Ingénierie sociale
Qu’est-ce que l’ingénierie sociale?
L’ingénierie sociale consiste à exploiter les faiblesses humaines pour accéder aux informations personnelles et aux systèmes protégés. L’ingénierie sociale repose sur la manipulation d’individus plutôt que sur le piratage des systèmes informatiques pour pénétrer le compte d’une cible.
Comprendre l’ingénierie sociale
Par exemple, une femme peut appeler la banque d’un homme victime et se faire passer pour sa femme en réclamant une urgence et en demandant l’accès à son compte. Si la femme réussit à organiser socialement le représentant du service client de la banque en faisant appel à la tendance empathique du représentant, elle peut réussir à accéder au compte de l’homme et à lui voler son argent. De même, un attaquant peut contacter le service client d’un fournisseur de messagerie pour obtenir une réinitialisation de mot de passe permettant à l’attaquant de contrôler le compte de messagerie d’une cible plutôt que de pirater ce compte.
L’ingénierie sociale fait référence à la manipulation d’une cible afin qu’elle renonce à des informations clés. En plus de voler l’identité d’un individu ou de compromettre une carte de crédit ou un compte bancaire, l’ingénierie sociale peut être appliquée pour obtenir les secrets commerciaux d’une entreprise ou exploiter la sécurité nationale.
L’ingénierie sociale est difficile à éviter pour les cibles potentielles. Des précautions telles que l’utilisation de mots de passe forts et l’ authentification à deux facteurs pour les comptes sont utilisées, mais les comptes peuvent toujours être compromis par des tiers ayant accès à leurs comptes, tels que les employés de la banque. Cependant, les individus peuvent réduire leur risque en évitant de divulguer des informations confidentielles, en faisant preuve de prudence lors du partage d’informations sur les réseaux sociaux, en ne répétant pas les mots de passe, en utilisant l’authentification à deux facteurs, en utilisant des réponses fausses ou difficiles à deviner aux questions de sécurité du compte et en gardant un un œil attentif sur les comptes, en particulier les comptes financiers.
Les attaquants utilisent souvent des tactiques étonnamment simples dans les projets d’ingénierie sociale, comme demander de l’aide aux gens. Une autre tactique consiste à exploiter les victimes de catastrophes en leur demandant de fournir des informations personnellement identifiables telles que les vol d’identité.
Se faire passer pour un professionnel du support technique ou un livreur sont des moyens faciles d’obtenir un accès non autorisé à un compte, tout comme l’envoi d’un e-mail apparemment légitime avec une pièce jointe malveillante. Ces e-mails sont souvent envoyés à une adresse e-mail professionnelle où les gens sont moins susceptibles de se méfier d’un expéditeur inconnu.
Les e-mails peuvent être déguisés pour apparaître comme s’ils provenaient d’un expéditeur connu lorsqu’ils sont effectivement envoyés par un pirate informatique. Des tactiques plus élaborées ciblant des personnes spécifiques peuvent impliquer de connaître leurs intérêts, puis d’envoyer à la cible un lien lié à cet intérêt. Le lien peut contenir du code malveillant qui peut voler des informations personnelles sur leurs ordinateurs. Les techniques d’ingénierie sociale populaires incluent le phishing, la pêche au chat, le talonnage et l’appâtage.