Définition de lingénierie sociale
Lingénierie sociale est lart dexploiter la psychologie humaine, plutôt que les techniques de piratage technique, pour accéder aux bâtiments , des systèmes ou des données.
Par exemple, au lieu dessayer de trouver une vulnérabilité logicielle, un ingénieur social peut appeler un employé et se faire passer pour un technicien dassistance informatique, essayant de tromper lemployé pour quil divulgue son mot de passe.
Le célèbre hacker Kevin Mitnick a contribué à populariser le terme «ingénierie sociale» dans les années 90, bien que lidée et la plupart des techniques existent depuis quil y a des escrocs.
Même si vous avez tous les atouts en matière de sécurisation de votre datacenter, de vos déploiements cloud, de la sécurité physique de votre bâtiment et que vous avez investi dans des technologies défensives, vous avez le droit politiques et processus de sécurité en place et mesurer leur efficacité et saméliorer e, toujours un ingénieur social astucieux peut se frayer un chemin à travers (ou autour).
Techniques dingénierie sociale
Lingénierie sociale sest avérée être un moyen très efficace pour un criminel de «pénétrer» dans votre organisation. Une fois quun ingénieur social a le mot de passe dun employé de confiance, il peut simplement se connecter et fouiner à la recherche de données sensibles. Avec une carte daccès ou un code pour entrer physiquement dans une installation, le criminel peut accéder aux données, voler des actifs ou même blesser personnes.
Dans larticle Anatomy of a Hack, un testeur de pénétration explique comment il a utilisé lactualité, les informations publiques disponibles sur les sites de réseaux sociaux et une chemise Cisco à 4 $ quil a achetée sur une friperie pour se préparer à son entrée illégale. La chemise la aidé à convaincre la réception de limmeuble et dautres employés quil était un employé de Cisco lors dune visite de support technique. Une fois à lintérieur, il a également pu donner lentrée illégale à ses autres membres de léquipe. Il a également réussi à déposer plusieurs clés USB chargées de logiciels malveillants et à pirater le réseau de lentreprise, le tout à la vue des autres employés.
Vous n’avez pas besoin de faire des achats dans les friperies pour réussir une attaque dingénierie sociale. Elles fonctionnent aussi bien par e-mail, par téléphone ou sur les réseaux sociaux. Ce que toutes les attaques ont en commun, ils utilisent la nature humaine à leur avantage, en sattaquant à notre cupidité, notre peur, notre curiosité et même notre désir daider les autres.
Exemples dingénierie sociale
Les criminels prendront souvent des semaines et des mois à connaître un endroit avant même dentrer dans la porte ou de passer un appel téléphonique. Leur préparation peut inclure la recherche dune liste de téléphone ou dun organigramme dentreprise et la recherche demployés sur des sites de réseaux sociaux comme LinkedIn ou Facebook.
1. Au téléphone
Un ingénieur social peut appeler et se faire passer pour un collègue ou une autorité externe de confiance (comme les forces de lordre ou un auditeur).
2. Au bureau
« Pouvez-vous me tenir la porte? Je nai pas ma clé / carte daccès sur moi. Combien de fois avez-vous entendu cela dans votre immeuble? Bien que la personne qui pose la question ne semble pas suspecte, cest une tactique très courante utilisée par les ingénieurs sociaux.
3. En ligne
Les sites de réseaux sociaux ont rendu les attaques dingénierie sociale plus faciles à mener. Les attaquants daujourdhui peuvent accéder à des sites comme LinkedIn et trouver tous les utilisateurs qui travaillent dans une entreprise et rassembler de nombreuses informations détaillées qui peuvent être utilisées pour poursuivre une attaque.
Les ingénieurs sociaux profitent également de la rupture actualités, vacances, culture pop et autres dispositifs pour attirer les victimes. Dans Woman perd 1 825 $ suite à une escroquerie de mystery shopping se faisant passer pour BestMark, Inc., vous voyez comment les criminels ont exploité le nom dune entreprise de mystery shopping pour mener leur escroquerie. Les fraudeurs utilisent souvent de faux organismes de bienfaisance pour promouvoir leurs objectifs criminels pendant les vacances.
Les attaquants personnaliseront également les attaques de phishing pour cibler des intérêts connus (par exemple, artistes préférés, acteurs, musique, politique, philanthropies) qui peuvent être exploités pour inciter les utilisateurs à cliquez sur les pièces jointes contenant des logiciels malveillants.
Attaques dingénierie sociale célèbres
Un bon moyen davoir une idée des tactiques dingénierie sociale à rechercher est pour savoir ce qui a été utilisé dans le passé. Nous avons tous les détails dans un article détaillé sur le sujet, mais pour le moment, concentrons-nous sur trois techniques dingénierie sociale – indépendantes des plates-formes technologiques – qui ont connu un grand succès pour les escrocs.
Offrez quelque chose de sucré. Comme tout escroc vous le dira, le moyen le plus simple darnaquer une marque est dexploiter sa propre cupidité. Cest le fondement de larnaque classique nigériane 419, dans laquelle lescroc tente de convaincre la victime daider à faire sortir de largent prétendument mal acquis de son propre pays dans une banque sûre, offrant une partie des fonds en échange.Ces e-mails de « prince nigérian » sont une blague courante depuis des décennies, mais ils « restent une technique dingénierie sociale efficace pour laquelle les gens craquent: en 2007, le trésorier dun comté du Michigan à faible densité de population a donné 1,2 million de dollars de fonds publics à un tel escroc en lespoir de gagner personnellement. Un autre attrait commun est la perspective dun nouvel emploi meilleur, ce qui est apparemment quelque chose que trop dentre nous veulent: lors dune brèche extrêmement embarrassante en 2011, la société de sécurité RSA a été compromise quand au moins deux les employés de niveau ont ouvert un fichier malveillant joint à un e-mail dhameçonnage avec le nom de fichier « plan de recrutement 2011.xls ».
Fake it jusquà ce que vous y parveniez. Lune des techniques dingénierie sociale les plus simples et étonnamment les plus efficaces consiste simplement à faire semblant d’être votre victime. Dans l’une des premières escroqueries légendaires de Kevin Mitnick, il a eu accès aux serveurs de développement de systèmes d’exploitation de Digital Equipment Corporation simplement en appelant la société, en prétendant être l’un de ses principaux développeurs et en disant il avait du mal à se connecter; il a été immédiatement récompensé par un nouveau login et mot de passe. Tout cela sest passé en 1979, et vous pensez que les choses se seraient améliorées depuis, mais vous vous trompez: en 2016, un pirate informatique a pris le contrôle dune adresse e-mail du ministère américain de la Justice et la utilisée pour se faire passer pour un employé, persuadant un service dassistance à la remise dun jeton daccès à lintranet du DoJ en disant que cétait sa première semaine de travail et quil ne savait pas comment quelque chose fonctionnait.
De nombreuses organisations ont des barrières destinées à empêcher ce genre de choses dusurpations didentité effrontées, mais elles peuvent souvent être contournées assez facilement. Lorsque Hewlett-Packard a embauché des enquêteurs privés pour savoir quels membres du conseil dadministration de HP divulguaient des informations à la presse en 2005, ils ont été en mesure de fournir aux chercheurs principaux les quatre derniers chiffres de leur numéro de sécurité sociale cible – qui AT & T « Le support technique de » T « est accepté comme preuve didentité avant de remettre les journaux dappels détaillés.
Agissez comme si vous étiez responsable. La plupart dentre nous sont prêts à respecter lautorité – ou, en fin de compte, à respecter les gens qui agissent comme sils avaient lautorité de faire ce quils font. Vous pouvez exploiter divers degrés de connaissance des processus internes dune entreprise pour convaincre les gens que vous avez le droit dêtre des lieux ou de voir des choses que vous ne devriez pas, ou quune communication venant de vous vient vraiment de quelquun quils respectent. Par exemple, en 2015, les employés des finances dUbiquiti Networks ont viré des millions de dollars en argent de lentreprise à des escrocs qui se faisaient passer pour des dirigeants dentreprise, probablement en utilisant une URL similaire dans leur adresse e-mail. Du côté de la technologie inférieure, les enquêteurs travaillant pour les tabloïds britanniques à la fin des années 2000 et au début des années 10 ont souvent trouvé des moyens daccéder aux comptes de messagerie vocale des victimes en se faisant passer pour dautres employés de la compagnie de téléphone par pure bluff; par exemple, un PI convaincu Vodafone de réinitialiser le code PIN de la messagerie vocale de lactrice Sienna Miller en appelant et en prétendant être «John du contrôle de crédit».
Parfois, ce sont des autorités externes auxquelles nous nous conformons sans trop y réfléchir. Hillary Clinton Le responsable de la campagne John Podesta a vu son e-mail piraté par des espions russes en 2016 lorsquils lui ont envoyé un e-mail de phishing déguisé en une note de Google lui demandant de réinitialiser son mot de passe. En prenant des mesures qui, selon lui, sécuriseraient son compte, il a en fait donné ses identifiants de connexion
Prévention de lingénierie sociale
La formation de sensibilisation à la sécurité est le meilleur moyen de prévenir lingénierie sociale. Les employés doivent être conscients de lexistence de lingénierie sociale et se familiariser avec la plupart des co mmseulement utilisé des tactiques.
Heureusement, la sensibilisation à lingénierie sociale se prête à la narration. Et les histoires sont beaucoup plus faciles à comprendre et beaucoup plus intéressantes que les explications de défauts techniques. Les quiz et les affiches accrocheuses ou humoristiques sont également des rappels efficaces pour ne pas supposer que tout le monde est ce quil prétend être.
Mais ce nest pas seulement lemployé moyen qui doit être conscient de lingénierie sociale. Les dirigeants et les cadres sont les principales cibles de lentreprise.
5 conseils pour se défendre contre lingénierie sociale
Dan Lohrmann, contributeur CSO, donne les conseils suivants:
1. Former et former à nouveau en matière de sensibilisation à la sécurité.
Assurez-vous davoir mis en place un programme complet de formation sur la sensibilisation à la sécurité qui est régulièrement mis à jour pour répondre à la fois aux menaces générales de phishing et aux nouvelles cybermenaces ciblées. Noubliez pas que cest pas seulement en cliquant sur des liens.
2. Fournir un briefing détaillé sur les dernières techniques de fraude en ligne au personnel clé.
Oui, incluez les cadres supérieurs, mais noubliez pas les personnes habilitées à effectuer des virements électroniques ou dautres transactions financières.Noubliez pas que de nombreuses histoires vraies impliquant des fraudes se produisent avec des employés de niveau inférieur qui se font duper en pensant quun cadre leur demande de mener une action urgente – en contournant généralement les procédures et / ou contrôles normaux.
3. Passez en revue les processus existants, les procédures et la séparation des tâches pour les transferts financiers et autres transactions importantes.
Ajoutez des contrôles supplémentaires, si nécessaire. Noubliez pas que la séparation des tâches et dautres protections peuvent être compromises à un moment donné par des menaces internes, de sorte que les examens des risques devront peut-être être réanalysés étant donné laugmentation des menaces.
4. Envisagez de nouvelles politiques relatives aux transactions «hors bande» ou aux demandes urgentes de la direction.
Un e-mail du compte Gmail du PDG devrait automatiquement signaler un signal dalarme au personnel, mais il doit comprendre les dernières techniques déployées par le côté obscur. Vous avez besoin de procédures durgence autorisées et bien comprises de tous.
5. Passez en revue, affinez et testez vos systèmes de gestion des incidents et de signalement dhameçonnage.
Exécutez un exercice sur table avec la direction et le personnel clé sur un régulièrement. Testez les contrôles et effectuez une rétro-ingénierie des zones de vulnérabilité potentielles.
Boîte à outils dingénierie sociale
Un certain nombre de fournisseurs proposent des outils ou des services pour vous aider à mener des exercices dingénierie sociale et / ou à sensibiliser les employés par des moyens tels que des affiches et des newsletters.
La boîte à outils dingénierie sociale de social-engineer.org, qui est à télécharger gratuitement, vaut également la peine dêtre consultée. La boîte à outils permet dautomatiser les tests de pénétration via lingénierie sociale, y compris les attaques de spear phishing, la création de sites Web dapparence légitime, les attaques basées sur une clé USB, etc.
Une autre bonne ressource est The Social Engineering Framework.