Accueil / Stratégie de sécurité / 17 experts en sécurité sur la façon de prévenir les attaques d’ingénierie sociale
Dans les termes les plus simples, l’ingénierie sociale est définie comme lorsqu’une personne manipule une autre pour accéder à des systèmes, des réseaux ou des emplacements, ou pour un gain financier.
L’ingénierie sociale est le processus de contournement des règles de sécurité en exploitant des cibles humaines. L’objectif principal de l’ingénierie sociale est d’accéder à des données ou à des systèmes auxquels les attaquants n’ont pas l’autorisation d’accéder. Ces attaques sont particulièrement dommageables car elles abusent souvent de vos impulsions prosociales pour obtenir cet accès illicite.
Les escroqueries d’ingénierie sociale sont souvent utilisées par les pirates qui veulent accéder aux systèmes parce que la sécurité technologique est si avancée. Les gens ont tendance à être beaucoup plus faciles à manipuler, et beaucoup aideront quelqu’un qui se fait passer pour un collègue ou même un conseiller en ligne simplement parce que c’est la chose socialement acceptable à faire. Autrement dit, les gens sont beaucoup plus vulnérables parce que, ironiquement, nous voulons aider.
Dans de nombreux cas, une attaque d’ingénierie sociale est dirigée par une personne se faisant passer pour une source de confiance, telle qu’une banque ou un service client.
Ils renforcent la confiance de leur cible, utilisant leur position présumée pour persuader les gens de baisser leur garde et de fournir des informations confidentielles pour accéder aux données
Tout comme les gens ont tendance à accepter les personnes qui portent un badge comme des personnes d’autorité, les pirates persuadent les autres qu’ils sont des figures d’autorité pour gagner la confiance et encourager leur cible à être utile.
Exemples Et Types Des Dernières Techniques D’attaque Courantes
Attaques Physiques
Talonnage Ou Ferroutage
Le talonnage, également connu sous le nom de ferroutage, est l’une des attaques les plus simples et les plus efficaces. Cela implique que les attaquants accèdent à une zone protégée en suivant quelqu’un d’autre. Les attaquants peuvent attendre qu’une autre personne entre dans le bâtiment et les suivre à l’intérieur. Cela nécessite très peu de planification car l’attaquant évite les procédures de sécurité standard.
Pretexte
En pratique, le faux-semblant en face-à-face s’apparente à un acteur jouant un rôle.
Cela implique que des escrocs assument une fausse identité pour vous inciter à révéler des informations protégées.
Une version simple de cette tactique consiste à se faire passer pour un technicien ou un consultant. Les attaquants trompent ensuite d’autres personnes pour qu’elles leur donnent accès, généralement en prétendant qu’elles ont été appelées ou qu’elles ont un rendez-vous.
Les agresseurs peuvent également se faire passer pour un employé. Si les attaquants incluent des recherches sur leur rôle, ils peuvent inciter d’autres employés à leur faire confiance. Grâce à cette confiance, ils peuvent accéder aux informations sensibles de l’entreprise. Lorsque les attaquants utilisent des tactiques à haute pression ou de la confusion, comme affirmer que l’employé pourrait être licencié s’il refuse d’aider, les attaquants peuvent être en mesure de tromper même des personnes par ailleurs prudentes.
Appâtage
L’appâtage, c’est quand les attaquants utilisent un objet physique comme appât.
Par exemple, laisser une clé USB ou un autre appareil quelque part et attendre que vous le récupériez. L’appareil est chargé de logiciels malveillants qui s’installent automatiquement. Lorsque vous connectez l’appareil à votre ordinateur, le logiciel malveillant s’installe automatiquement sur votre système.
Une autre forme d’appâtage utilise votre propre clé USB ou appareil mobile. Ce type de logiciel malveillant peut attendre jusqu’à ce qu’il soit connecté à votre ordinateur. Il charge ensuite des logiciels malveillants sur la cible.
Attaques En Ligne
Hameçonnage
Le phishing tente de recueillir des informations personnelles
L’hameçonnage consiste à se faire passer pour une personne de confiance. Les attaquants peuvent prétendre être un ami personnel, une banque ou même faire partie du gouvernement. Une fois le contact établi, ils essaient généralement l’une des deux tactiques.
S’ils prétendent être un ami, ils peuvent envoyer un e-mail à partir du compte de messagerie piraté de votre ami ou d’un compte qui lui ressemble. Ce type d’attaque réussit parce que les gens se méfient moins des noms ou des personnes en qui ils ont confiance.
D’autres peuvent essayer de vous effrayer ou de vous intimider. L’attaquant peut essayer de vous convaincre que vous avez un virus sur votre ordinateur, puis vous diriger vers un site Web pour télécharger un correctif logiciel. Si vous téléchargez le logiciel, il peut charger des logiciels malveillants sur votre système.
Spear Phishing Ou Chasse à La Baleine
Le spear phishing est comme le phishing mais vise ceux qui ont autorité. Ces cibles de grande valeur sont souvent victimes en raison de l’augmentation des gains. Les escrocs peuvent passer des mois à rechercher la meilleure façon d’attaquer ces personnes.
Par exemple, les attaquants piratent l’ordinateur de l’assistant d’un cadre. Au bon moment, les attaquants peuvent envoyer un e-mail à l’exécutif et lui demander les informations qui permettraient de réinitialiser les mots de passe ou les informations de connexion de l’exécutif.
Abreuvoir
Lors d’une attaque au point d’eau, les méchants vous laissent venir à eux. Cela implique de prendre le contrôle d’un site Web ou d’un réseau auquel vous faites confiance. Avec ce contrôle, les attaquants peuvent attendre que vous accédiez au réseau ou au site Web. Lorsque vous entrez vos informations de connexion ou d’autres données sensibles, les attaquants peuvent les voler.
Une attaque de point d’eau réussie implique au moins deux attaques distinctes. Le premier sur le site Web ou le réseau de confiance, et le second sur vous. Comme ces attaques sont plus sophistiquées, elles sont plus difficiles à détecter et plus susceptibles de réussir.
Typosquattage
Le typosquattage se produit lorsque les attaquants enregistrent les URL des erreurs courantes que les gens tapent lorsqu’ils essaient d’accéder à un site Web populaire.
Un exemple de typosquattage consiste à enregistrer une URL qui est à une lettre de l’URL d’une grande banque. Lorsqu’un client saisit accidentellement l’URL incorrecte détenue par les attaquants, il vous dirige vers un site Web qui ressemble au site Web de votre banque.
Sans vous rendre compte de la différence, vous pouvez entrer vos propres informations de connexion. Les pirates peuvent ensuite utiliser ces informations sur le site Web réel pour voler de l’argent sur votre compte.
Nous avons demandé à nos experts en sécurité : quelles sont les attaques d’ingénierie sociale les plus fréquentes ou les plus courantes subies par les organisations ? Quelles mesures peut-on prendre pour les prévenir ?
Nos Experts En Cybersécurité Sur La Prévention De L’ingénierie Sociale
Rema Déo
PDG et directeur général chez 24by7Security Inc.
Rema est certifié en tant que praticien de la sécurité et de la confidentialité des informations de santé (HCISPP) de (ISC)2. Elle est titulaire d’un certificat en cybersécurité : technologie, application et politique du Massachusetts Institute of Technology.
Les attaques d’ingénierie sociale les plus fréquentes sont causées par le phishing. Le phishing est connu pour être la principale cause d’attaques de ransomwares.
Le talonnage est un autre moyen par lequel les attaquants peuvent obtenir des informations ou planifier ou exécuter une cyberattaque en accédant physiquement à vos locaux, en particulier aux zones sensibles. Dans les entreprises, la chasse à la baleine est également une méthode d’ingénierie sociale populaire, qui se distingue un peu du phishing en ce que les cibles de la chasse à la baleine sont généralement des cibles de grande valeur comme des cadres ou des hauts fonctionnaires.
- Ne pas autoriser le talonnage dans les locaux du bureau. Si quelqu’un vous demande de le laisser entrer dans les locaux, ne le laissez pas entrer à moins qu’il n’ait les informations d’identification et l’autorisation appropriées pour être sur les lieux.
- Le phishing, le vishing, le spear phishing et le whaling sont des formes d’ingénierie sociale. Ne cliquez pas sur des liens inconnus dans des e-mails ou des messages.
- Vérifiez l’adresse e-mail de l’expéditeur avant d’entreprendre toute action. En cas de suspicion, signalez l’e-mail à votre responsable de la sécurité ou de la conformité.
- La sécurité du mot de passe est essentielle. Ne communiquez votre mot de passe à personne. Si vous avez fourni par inadvertance votre mot de passe pour l’un de vos systèmes de travail à quelqu’un, changez immédiatement ces mots de passe.
- Si vous avez des raisons de douter des instructions fournies par un collègue ou un cadre par e-mail, assurez-vous d’appeler ou de confirmer autrement avant de mettre en œuvre, en particulier si ces instructions sont susceptibles d’accorder l’accès à quelqu’un d’autre, ou de virer des fonds ou tout ce qui pourrait avoir un impact négatif. l’entreprise.
Cliquez pour le voir en plein écran
Mike Bousquet
Co-fondateur et PDG, Groove.id Inc.
Le phishing reste si répandu parce qu’il est efficace. Même les utilisateurs finaux sophistiqués et bien formés peuvent être victimes d’un e-mail de phishing bien conçu qui atterrit dans leur boîte de réception. Les attaquants utilisent de nombreuses stratégies différentes pour récolter les informations d’identification des utilisateurs valides. Presque toutes les violations de données impliquent des mots de passe volés . Le résultat est qu’à un moment donné de chaque intrusion, l’attaquant arrête de pirater et commence simplement à se connecter, ce qui rend très difficile pour les équipes informatiques et de sécurité de détecter leur présence et d’empêcher la perte de données. Malheureusement, malgré des investissements importants dans la technologie et la formation des utilisateurs, cette tendance devrait se poursuivre.
La prévention des attaques de phishing est un défi de taille. Les solutions de sécurité des e-mails sont utiles, mais comme les logiciels antivirus, c’est une bataille sans fin pour suivre l’évolution des tactiques des attaquants. Une partie du mauvais trafic trouve inévitablement son chemin à travers les contrôles. Former et éduquer les utilisateurs est une étape louable vers la construction d’une défense contre l’erreur humaine. Cependant, s’attendre à ce que les gens fassent preuve d’une performance sans faille dans l’identification des tentatives de phishing n’est pas réaliste . La plupart des gens essaient simplement de faire leur travail de manière productive.
Nous pensons qu’une meilleure solution consiste à se concentrer sur la suppression de la cible recherchée par les attaquants : les identifiants de compte. Les mots de passe sont utilisés depuis plus de 60 ans comme mécanisme pour identifier les utilisateurs valides d’un service technologique et il est temps de les désactiver. Même l’authentification à deux facteurs a des limites liées à une architecture fondamentale qui repose sur quelque chose qu’un utilisateur sait qu’il peut facilement être amené à abandonner. Une meilleure approche consiste à tirer parti des solutions d’identité modernes qui éliminent l’utilisation de mots de passe.
Aujourd’hui, des technologies telles que les clés de sécurité matérielles, l’analyse du comportement des utilisateurs et les méthodes d’authentification biométrique peuvent être combinées pour éliminer les mots de passe. Lorsque cela se produit, les utilisateurs n’ont rien à retenir et rien à voler pour les attaquants, ce qui ferme la surface d’attaque que le phishing tente de compromettre.
Paul Bischoff
Défenseur de la vie privée chez Comparitech
Paul Bischoff couvre des sujets liés à l’informatique depuis 2012. Il a précédemment travaillé comme rédacteur en chef pour la Chine chez Tech in Asia et est un contributeur régulier de Mashable, ainsi que de plusieurs blogs pour des startups Internet à travers le monde.
Lorsque nous parlons d’attaques d’ingénierie sociale contre des organisations, nous faisons principalement référence au phishing .
Les campagnes de phishing contre les organisations sont généralement plus ciblées que votre escroquerie typique du prince nigérian. Les attaques de spear phishing peuvent cibler des membres spécifiques du personnel ou départements, et les cibles communes incluent le personnel informatique, les cadres, les comptables et le personnel des ressources humaines en charge de la paie et des documents fiscaux. Les escrocs peuvent se faire passer pour d’autres employés ou cadres de l’entreprise, ou de la banque de l’entreprise, d’une société affiliée ou d’un sous-traitant. Le but d’une attaque de phishing est d’obtenir des informations privées. Cela peut aller des documents fiscaux des employés aux mots de passe en passant par les informations financières et, dans certains cas, même les secrets commerciaux. D’autres escroqueries peuvent tenter d’inciter le personnel à transférer de l’argent au criminel.
Les entreprises peuvent prévenir de telles escroqueries en sensibilisant le public au phishing et en mettant en place des règles claires pour le personnel.
Par exemple, le personnel doit connaître les signes avant-coureurs des e-mails de phishing, et aucune information sensible ne doit jamais être envoyée dans un e-mail. Des garanties doivent être mises en place afin que le personnel en possession d’informations aussi précieuses puisse vérifier l’identité de quiconque en fait la demande. Par exemple, le service des ressources humaines doit contacter un responsable par téléphone avant d’effectuer des transferts d’argent non courants . Les entreprises peuvent tester leurs politiques avec leurs propres campagnes d’imitation de phishing pour s’assurer que tout le monde peut détecter et prévenir de manière fiable le phishing.
Olivier Munchow
Consultant en sécurité et évangéliste chez Lucy Security
Oliver Münchow travaille dans la sécurité informatique depuis 1998 et a créé en 1999 sa première entreprise spécialisée dans les tests d’intrusion. Son entreprise actuelle, Lucy Security, aide à sensibiliser les employés et à découvrir les vulnérabilités de leur infrastructure. Il anime des formations dont Certified Ethical Hacker (C|EH) et Open Web Application Security Project (OWASP).
Si les attaques de phishing par e-mail, réseaux sociaux ou SMS sont sans aucun doute les plus courantes, une entreprise a tort de se concentrer uniquement sur ces attaques.
Le danger qu’un employé saisisse un mot de passe sur un site Web contrôlé par des pirates, par exemple, est souvent surestimé. J’ai déjà été engagé par un exploitant nucléaire pour utiliser l’ingénierie sociale pour pénétrer dans des installations sécurisées , donc des méthodes plus efficaces ont été utilisées. Cela comprenait, avant tout, un contact direct sur place. Avec une bonne histoire et les bons vêtements, vous pouvez toujours gagner la confiance des employés.
Une fois sur place, il n’y a plus de limites.
Au début, nous installions des chevaux de Troie sur des serveurs sous prétexte de support informatique . Plus tard, nous avons traversé les pièces avec des chariots et avons simplement empilé les serveurs et les ordinateurs portables dessus et nous sommes sortis avec eux. Les possibilités sont illimitées.
Alors, qu’est-ce que tu peux faire?
La sensibilisation des employés est sans aucun doute essentielle. Mais vous ne couvrez jamais tous les cas d’utilisation de toute façon, et dans les affaires quotidiennes, l’apprentissage est rapidement perdu. L’aide n’est qu’une question de directives très claires qui doivent être respectées. Si, par exemple, un visiteur inopiné vient, cela doit être vérifié auprès de la personne responsable. Si vous voyez un inconnu dans le couloir sans badge, cela doit être signalé. Etc.
Ryan Manship
Président de RedTeam Sécurité
Ryan est titulaire d’un BS en technologie de l’information avec un accent sur le réseautage et la sécurité et prend régulièrement la parole lors de divers événements de sécurité.
Les trois types d’ingénierie sociale les plus courants sont :
Collecte d’informations d’identification : voilà à quoi cela ressemble. Vous avez un site Web ou quelque chose que vous avez envoyé directement à la cible, l’invitant à entrer ses informations d’identification. Lorsqu’ils le font, leurs informations d’identification sont envoyées à l’attaquant. Empêcher cette attaque est aussi simple que de ne pas entrer vos informations d’identification dans tout ce en quoi vous ne faites pas confiance ou auquel vous ne vous attendez pas. Si vous rencontrez une invite d’informations d’identification que vous n’avez jamais vues auparavant, vérifiez auprès de votre service informatique ou de sécurité avant de saisir les informations d’identification.
Clickbait : Ceci est très simple et généralement utilisé uniquement dans les campagnes SE pour tester la sensibilisation des employés. L’objectif est d’inciter les cibles à cliquer sur un lien dans un e-mail de phishing. Si l’utilisateur clique sur le lien malveillant, généralement, cette activité est consignée. Parfois, le lien peut ouvrir quelque chose indiquant à l’utilisateur qu’il s’agissait d’un test de phishing. Ce n’est pas aussi répandu dans la nature car cela n’apporte rien à l’attaquant. Les attaquants veulent quelque chose de l’utilisateur et le simple fait de cliquer sur un lien ne suffit souvent pas. Bien qu’il ne s’agisse pas d’une attaque typique dans la vie réelle, cette attaque peut être combinée à une autre tactique conçue pour faire quelque chose à distance sur la machine cible, le navigateur ou autre chose (et peut même toujours afficher la page de démarrage de test). La formation de sensibilisation des employés et l’apprentissage de ne pas cliquer sur des liens inattendus sont la façon dont vous formez les utilisateurs pour éviter ce type d’attaques.
Accéder au système de la cible. Cela peut venir dans de nombreuses variétés différentes. L’attaque pourrait inclure une pièce jointe avec un document. Le document peut demander à l’utilisateur certaines autorisations ou non. L’attaque pourrait également contenir un lien. Ce lien peut sembler faire n’importe quoi (ou rien), mais il peut également lancer un téléchargement ou exécuter un code malveillant de manière à compromettre le système cible.
Quelle que soit la manière dont cela est réalisé, le résultat de cette attaque est que le code est exécuté sur le système cible de telle manière qu’une connexion est créée vers l’attaquant. L’attaquant peut alors utiliser cette connexion pour exploiter davantage ce système cible et éventuellement même pivoter au sein du réseau de l’entreprise. La prévention de ce type d’attaque nécessite une formation de sensibilisation des employés, mais des solutions techniques peuvent également aider à atténuer la probabilité qu’une telle attaque réussisse.
En bref, presque toutes les attaques d’ingénierie sociale sont conçues pour faire l’une de ces trois choses. Cela ne signifie pas que tous utiliseront ces techniques, mais ce sont les plus probables.
Un attaquant motivé et créatif peut trouver un dérivé de cela ou quelque chose de tout à fait nouveau lors de la création d’une campagne SE contre les utilisateurs de votre entreprise.
Mike Breng
Associé directeur, Optimal IdM
Michael Brengs a plus de 20 ans d’expérience dans l’industrie du logiciel et déploie des solutions de gestion des identités depuis qu’il a rejoint OpenNetwork Technologies en 2000. Il est actuellement directeur des revenus et associé directeur chez Optimal IdM.
Les attaques fréquentes sont le plus souvent des e-mails conçus pour avoir l’air « légitimes », comme dire « Bank of America Customer Service » pour le nom d’affichage du « de » dans l’e-mail. Mais si vous regardez le détail de ce qu’est le vrai compte de messagerie, il peut s’agir de quelque chose de complètement différent.
Regardez tous les hyperliens en les survolant (ne cliquez pas !). Le texte du lien hypertexte peut sembler légitime, mais l’URL de redirection réelle peut être quelque chose de faux. Recherchez les fautes d’orthographe ou de mauvaise grammaire. De nombreux escrocs ne sont pas de langue maternelle anglaise et font des erreurs de grammaire. Ne divulguez jamais les informations personnelles d’un e-mail non sollicité. Si votre instinct vous dit que c’est « louche », c’est probablement Phishy.
Ne cliquez PAS sur les pièces jointes provenant de sources inconnues. S’il s’agit de votre adresse e-mail d’entreprise, informez-en votre personnel informatique.
Le rapport 2018 de Verizon sur les violations de données indique que 81 % des violations liées au piratage ont exploité des mots de passe volés et/ou faibles. Et cela a du sens car l’élément humain de tout système de sécurité sera toujours le maillon le plus faible.
Mais il existe une étape simple pour réduire les risques de piratage.
Bénéficiez d’une formation en sécurité . Souvent, les employeurs dispensent une formation sur les vulnérabilités de sécurité, telles que le phishing par e-mail, les programmes de ransomware et l’ingénierie sociale.
Que faire si vous tombez dans le piège d’une campagne de phishing ?
Réinitialisez le mot de passe pour ce site. N’utilisez PAS un mot de passe ou des informations de connexion similaires au mot de passe d’un autre site. Surveillez ce compte de près pendant au moins 90 jours sur une base quotidienne. S’il s’agit d’une banque ou d’une autre nature sensible, contactez-les.
Jonathan Broche est le fondateur de Leap Security Inc., une société de sécurité de l’information spécialisée dans la simulation d’adversaires. Avec plus de dix ans d’expérience dans les technologies de l’information, Jonathan est spécialisé dans les tests d’intrusion, l’ingénierie sociale et les configurations de systèmes sécurisés. Jonathan est reconnu pour ses exploits et ses outils open source.
Nous vivons dans une ère de sécurité où les utilisateurs sont de plus en plus conscients des attaques d’ingénierie sociale. Les organisations mettent en œuvre et appliquent davantage de formations de sensibilisation à la sécurité , et c’est formidable. C’est quelque chose que les professionnels de la sécurité s’efforcent d’accomplir depuis des années, donc le voir se faire est satisfaisant.
Les attaquants, cependant, gardent toujours une longueur d’avance. Ce que nous voyons maintenant dans l’industrie est une évolution des scénarios génériques d’ingénierie sociale beaucoup plus ciblés. Les attaquants prennent désormais leur temps pour élaborer des scénarios d’ingénierie sociale. Avant d’envoyer un e-mail, de passer un appel téléphonique ou d’approcher physiquement une organisation ou un individu, ils font leurs recherches.
Vecteurs d’attaque courants
Ils utilisent des informations accessibles au public sur Internet pour mieux connaître leur cible. La plupart des gens aiment publier leurs réalisations professionnelles sur LinkedIn. Le plus souvent, cela inclut les technologies mises en œuvre au sein d’une organisation. D’autres partagent des informations sur les réseaux sociaux et ne les protègent pas de manière adéquate, ce qui permet aux attaquants de comprendre les goûts ou les passe-temps de quelqu’un pour établir rapidement des relations et gagner la confiance lors d’une interaction.
L’attaquant a pour objectif d’utiliser l’ingénierie sociale pour instaurer la confiance et tirer parti de cette confiance pour obtenir des informations . Une attaque typique consiste à ce que les utilisateurs ouvrent une pièce jointe à un e-mail ou visitent un site Web. En tirant parti de mshta.exe pour exécuter du code et finalement compromettre le système. Il en va de même pour l’ingénierie sociale par téléphone ; l’attaquant établira la confiance et tirera parti de cette confiance pour que l’utilisateur visite un site Web ou ouvre une pièce jointe.
La prévention
Assurez-vous que les utilisateurs ne fournissent pas d’informations à moins qu’ils ne confirment l’identité de la personne qui les appelle.
En outre, apprenez aux personnes au sein de votre organisation à communiquer . Si quelqu’un de suspect les appelle pour demander des informations sensibles, ou s’il reçoit un e-mail de phishing, informez-le ! Si des personnes communiquent, le service de sécurité informatique de l’organisation peut agir rapidement pour mettre ce domaine/e-mail sur liste noire afin de s’assurer qu’il ne se propage pas.
Envisagez d’implémenter une solution de protection des e-mails dans votre environnement qui vous protégera contre les spams, les logiciels malveillants ou les menaces. Les technologies de protection des e-mails analysent automatiquement les e-mails entrants et les pièces jointes, ce qui donne plus de contrôle aux administrateurs réseau.
Enfin, les organisations devraient continuer à dispenser des formations de sensibilisation à la sécurité. Ensuite, faites appel à une société de sécurité de l’information pour effectuer une ingénierie sociale afin de déterminer le risque réel au sein de son organisation. Les évaluations d’ingénierie sociale permettront aux organisations de tester les connaissances de leurs utilisateurs lors d’une attaque simulée.
Tom De Sot
EVP et CIO de Digital Defense, Inc.
Actuellement, la forme la plus populaire d’ingénierie sociale est la « chasse à la baleine ». Whaling, pour les non-initiés, est une attaque d’ingénierie sociale soit à partir d’un appel téléphonique, soit plus que probablement, un e-mail bien conçu qui cible la C-Suite au sein d’une organisation. Généralement, les attaques demandent à l’utilisateur final d’effectuer un transfert d’argent ou d’approuver le transfert d’argent vers un compte bancaire étranger. Souvent, l’e-mail est urgent et invite le lecteur à prendre des mesures rapides pour résoudre le problème.
Un autre type d’attaque qui reste actif et réussi est la « chute USB ». Dans ce scénario, l’attaquant dépose des clés USB près des entrées des employés ou d’autres points d’entrée. Les clés USB sont souvent étiquetées « Bonus 2022 » ou « CEO Salary Review » pour inciter l’utilisateur à vouloir mettre la clé USB dans un ordinateur pour en regarder le contenu. Lorsque l’utilisateur exécute le fichier (une fausse feuille de calcul ou un document Word), le fichier peut tenter d’infecter le système avec un virus ou d’autres types de logiciels malveillants tels que des rançongiciels ou il peut tenter d’exfiltrer des données qui se trouvent sur l’ordinateur de l’utilisateur et de transférer en dehors de l’organisation.
Formation des utilisateurs = Prévention ! Les utilisateurs sont la première ligne de défense face à tout type d’attaque d’ingénierie sociale. Ils devraient être formés de manière à reconnaître l’ingénierie sociale. S’ils ont été formés de manière appropriée, en repérant les attaques de « chasse à la baleine » et en évitant les chutes USB, l’entreprise a de bien meilleures chances de résister à une attaque. Ce qui est essentiel, c’est que cette formation se déroule du C-Suite jusqu’au personnel de première ligne pour s’assurer que l’ensemble de l’organisation est conscient des dangers de l’ingénierie sociale.
Une autre façon de protéger l’organisation consiste à engager une entreprise pour mener un exercice de « tir réel » contre l’entreprise et envoyer des e-mails frauduleux ou effectuer des largages USB, puis mesurer la façon dont l’organisation réagit à l’exact. Il s’agit d’un moyen idéal pour déterminer si la formation qui est entreprise s’enfonce et est retenue par le personnel à tous les niveaux.
Jeff Wilbour
Directeur technique de l’Online Trust Alliance
Jeff est directeur technique de l’OnlineTrust Alliance (OTA) de l’Internet Society. L’Online Trust Alliance est une initiative de l’Internet Society, l’organisation mondiale à but non lucratif dédiée à assurer le développement ouvert, l’évolution et l’utilisation d’Internet fondée par les « pères d’Internet », Vint Cerf et Bob Kahn.
Faux e-mail prétendant provenir d’un dirigeant de l’entreprise, d’un employé ou d’un fournisseur tiers qui demande au destinataire d’ouvrir une pièce jointe ou d’effectuer une action. Le message peut sembler aussi innocent qu’un rapport mensuel joint (qui contient en fait un logiciel malveillant), ou aussi grave qu’une demande de transfert de millions de dollars vers un « nouveau » compte ou d’envoi d’informations sensibles sur un employé à une adresse e-mail personnelle.
Étant donné que la plupart de ces attaques se produisent par e-mail (bien que d’autres se produisent également par téléphone), il est important de mettre en place des couches de défense appropriées.
Pour la protection des e-mails, la première étape consiste à mettre en œuvre des technologies d’authentification des e-mails capables de vérifier si un message provient de l’expéditeur présumé. Cela permet de rejeter immédiatement les messages malveillants.
Des étapes supplémentaires sont des services de sécurité de messagerie qui évaluent la légitimité des messages provenant d’expéditeurs inconnus et analysent les pièces jointes pour installer des logiciels malveillants. Les messages jugés à risque peuvent être examinés de plus près ou rejetés. Enfin, pour les e-mails qui parviennent à la boîte de réception (et cela couvrirait également les appels téléphoniques), il est crucial que les employés soient attentifs à de telles escroqueries. Des processus établis doivent être en place pour vérifier la demande ou exiger l’approbation de plusieurs dirigeants sur les transferts financiers importants ou l’accès à des données sensibles.
Influenceur et leader de l’industrie, Amar est un praticien expérimenté de la cybersécurité et de la confidentialité, conférencier invité dans les universités, RSSI et mentor. Un expert reconnu de l’industrie et conférencier public, Amar est régulièrement invité à prendre la parole et à partager ses idées par des organisations telles que la BBC, The Economist’s Intelligence Unit, FT, SC-Magazine, Computer Weekly et The Register.
La bonne nouvelle est que la complexité des attaques d’ingénierie sociale n’est PAS encore alimentée par l’IA ou l’apprentissage automatique , mais nous ne sommes probablement pas loin de ce jour. C’est une triste nouvelle parce que nous, humains et organisations, ne semblons pas pouvoir nous protéger contre ce qui sont des tentatives de phishing de qualité ridiculement moche, quelle chance avons-nous lorsque les cybercriminels utilisent l’apprentissage automatique et/ou l’IA.
Les e-mails d’hameçonnage (et non l’hameçonnage ciblé) restent l’ arme de choix de la plupart des cybercriminels en herbe et établis . Le phishing par SMS continue comme un autre qui semble toujours fonctionner pour les criminels. Je dirais que l’industrie crée une confusion inutile en dérivant des surnoms complexes pour ce qui est essentiellement le même problème.
Fait intéressant, comme LinkedIn devient de plus en plus le moyen de communication externe B2B de choix , les criminels se tournent vers lui pour lancer des attaques d’ingénierie sociale. Il semble y avoir un certain niveau de confiance inhérente lorsqu’un étranger, avec un titre et un employeur à consonance raisonnable, tend la main pour se connecter et partager des fichiers et échanger des informations.
Le simple fait d’éduquer et de sensibiliser l’utilisateur final à cette menace n’est PAS suffisant .
La technologie doit sous-tendre et fournir une sécurité des données transparente là où les dommages globaux pour l’entreprise et l’utilisateur sont faibles, même si l’utilisateur ouvre un fichier malveillant ou saisit son mot de passe.
Voyage Harmon
Président-directeur général chez Triton Technologies
La première règle : ne mettez aucune information de contact sous quelque forme que ce soit sur votre site Web en ce qui concerne le fonctionnement de votre entreprise. Pas de directeur financier, pas de gestionnaire de compte, juste un e-mail générique et/ou un lien vers un e-mail générique au sein de l’entreprise. Des e-mails tels que , nos meilleures pratiques qui pour nos clients ont été une aubaine.
Je recommande également d’utiliser le cloud flare pour arrêter tout grattage du site Web contenant des informations personnelles ou d’entreprise.
Les escroqueries les plus courantes que je vois dans l’ordre sont :
- Votre compte est suspendu/l’e-mail ne peut pas être livré/hors quota. Généralement associé aux comptes Office 365.
- Une somme d’argent doit être transférée à un organisme de bienfaisance, une facture impayée ou une société de mise en pension, représentant généralement le PDG auprès du directeur financier ou du directeur de bureau.
- Vous trouverez en pièce jointe le document que vous recherchez, l’envoi FedEx, l’envoi UPS, les détails de la numérisation, ou plus encore. Ceci est généralement associé à des logiciels malveillants ciblés si vous êtes une société cotée en bourse ou si vous figurez sur une liste publique d’un certain type.
De loin, les attaques d’ingénierie sociale les plus courantes se font par e-mail. La sécurité des e-mails présente une faiblesse architecturale qui permet à quiconque de se faire passer pour quelqu’un d’autre. Les attaquants exploitent cette faiblesse dans toutes sortes de schémas créatifs. Si Alice fait confiance à Bob, la criminelle Carol pourrait se faire passer pour Bob et essayer de persuader Alice de faire quelque chose de stupide. Nous les voyons tous tous les jours avec des e-mails prétendant provenir de nos banques ou de nos sociétés de cartes de crédit. Ou de fausses factures. Ou des variations sur le prince nigérian. Ou de faux programmes de support technique. La seule limite est la créativité de l’attaquant.
S’amuser avec les noms est aussi un gros problème. C’est vraiment un sous-ensemble de phishing, mais suffisamment répandu pour être mentionné à lui seul. Disons que Clarence, se faisant passer pour Bob, envoie à Alice un e-mail avec un lien vers, disons, une recette de gâteau préférée. Le lien pointe vers recettes.bob.com.abazillionweirdcharacters.evilclarence.com.
Alice voit la première partie de ce nom et suppose qu’il s’agit d’un lien sûr. Alors elle clique ou tape dessus. Mais elle ne sait pas comment fonctionnent les noms Internet, et elle se retrouve donc sur le site Web diabolique de Clarence, où Clarence vole chaque élément d’information à l’intérieur de son ordinateur. Elle se défend en investissant 10 minutes dans l’éducation sur le fonctionnement des noms et en restant vigilante.
Les e-mails malveillants ne sont pas le seul vecteur d’attaque. Les gens sont constamment victimes de faux appels au support technique. Si quelqu’un appelle de manière non sollicitée et prétend qu’il est de Microsoft, ou peut-être du service informatique de l’entreprise, et qu’il veut réparer votre ordinateur, dites simplement non. Je me suis amusé avec un tel appel quand j’ai demandé d’où venait l’appelant et il a dit, centre-ville de l’Ohio. Je lui ai demandé si sa mère savait qu’il volait des gens.
En général, les attaquants sont intelligents, ils collaborent et ils veulent vous manipuler pour faire quelque chose contre votre propre intérêt. Contre-attaquez en restant vigilant et en faisant preuve de scepticisme.
Malheureusement, aucune technologie n’existe pour empêcher les attaques par e-mail d’ingénierie sociale. La clé de la prévention est l’éducation et la vigilance.
Ron Schlecht
Associé gérant BTB Sécurité
Ron a près de deux décennies d’expérience dans le domaine de la cybersécurité et effectue régulièrement des tests d’intrusion sur les entreprises, ce qui inclut l’ingénierie sociale, pour trouver puis sécuriser les points faibles des entreprises.
Croyez-le ou non, le faux e-mail demandant aux employés de se connecter à un site Web ressemblant à une entreprise ou de télécharger des mises à jour logicielles semble toujours toucher la plupart des organisations. Chaque fois qu’un employé lit un e-mail et pense qu’il devrait aider un collègue en téléchargeant quelque chose ou en cliquant sur un document, cela devrait être suspect.
Toutes les entreprises devraient prendre le temps d’éduquer leurs employés sur les types de communications qu’ils reçoivent de l’intérieur de l’organisation. Informez également avec des exemples de spam et d’ingénierie sociale, et sur l’impact que les e-mails frauduleux peuvent avoir sur l’organisation.
Pour aider à prévenir les attaques d’ingénierie sociale, les entreprises doivent également permettre aux employés d’identifier facilement si un message est une tentative d’ingénierie sociale et de le signaler rapidement. De plus, tout comme les autres évaluations de sécurité, les organisations doivent effectuer régulièrement des exercices de sécurité informatique pour tester les employés, les contrôles techniques, la détection et la réponse aux incidents.
Gregory est un spécialiste de la sécurité informatique avec plus de vingt ans d’expérience dans le domaine des réseaux et de la sécurité. Il a travaillé avec des centaines d’entreprises sur l’amélioration des environnements informatiques, le conseil et l’intégration de la technologie pour le réseau d’entreprise.
Employez la gestion des accès. Limitez l’accès à distance aux fichiers clés uniquement aux personnes qui en ont besoin. Essayez d’utiliser toutes les fonctionnalités logicielles MDM (Mobile Device Management) disponibles ou achetez même un produit MDM. De cette façon, vous pouvez utiliser un appareil d’effacement mobile et contrôler les données qui se trouvent sur les appareils de vos employés. Méfiez-vous des attaques de phishing et assurez vos procédures de rémunération et de commission aux employés.
J’ai vu des pirates s’infiltrer dans les procédures financières d’une entreprise et utiliser de faux domaines pour obtenir des transferts d’argent sur des comptes.
Méfiez-vous des e-mails. Former les employés à vérifier et revérifier les domaines de messagerie.
Essayez également de faire savoir aux employés que tout ce qu’ils publient sur les réseaux sociaux pourrait être utilisé pour lancer une attaque de phishing contre eux.
Au-delà de la formation et de l’éducation. Certaines entreprises lancent désormais régulièrement des attaques de phishing contre leurs employés afin qu’ils puissent voir qui pourrait encore être vulnérable aux attaques ou qui pourrait avoir besoin d’une formation ou d’une aide supplémentaire.
Robert Siciliano
Expert en sensibilisation à la sécurité et auteur à succès chez Safr.Me
Robert est un officier d’état-major de la flottille auxiliaire de la garde côtière des États-Unis du département de la sécurité intérieure des États-Unis. Il est farouchement engagé à informer, éduquer et autonomiser les gens afin qu’ils puissent être protégés de la violence et du crime dans les mondes physiques et virtuels.
Les communications par téléphone et par e-mail entrant sont propices à la fraude.
Les employés doivent être testés encore et encore. Lorsqu’ils échouent, il faut leur rappeler et leur dire quoi faire lorsqu’ils reçoivent de telles communications.
La cohérence est essentielle tout en la rendant amusante et intéressante. La formation répétitive utilisant des simulations d’hameçonnage est le meilleur moyen de garder les employés sur leurs gardes.
Steven JJ Weisman
Avocat et professeur d’université chez Scamicide
Steve Weisman est avocat, professeur à l’université de Bentley où il enseigne la criminalité en col blanc et l’un des principaux experts du pays en matière de cybersécurité, d’escroqueries et d’usurpation d’identité. Parmi ses dix livres figurent « La vérité sur les escroqueries » et « Identity Theft Alert ». vol d’identité.
Les entreprises doivent tenir compte de la quantité d’informations qu’elles rendent publiques sur leurs employés.
La politique de l’entreprise devrait comporter des règles concernant l’utilisation des médias sociaux par les employés, de sorte qu’ils ne fournissent pas d’informations pouvant être utilisées pour faire d’eux des victimes de telles attaques d’ingénierie sociale.
Former les employés à ne jamais cliquer sur des liens à moins qu’ils n’aient été vérifiés est essentiel. L’ingénierie sociale par laquelle les employés sont attirés vers de faux sites Web ou cliquent sur des liens contaminés dans des e-mails ou des messages texte spécialement conçus pour paraître dignes de confiance est le principal moyen de diffusion d’une variété de logiciels malveillants, y compris les logiciels malveillants de journalisation des frappes et les ransomwares. De plus, les entreprises devraient envisager l’utilisation de listes blanches ou de logiciels antivirus qui empêcheront le téléchargement de tout logiciel qui n’a pas été préalablement approuvé. Cela offre une formidable protection même si un employé clique sur un lien infecté.
Les logiciels malveillants capables de voler des données peuvent être utilisés à des fins d’usurpation d’identité des employés et des clients. Les logiciels malveillants peuvent voler des données financières utilisées pour accéder aux comptes bancaires de l’entreprise ou à l’ingénierie sociale, comme dans le cas du Business Email Compromise, qui peut convaincre un employé d’envoyer des paiements au voleur en pensant qu’il s’agit d’une transaction légitime.
Les employés sont également ciblés par des e-mails de harponnage pour les inciter à cliquer sur des liens dans les e-mails et à télécharger un large éventail de logiciels malveillants.
Les rançongiciels ou les logiciels malveillants peuvent récolter des informations financières de l’entreprise qui peuvent être exploitées pour le vol d’identité ou le vol direct des comptes financiers de l’entreprise. Les entreprises doivent s’assurer qu’elles utilisent le logiciel de sécurité le plus récent capable de reconnaître les e-mails de spear phishing .
Il est également essentiel de mettre à jour les logiciels de sécurité dès que les derniers correctifs sont publiés . Equifax a subi sa violation massive de données lorsqu’une vulnérabilité de son logiciel Apache a été exploitée, bien qu’Apache disposait d’un correctif pour la vulnérabilité particulière des mois à l’avance. Cependant, Equifax n’a pas mis à jour son logiciel en temps opportun.
L’ingénierie sociale englobe également les faux sites Web infectés susceptibles d’attirer les employés . Certains types de sites Web doivent être bloqués par des ordinateurs ou des appareils de travail. En outre, certains types avancés de logiciels malveillants malveillants peuvent être téléchargés simplement en accédant au site infecté sans même cliquer sur quoi que ce soit. Ce type de malvertising peut souvent apparaître sur des sites Web légitimes, c’est pourquoi il est logique d’ utiliser un logiciel publicitaire pour empêcher son téléchargement .
L’éducation est la partie la plus essentielle de la protection des entreprises contre les attaques d’ingénierie sociale. L’éducation doit être un processus continu avec des tests fréquents des employés quant à la gestion de la vulnérabilité.
Bien sûr, un logiciel de sécurité capable de reconnaître les e-mails de phishing doit être utilisé, mais les entreprises doivent se rendre compte que ce type de logiciel est loin d’être totalement efficace. Pour cette raison, les entreprises devraient également envisager d’utiliser un logiciel de liste blanche qui ne permettra pas le téléchargement d’un programme qui n’a pas été préalablement approuvé. C’est une bonne protection lorsque l’ingénierie sociale parvient à convaincre l’employé de cliquer sur un lien infecté, car cela empêchera le téléchargement du logiciel malveillant.
Denis Chow
RSSI chez SCIS Security
Dennis dirige la subvention de planification Cyber Threat Intelligence pour l’ensemble du secteur vertical américain des soins de santé en collaboration avec le DHS et les services de santé et sociaux.
Les attaques les plus courantes se font par le biais des e-mails, des SMS et des réseaux sociaux. En fin de compte, les attaquants sont intéressés par les mots de passe directs, les numéros de carte de crédit ou les réponses aux questions de récupération de mot de passe pour les réinitialisations de mot de passe. Les victimes ont tendance à varier, mais c’est presque toujours tout le monde dans l’organisation car il existe une forme d’accès au réseau.
Il n’est pas possible de les « prévenir » en soi, mais vous pouvez réduire votre risque et votre surface de menace dans leur ensemble, notamment :
- Désabonnement et réduction de vos inscriptions avec des tiers et des publicités. Plus votre email ou vos noms sont associés à une liste de diffusion, plus les yeux ont accès aux campagnes ciblées sur leurs victimes.
- Prenez au sérieux la formation de sensibilisation à la sécurité et recherchez les signes indiquant qu’un e-mail ou une autre communication « n’est pas tout à fait correct ».
- Encouragez votre fournisseur de cybersécurité ou informatique à améliorer ses filtres anti-spam et ses systèmes de filtrage des appels PBX.
