Ce blog vous dira comment les pirates piratent les comptes bancaires,les comptes de médias sociaux et les systèmes. Ce tutoriel est uniquement à des fins éducatives.
Les pirates utilisent une technique qui est appelée ingénierie sociale, donc tout d’abord, nous devrions savoir ce qu’est l’ingénierie sociale ?
L’ingénierie sociale est la manipulation psychologique des personnes pour qu’elles effectuent des actions ou divulguent des informations confidentielles.En termes simples, cela signifie tromper les gens afin que l’attaquant puisse obtenir des informations confidentielles de la personne. Cette manipulation sociale n’est pas seulement destinée à obtenir des avantages financiers. L’ingénierie sociale peut également être utilisée à d’autres fins, par exemple pour récolter des informations sur les gens. Il s’agit de jouer avec leur esprit pour faire avancer les choses.L’attaque par ingénierie sociale ne se produit pas seulement sur une seule personne, elle peut aussi être faite sur une organisation.Il n’y a pas de certification pour cette chose.Vous pouvez trouver des ingénieurs sociaux partout. Même vos amis assis à côté de vous se concentrant sur votre clavier pendant que vous tapez vos mots de passe est un ingénieur social.
Types d’attaques d’ingénieurs sociaux :
Il existe de nombreuses tactiques d’ingénierie sociale en fonction du support utilisé pour la mettre en œuvre. Le support peut être l’email, le web, le téléphone, les clés USB, ou autre chose. Ainsi, nous allons vous parler des différents types d’attaques d’ingénierie sociale :
Le phishing est le type d’attaque d’ingénierie sociale le plus courant. L’attaquant recrée le site web ou le portail d’assistance d’une entreprise renommée et envoie le lien aux cibles via des emails ou des plateformes de médias sociaux. L’autre personne, totalement inconnue du véritable attaquant, finit par compromettre des informations personnelles et même des détails de carte de crédit.
Vous pouvez empêcher les e-mails de phishing en utilisant des filtres anti-spam dans vos comptes de messagerie. La plupart des fournisseurs de messagerie le font par défaut de nos jours. En outre, n’ouvrez pas les courriels provenant d’une source non fiable ou que vous trouvez suspecte.
Spear Phishing
Une technique d’ingénierie sociale connue sous le nom de Spear Phishing peut être supposée comme un sous-ensemble du Phishing. Bien qu’il s’agisse d’une attaque similaire, elle exige un effort supplémentaire de la part des attaquants. Ils doivent faire attention au degré d’unicité pour le nombre limité d’utilisateurs qu’ils ciblent. Et ce travail acharné est payant, les chances que les utilisateurs tombent dans le panneau des faux e-mails sont considérablement plus élevées dans le cas du spear phishing.
Vishing
Les imposteurs ou les ingénieurs sociaux peuvent se trouver n’importe où sur Internet. Mais beaucoup préfèrent la vieille méthode ; ils utilisent le téléphone. Ce type d’attaque d’ingénierie sociale est connu sous le nom de Vishing. Ils recréent le système IVR (Interactive Voice Response) d’une entreprise. Ils le relient à un numéro gratuit et incitent les gens à appeler le numéro de téléphone et à saisir leurs coordonnées. Êtes-vous d’accord avec cette idée ? La plupart des gens n’y réfléchissent pas à deux fois avant de saisir des informations confidentielles sur un système IVR censé être fiable, n’est-ce pas ?
Pretexting
Le prexting est un autre exemple d’ingénierie sociale que vous avez peut-être rencontré. Il est basé sur un scénario scénarisé présenté devant les cibles, utilisé pour extraire des DPI ou d’autres informations. Un attaquant peut se faire passer pour une autre personne ou un personnage connu.
Vous avez peut-être vu des émissions de télévision et des films dans lesquels des détectives utilisent cette technique pour entrer dans des endroits où ils ne sont personnellement pas autorisés, ou pour extraire des informations en trompant les gens. Un autre exemple de prétextage peut être de faux courriels que vous recevez de vos amis éloignés qui ont besoin d’argent. Probablement, quelqu’un a piraté leur compte ou en a créé un faux.
Appâtage
Si vous avez vu le film Troie, vous vous souvenez peut-être de la scène du cheval de Troie. Une variante numérique de cette technique est connue sous le nom de Baiting et c’est l’une des techniques d’ingénierie sociale utilisées par les gens. Les attaquants infectaient des lecteurs USB ou des disques optiques dans des lieux publics dans l’espoir que quelqu’un les prenne par curiosité et les utilise sur ses appareils. Un exemple plus moderne d’appât se trouve sur le web. Divers liens de téléchargement, contenant la plupart du temps des logiciels malveillants, sont jetés devant des personnes aléatoires en espérant que quelqu’un clique dessus.
Tailgating
Notre dernier type d’attaque d’ingénierie sociale du jour est connu sous le nom de tailgating ou « piggybacking ». Dans ce type d’attaque, une personne sans l’authentification appropriée suit un employé authentifié dans une zone restreinte. L’attaquant peut se faire passer pour un livreur et attendre à l’extérieur d’un bâtiment pour que les choses commencent. Lorsqu’un employé obtient l’approbation de la sécurité et ouvre la porte, l’attaquant demande à l’employé de tenir la porte, obtenant ainsi l’accès au bâtiment.
Le tailgating ne fonctionne pas dans tous les environnements d’entreprise, comme les grandes entreprises dont les entrées nécessitent l’utilisation d’une carte à clé. Cependant, dans les entreprises de taille moyenne, les attaquants peuvent engager la conversation avec les employés et utiliser cette démonstration de familiarité pour passer la réception.
En fait, Colin Greenless, consultant en sécurité chez Siemens Enterprise Communications, a utilisé ces tactiques pour accéder à plusieurs étages et à la salle de données d’une société financière cotée au FTSE. Il a même pu s’installer dans une salle de réunion du troisième étage et y travailler pendant plusieurs jours.
Comment se défendre des ingénieurs sociaux ?
Voici quelques conseils que les organisations peuvent intégrer dans leurs programmes de formation à la sensibilisation à la sécurité et qui aideront les utilisateurs à éviter les stratagèmes d’ingénierie sociale :
- N’ouvrez aucun courriel provenant de sources non fiables. Contactez un ami ou un membre de votre famille en personne ou par téléphone si vous recevez un message électronique suspect de leur part.
- Ne donnez pas aux offres d’inconnus le bénéfice du doute. Si elles semblent trop belles pour être vraies, elles le sont probablement.
- Verrouillez votre ordinateur portable chaque fois que vous vous éloignez de votre poste de travail.
- Achetez un logiciel antivirus. Aucune solution AV ne peut se défendre contre toutes les menaces qui cherchent à mettre en péril les informations des utilisateurs, mais elles peuvent aider à se protéger contre certaines.
- Lisez la politique de confidentialité de votre entreprise pour comprendre dans quelles circonstances vous pouvez ou devez laisser un étranger entrer dans le bâtiment.
Réfléchissez avant d’agir
La plupart du temps, ces questions portent sur des choses moins importantes comme les noms d’animaux de compagnie, les noms d’école, le lieu de naissance, etc. Faites également attention aux pages web que vous visitez ou aux fichiers que vous téléchargez. Ils peuvent contenir des outils malveillants pour récolter vos informations.
Améliorer votre intelligence émotionnelle
Les ingénieurs sociaux peuvent également essayer de toucher la partie émotionnelle du cerveau des gens. Ils peuvent essayer de vous faire culpabiliser, de vous rendre nostalgique, ou même d’avoir un impact négatif. La situation devient alarmante, les gens ont tendance à s’ouvrir devant ceux qui essaient de leur apporter un réconfort émotionnel.
L’authentification à 2 facteurs
Les gens devraient utiliser le 2FA pour se protéger de ces types d’attaques car c’est un type de dispositif de sécurité fourni par les entreprises.Les gens ont le mythe que 2FA ne peut pas être contourné mais il peut être contourné je vais vous dire comment faire dans mon prochain tutoriel.
Exemples d’attaques d’ingénierie sociale
Imaginez si vous pouviez simplement transférer 10 $ à un investisseur et voir cela se transformer en 10 000 $ sans aucun effort de votre part ? Les cybercriminels utilisent les émotions humaines fondamentales que sont la confiance et la cupidité pour convaincre les victimes qu’elles peuvent vraiment obtenir quelque chose pour rien. Un e-mail d’appât soigneusement formulé dit aux victimes de fournir leurs informations de compte bancaire et les fonds seront transférés le jour même.
Exemple 2 -URGENCE
Vous recevez un e-mail du support client d’un site d’achat en ligne sur lequel vous achetez fréquemment vous disant qu’ils doivent confirmer les informations de votre carte de crédit pour protéger votre compte. Le langage du courriel vous incite à répondre rapidement pour éviter que les informations de votre carte de crédit ne soient volées par des criminels. Sans réfléchir et parce que vous faites confiance à la boutique en ligne, vous envoyez non seulement les informations de votre carte de crédit, mais aussi votre adresse postale et votre numéro de téléphone. Quelques jours plus tard, vous recevez un appel de votre société de carte de crédit vous disant que votre carte de crédit a été volée et utilisée pour des milliers de dollars d’achats frauduleux.
Exemple 3- FAKE NOTIFICATION
Beaucoup de gens utilisent des Sim d’opérateurs comme Airtel,Jio,Vodafone,AT&T,Industry body etc.Un message arrive sur notre téléphone lorsque nous utilisons 50%ou 100% d’Internet de l’opérateur et en dessous il y a le lien de l’application de l’opérateur et un message et nous pouvons suivre l’utilisation des données et l’offre d’addons pour faire la recharge.Alors vous penserez à quoi servira ce pirate ?
Un pirate utilisera ce message pour pirater votre téléphone portable.Le pirate usurpera le message et injectera la charge utile avec l’application et quand vous téléchargerez l’application Boom votre système sera piraté.
Ce sont les quelques exemples d’attaques d’ingénierie sociale.
J’espère que vous aimerez ce tutoriel.Restez à l’abri de ces types d’attaques.