécurité» les avertissements. De même, il peut vous être demandé de commencer à communiquer avec quelqu'un «d'un autre service» ou de recevoir une clé de chiffrement alternative à utiliser avec votre compte.

2) Vous êtes une personne gentille et honnête

La plupart des gens aiment aider les autres d'une manière ou d'une autre et ne soupçonnent pas une attaque derrière chaque demande. Et bien sûr, nous ne devons pas substituer notre utilité à une paranoïa insupportable.

Il est difficile de maintenir un équilibre sain, et souvent tout signe de paranoïa est ridiculisé.

Nous sommes moins méfiants lorsque de bonnes choses nous arrivent. Une clé USB coûteuse que vous trouverez sur le sol peut s'avérer contenir des logiciels malveillants, ou l'ours en peluche moelleux envoyé à votre bureau peut contenir une caméra ou un dispositif de suivi. Cette tactique est connue sous le nom de appât, et dans des cas extrêmes, les attaquants peuvent aller jusqu'à dire qu’ils sont «tombés amoureux de vous» ou offrir des grands prix pour des compétitions dont vous ne vous souvenez pas avoir participé..

En ne faisant pas preuve de prudence et en vérifiant l'identité des personnes qui nous contactent, les attaquants peuvent établir l'autorité sur nous. Dans une grande organisation, il peut être difficile de savoir exactement qui est le plus haut placé dans la chaîne de commandement, et les nouveaux employés sont particulièrement vulnérables à ce type d'escroquerie. Une entreprise pourrait être plus vulnérable à ce type d'attaques après des changements de direction ou une restructuration.

Les pirates sociaux pourraient même exploitez votre gentillesse beaucoup plus brutalement, simplement en demandant quelque chose. Dans un environnement de travail difficile, les employés stressés répondent souvent très positivement aux demandes aimables. En fait, la plupart des gens répondront à la gentillesse ou à l'autorité.

3) Vous en dites plus sur vous que vous ne le pensez

Vous ne savez peut-être pas si vous êtes le genre de personne qui répond mieux à l'autorité ou à la gentillesse, mais un attaquant qualifié pourrait rapidement le découvrir en lisant des signes subtils dans vos expressions faciales ou gestes de la main.

Victor Lustig, le maître escroc qui a trompé un marchand de ferraille en lui faisant croire qu'il avait acheté la Tour Eiffel, explique:

  • Soyez un auditeur patient (c'est cela, pas la parole rapide, qui obtient un escroc ses coups d'État).
  • Attendez que l'autre personne révèle ses opinions politiques, puis d'accord avec elle.
  • Laissez l'autre personne révéler des opinions religieuses, puis ayez les mêmes.
  • Faites allusion à des discussions sexuelles, mais ne les suivez pas à moins que l'autre personne ne manifeste un fort intérêt.
  • Ne discutez jamais de maladie, sauf si une préoccupation particulière est manifestée.
  • Ne jamais fouiller dans la situation personnelle d'une personne (la cible vous dira tout par la suite).
  • Ne vous vantez jamais - laissez simplement votre importance être discrètement évidente.

Plus ciblé et efficace peut être un Hameçonnage attaque. Dans sa forme la plus courante, vous recevez un e-mail de votre banque vous invitant à vous connecter à votre compte. Mais au lieu d'être dirigé vers le site Web de votre banque, vous êtes envoyé vers un site identique appartenant aux attaquants. Cette attaque peut même contourner l'authentification à deux facteurs. Lorsque les attaquants tentent de se connecter à votre compte réel, vous pouvez recevoir un SMS avec un code de sécurité de votre banque. Ils l'obtiendront, simplement en vous demandant de le saisir sur leur faux site.

4) Votre esprit saute facilement aux conclusions

Nous détestons admettre que nous ne reconnaissons pas les personnes qui prétendent nous connaître. Surtout s'ils semblent connaître des détails intimes sur nous-mêmes. En fait, nous sommes beaucoup plus susceptibles de nous tromper en pensant que nous devons connaître la personne, plutôt que de risquer une confrontation pour clarifier la nature de notre relation. Ceci est exploité dans d'innombrables escroqueries téléphoniques, où les gens sont amenés à croire que leurs parents éloignés appellent et ont besoin d'une aide financière.

William Thompson, qui vivait à New York dans les années 1840, a convaincu des étrangers au hasard non seulement qu'ils le connaissaient, mais aussi qu'ils pouvaient lui faire confiance pour prendre soin de leurs biens précieux. Il est rapidement devenu connu dans tout le pays comme «l'homme de confiance».

5) Vous avez tendance à croire que les autres sont comme vous

Vous n'avez aucune mauvaise intention, alors pourquoi les autres? Il est difficile pour nous d'imaginer que parfois des gens en apparence ordinaires veulent vous faire du mal.

Vous connaissez les pirates malveillants, mais ils n'attaquent que les États-nations et les militants des droits civiques, non? Pourquoi quelqu'un essaierait-il de vous pirater? Vous n'avez pas d'argent ou de secrets commerciaux à voler. Alors pourquoi les gens voudraient-ils te faire du mal?

En réalité, vous et vos données sont probablement beaucoup plus précieux que vous ne le pensez, et vous pouvez déjà être attaqué d'une manière ou d'une autre. Il peut s'agir d'une attaque automatisée ou d'une simple coïncidence, mais il est sage de ne pas faire aveuglément confiance aux coïncidences heureuses. Méfiez-vous de l'apparition soudaine d'une vieille connaissance ou de toute demande étrange qui vient par téléphone.

Lisez plus de conseils sur la confidentialité et la sécurité sur Internet ici

L'art de l'ingénierie sociale: êtes-vous conditionné?
admin Author
Sorry! The Author has not filled his profile.