Qu`est-ce que l`ingénierie sociale? [Makeuseof explique]

Video: Méridien Zéro - L'institut Tavistock, un laboratoire d'ingénierie sociale

Vous pouvez installer de l`industrie fort et pare-feu le plus cher. Vous pouvez renseigner les employés sur les procédures de sécurité de base et la importance de choisir des mots de passe. Vous pouvez même verrouiller vers le bas la salle des serveurs - mais comment voulez-vous protéger une entreprise contre la menace des attaques d`ingénierie sociale?Comment fonctionne un pare-feu? [MakeUseOf Explique]Comment fonctionne un pare-feu? [MakeUseOf Explique]Il y a trois logiciels qui, à mon avis, font l`épine dorsale d`une configuration de sécurité décente sur votre PC à domicile. Ce sont les anti-virus, le pare-feu, et le gestionnaire de mot de passe. Parmi ceux-ci, le ...Lire la suite

Du point de vue de l`ingénierie sociale, les employés sont le maillon faible de la chaîne de mesures de sécurité en place. Les humains ne sont pas seulement sensibles aux erreurs humaines, mais aussi des attaques ciblées par des personnes dans l`espoir de les convaincre de renoncer à des informations sensibles. Aujourd`hui, nous allons explorer quelques-unes des techniques sociales utilisées pour tromper et frauder.

Les bases de l`ingénierie sociale

L`ingénierie sociale est l`acte de manipuler une personne en l`accès ou des données sensibles en se nourrissant sur la psychologie humaine de base. La différence entre les attaques d`ingénierie sociale et, par exemple, un pirate informatique tente d`accéder à un site Web est le choix des outils utilisés. Un pirate pourrait chercher une faiblesse dans le logiciel de sécurité ou une vulnérabilité sur le serveur alors qu`un ingénieur social utilisera des techniques sociales, contraindre la victime à donner librement loin d`information ou l`accès.

Ces tactiques ne sont pas nouveaux et ont existé aussi longtemps que les gens ont décidé que tromper l`autre était un moyen acceptable de gagner leur vie. Maintenant que la société a évolué à compter de la nature immédiate de l`Internet et à la demande d`information, plus de personnes que jamais sont exposés à des attaques d`ingénierie sociale à grande échelle.

Video: Armes Silencieuses pour Guerres Tranquilles - Document sur l'ingénierie sociale

La plupart du temps l`attaquant ne sera pas se retrouver face à face avec sa victime, comptant plutôt sur le courrier électronique, la messagerie instantanée et les appels téléphoniques pour mener à bien l`attaque. Il existe des techniques de variétés qui sont largement considérés comme des attaques d`ingénierie sociale, donc nous allons jeter un oeil à eux plus en détail.

Techniques d`ingénierie sociale Explained

phishing

De loin l`une des techniques les plus connues grâce à la sensibilisation soulevée par les fournisseurs de messagerie comme Google et Yahoo, le phishing est un exemple assez basique et très largement utilisé de l`ingénierie sociale.

Le plus souvent réalisée par courrier électronique, cette technique est un type de fraude qui consiste à convaincre la victime que vous demandez légitimement des informations sensibles. L`un des types d`attaques de phishing les plus courantes consiste à demander aux victimes « vérifier » leur compte bancaire ou informations PayPal pour éviter d`avoir leurs comptes suspendus. L`attaquant, ou hameçonneur, souvent l`achat d`un domaine qui est conçu pour imiter une ressource officielle et des anomalies dans l`URL donnent souvent le match hors de portée.Comment garder votre compte Paypal des pirates informatiquesComment garder votre compte Paypal des pirates informatiquesLire la suite

phishing en ligne est de plus en plus facile à repérer et signaler grâce à des techniques de filtration utilisées par les fournisseurs de messagerie. Il est aussi une bonne pratique de ne jamais divulguer des informations sensibles ou financiers par courriel - aucune organisation légitime ne pourra jamais demander vous le faites - et à revérifier les URL de légitimité avant d`entrer des informations d`identification importantes.

Techniques téléphoniques ou « hameçonnage vocal »

réponse vocale interactive (IVR) ou hameçonnage vocal (hameçonnage vocal) consiste à utiliser des techniques similaires à celles décrites ci-dessus par l`intermédiaire d`un téléphone ou d`un VoIP interface. Il y a un certain nombre de différentes techniques de vishing, et ils sont les suivants:

• Directement appeler la victime en utilisant un système automatisé « votre carte de crédit a été volé » ou arnaque « action urgente est nécessaire », puis demander la « vérification de sécurité » afin de rétablir un accès normal au compte.
• Emailing la victime, leur demandant de puis appeler un numéro de téléphone et vérifier les informations de compte avant d`accorder l`accès.
• En utilisant des techniques de faux téléphoniques interactifs ou l`interaction humaine directe pour extraire des informations, par exemple « Appuyez sur 1 pour ... » ou « entrer votre numéro de carte de crédit après le bip ».
• L`appel de la victime, les convaincre d`une menace pour la sécurité sur leur ordinateur et leur demandant d`acheter ou d`installer des logiciels (souvent de logiciel de bureau ou des logiciels malveillants à distance) pour résoudre le problème.

J`ai personnellement été à la fin de réception de l`escroquerie téléphone logiciel et, bien que je ne suis pas tombé pour rien, je ne serais pas surpris si quelqu`un l`a fait grâce à la peur-tactiques employées. Ma rencontre impliquait un « employé Microsoft » et certains virus qui n`existaient pas. Vous pouvez Lisez tout a propos de ça ici.Les techniciens froids informatiques Vocation: Ne tombez pas une arnaque comme ça [Scam Alert!]Les techniciens froids informatiques Vocation: Ne tombez pas une arnaque comme ça [Scam Alert!]Vous avez probablement entendu le terme "ne pas arnaque un escroc" mais je l`ai toujours aimé "ne pas escroquerie écrivain tech" moi même. Je ne dis pas que nous sommes infaillibles, mais si votre escroquerie implique l`Internet, Windows ...Lire la suite

appâtage

Cette technique particulière sur l`une des proies plus grandes faiblesses de l`humanité - la curiosité. En délibérément laissant des supports physiques - que ce soit une disquette (peu probable que ces jours), supports optiques ou (le plus souvent) une clé USB quelque part, il est susceptible d`être découvert, l`escroc se trouve tout simplement et d`attendre jusqu`à ce que quelqu`un utilise l`appareil.

De nombreux PC périphériques USB « autorun », donc quand les logiciels malveillants tels que les chevaux de Troie ou keyloggers sont fournis sur le CD USB alors il est possible pour une machine d`être infecté sans que la victime même se rendre compte. Scammers habillent souvent de tels dispositifs avec des logos officiels ou des étiquettes qui pourraient susciter l`intérêt pour les victimes potentielles.

pretexting

Cette technique consiste à convaincre la victime à donner des informations à l`aide d`un scénario inventé. Le scénario est généralement dérivé d`informations recueillies au sujet de la victime afin de les convaincre que le fraudeur est en fait une figure d`autorité ou un fonctionnaire.

Selon les informations que le fraudeur est après, le prétexte peut impliquer des renseignements personnels de base comme une adresse ou date de naissance, d`informations plus spécifiques comme la transaction sur les montants d`un compte bancaire ou des frais sur un projet de loi.

talonnage

L`un des rares techniques énumérées ici impliquant l`arnaqueur être impliqué physiquement dans l`attaque, talonnage décrit la pratique d`avoir accès à une zone réglementée sans autorisation en suivant un autre employé (légitime) dans la région. Pour beaucoup d`arnaqueurs cela supprime la nécessité d`acquérir des cartes d`accès ou des clés et présente un potentiel violation grave de la sécurité pour l`entreprise concernée.

Cette tactique particulière se nourrit de courtoisie, comme le fait de tenir une porte pour quelqu`un et est devenu un tel problème que de nombreux lieux de travail ont prises pour lutter contre la tête sur problème avec des avis sur les entrées, comme l`avis utilisé par Apple dans l`image ci-dessus .

autres techniques

Il y a quelques autres techniques liées à l`ingénierie sociale, comme quelque chose-pour-quelque chose technique « quid pro quo » souvent utilisée contre les employés de bureau. Quiproquo implique un attaquant se faisant passer, par exemple, un employé de support technique rappel d`un appel. L`attaquant garde « rappeler » jusqu`à ce qu`il trouve quelqu`un vraiment besoin de soutien, offre mais en même temps extrait d`autres informations ou des points de la victime aux téléchargements de logiciels nuisibles.

Une autre technique d`ingénierie sociale est connu comme le « vol de détournement » et n`est pas vraiment associé à des ordinateurs, le phishing Internet ou par téléphone. Au contraire, il est une technique couramment utilisée aux courriers légitimes convaincu en lui faisant croire une livraison doit être reçue ailleurs.

Conclusion

Si vous pensez qu`une personne essaie de vous duper avec une escroquerie d`ingénierie sociale, alors vous devez en informer les autorités et (le cas échéant) de votre employeur. Les techniques ne sont pas limitées à ce qui a été mentionné dans cet article - nouvelles escroqueries et astuces sont mis au point tout le temps - alors restez sur vos gardes, tout remettre en question et ne tombent pas victime d`un fraudeur.

La meilleure défense contre ces attaques est la connaissance - afin d`informer vos amis et votre famille que les gens peuvent et utiliser ces tactiques contre vous.

Avez-vous eu des accrochages avec les ingénieurs sociaux? Votre entreprise éduquée la main-d`œuvre sur les dangers de l`ingénierie sociale? Ajouter vos pensées et vos questions dans les commentaires ci-dessous.