Qu'est-ce que l'ingénierie sociale? Attaques, techniques et amp; La prévention

Table des matières:

Anonim

Qu'est-ce que l'ingénierie sociale?

L'ingénierie sociale est l'art de manipuler les utilisateurs d'un système informatique pour qu'ils révèlent des informations confidentielles qui peuvent être utilisées pour obtenir un accès non autorisé à un système informatique. Le terme peut également inclure des activités telles que l'exploitation de la gentillesse humaine, de la cupidité et de la curiosité pour accéder à des bâtiments à accès restreint ou amener les utilisateurs à installer un logiciel de porte dérobée.

Connaître les astuces utilisées par les pirates pour inciter les utilisateurs à divulguer des informations de connexion vitales, entre autres, est fondamental pour protéger les systèmes informatiques.

Dans ce didacticiel, nous vous présenterons les techniques d'ingénierie sociale courantes et comment vous pouvez trouver des mesures de sécurité pour les contrer.

Sujets abordés dans ce didacticiel

  • Comment fonctionne l'ingénierie sociale?
  • Techniques communes d'ingénierie sociale
  • Contre-mesures d'ingénierie sociale

Comment fonctionne l'ingénierie sociale?

ICI,

  • Rassembler des informations : C'est la première étape, le apprend autant que possible sur la victime prévue. Les informations sont collectées à partir des sites Web de l'entreprise, d'autres publications et parfois en s'adressant aux utilisateurs du système cible.
  • Planifier l'attaque : les attaquants décrivent comment ils ont l'intention d'exécuter l'attaque
  • Acquérir des outils : il s'agit des programmes informatiques qu'un attaquant utilisera lors du lancement de l'attaque.
  • Attaque : exploitez les faiblesses du système cible.
  • Utiliser les connaissances acquises : les informations recueillies au cours des tactiques d'ingénierie sociale telles que les noms d'animaux de compagnie, les dates de naissance des fondateurs de l'organisation, etc. sont utilisées dans des attaques telles que la recherche de mots de passe.

Techniques communes d'ingénierie sociale:

Les techniques d'ingénierie sociale peuvent prendre de nombreuses formes . Voici la liste des techniques couramment utilisées.

  • Exploit de familiarité: Les utilisateurs se méfient moins des personnes qu'ils connaissent. Un attaquant peut se familiariser avec les utilisateurs du système cible avant l'attaque d'ingénierie sociale. L'attaquant peut interagir avec les utilisateurs pendant les repas, lorsque les utilisateurs fument, il peut se joindre, lors d'événements sociaux, etc. Cela rend l'attaquant familier aux utilisateurs. Supposons que l'utilisateur travaille dans un bâtiment qui nécessite un code d'accès ou une carte pour y accéder; l'attaquant peut suivre les utilisateurs lorsqu'ils pénètrent dans ces lieux. Les utilisateurs préfèrent tenir la porte ouverte pour que l'attaquant entre car ils les connaissent. L'attaquant peut également demander des réponses à des questions telles que l'endroit où vous avez rencontré votre conjoint, le nom de votre professeur de mathématiques au lycée, etc. Les utilisateurs sont plus susceptibles de révéler des réponses lorsqu'ils font confiance au visage familier.Ces informations pourraient être utilisées pour pirater des comptes de messagerie et d'autres comptes qui posent des questions similaires si l'on oublie leur mot de passe.
  • Circonstances intimidantes : Les gens ont tendance à éviter les gens qui intimident les autres autour d'eux. En utilisant cette technique, l'attaquant peut prétendre avoir une vive dispute au téléphone ou avec un complice du stratagème. L'attaquant peut alors demander aux utilisateurs des informations qui seraient utilisées pour compromettre la sécurité du système des utilisateurs. Les utilisateurs donneront probablement les bonnes réponses juste pour éviter d'avoir une confrontation avec l'attaquant. Cette technique peut également être utilisée pour éviter d'être vérifiée à un point de contrôle de sécurité.
  • Phishing : Cette technique utilise la ruse et la tromperie pour obtenir des données privées des utilisateurs. L'ingénieur social peut essayer de se faire passer pour un site Web authentique tel que Yahoo, puis demander à l'utilisateur sans méfiance de confirmer son nom de compte et son mot de passe. Cette technique pourrait également être utilisée pour obtenir des informations de carte de crédit ou toute autre donnée personnelle précieuse.
  • Tailgating : Cette technique consiste à suivre les utilisateurs derrière lorsqu'ils entrent dans des zones réglementées. Par courtoisie humaine, l'utilisateur est le plus susceptible de laisser l'ingénieur social à l'intérieur de la zone restreinte.
  • Exploiter la curiosité humaine : en utilisant cette technique, l'ingénieur social peut délibérément déposer un disque flash infecté par un virus dans une zone où les utilisateurs peuvent facilement le récupérer. L'utilisateur branche très probablement le disque flash sur l'ordinateur. Le disque flash peut exécuter automatiquement le virus, ou l'utilisateur peut être tenté d'ouvrir un fichier avec un nom tel que Rapport de réévaluation des employés 2013.docx qui peut en fait être un fichier infecté.
  • Exploiter la cupidité humaine : en utilisant cette technique, l'ingénieur social peut attirer l'utilisateur avec des promesses de gagner beaucoup d'argent en ligne en remplissant un formulaire et en confirmant ses coordonnées en utilisant les détails de sa carte de crédit, etc.

Contre-mesures d'ingénierie sociale

La plupart des techniques employées par les ingénieurs sociaux impliquent la manipulation des préjugés humains . Pour contrer ces techniques, une organisation peut;

  • Pour contrer l'exploit de familiarité , les utilisateurs doivent être formés pour ne pas se substituer à la familiarité avec les mesures de sécurité. Même les personnes avec lesquelles ils sont familiers doivent prouver qu'ils ont l'autorisation d'accéder à certaines zones et informations.
  • Pour contrer les attaques de circonstances intimidantes, les utilisateurs doivent être formés pour identifier les techniques d'ingénierie sociale qui recherchent des informations sensibles et disent poliment non.
  • Pour contrer les techniques de phishing , la plupart des sites tels que Yahoo utilisent des connexions sécurisées pour crypter les données et prouver qu'ils sont bien ce qu'ils prétendent être. La vérification de l'URL peut vous aider à repérer de faux sites . Évitez de répondre aux e-mails qui vous demandent de fournir des informations personnelles .
  • Pour contrer les attaques de talonnage, les utilisateurs doivent être formés à ne pas laisser les autres utiliser leur habilitation de sécurité pour accéder aux zones restreintes. Chaque utilisateur doit utiliser sa propre autorisation d'accès.
  • Pour contrer la curiosité humaine , il est préférable de soumettre les disques flash récupérés aux administrateurs système qui devraient les analyser pour détecter tout virus ou autre infection, de préférence sur une machine isolée.
  • Pour contrer les techniques qui exploitent la cupidité humaine , les employés doivent être formés sur les dangers de tomber dans de telles escroqueries.

Résumé

  • L'ingénierie sociale est l'art d'exploiter les éléments humains pour accéder à des ressources non autorisées.
  • Les ingénieurs sociaux utilisent un certain nombre de techniques pour tromper les utilisateurs en leur faisant révéler des informations sensibles.
  • Les organisations doivent avoir des politiques de sécurité qui comportent des contre-mesures d'ingénierie sociale.