5 Types d’attaques D’ingénierie sociale
les escroqueries D’ingénierie sociale se poursuivent depuis des années et pourtant, nous continuons à tomber amoureux d’elles tous les jours. Cela est dû au manque criant de formation en cybersécurité disponible pour les employés des organisations grandes et petites. Dans un effort pour faire connaître cette tactique et riposter, voici un aperçu rapide des escroqueries d’ingénierie sociale courantes., Les fournisseurs de services gérés (MSP) ont la possibilité d’éduquer leurs petites et moyennes entreprises à apprendre à identifier ces attaques, ce qui facilite grandement la prévention des menaces telles que les ransomwares.
Phishing
le Phishing est une forme d’attaque d’ingénierie sociale qui se présente généralement sous la forme d’un e-mail, d’un chat, d’une publicité web ou d’un site Web conçu pour usurper l’identité d’un système, d’une personne ou d’une organisation réels. Les messages de Phishing sont conçus pour fournir un sentiment d’urgence ou de peur dans le but final de capturer les données sensibles d’un utilisateur final., Un message d’hameçonnage peut provenir d’une banque, le gouvernement ou une société importante. L’appel à des actions varient. Certains demandent à l’utilisateur final de « vérifier” ses informations de connexion d’un compte et d’inclure une page de connexion moquée avec des logos et une image de marque pour paraître légitime. Certains prétendent que l’utilisateur final est le « gagnant” d’un grand prix ou d’une loterie et demandent l’accès à un compte bancaire pour livrer les gains. Certains demandent des dons de bienfaisance (et fournissent des instructions de câblage) après une catastrophe naturelle ou une tragédie. Une attaque réussie aboutit souvent à l’accès aux systèmes et à la perte de données., Les entreprises de toutes tailles devraient envisager de sauvegarder des données critiques avec une solution de continuité des activités et de reprise après sinistre pour se remettre de telles situations.
l’Appâtage
l’Appâtage, semblable à du phishing, consiste à offrir quelque chose de séduisant à un utilisateur final, en échange d’informations de connexion ou de données privées., L ‘ ” appât « se présente sous de nombreuses formes, à la fois numérique, comme un téléchargement de musique ou de film sur un site peer-to-peer, et physique, comme un lecteur flash de marque d’entreprise étiqueté” Résumé du salaire des dirigeants Q3 » qui est laissé sur un bureau pour un utilisateur final à trouver. Une fois que l’appât est téléchargé ou utilisé, un logiciel malveillant est livré directement dans le système des utilisateurs finaux et le pirate est en mesure de se mettre au travail.
Quid Pro Quo
semblable à l’appâtage, quid pro quo implique un pirate demandant l’échange de données critiques ou d’informations de connexion en échange d’un service., Par exemple, un utilisateur final peut recevoir un appel téléphonique du pirate informatique qui, présenté comme un expert en technologie, offre une assistance informatique gratuite ou des améliorations technologiques en échange d’informations de connexion. Un autre exemple commun est un pirate informatique, se faisant passer pour un chercheur, demande l’accès au réseau de l’entreprise dans le cadre d’une expérience en échange de 100$. Si une offre semble trop belle pour être vraie, c’est probablement une contrepartie.
Piggybacking
Piggybacking, également appelé tailgating, est lorsqu’une personne non autorisée suit physiquement une personne autorisée dans une zone ou un système d’entreprise restreint., Une méthode éprouvée de piggybacking est quand un pirate appelle à un employé de tenir une porte ouverte pour eux car ils ont oublié leur carte d’identité. Une autre méthode consiste à demander à un employé d ‘ « emprunter” son ordinateur portable pendant quelques minutes, au cours desquelles le criminel est capable d’installer rapidement un logiciel malveillant.,
prétexte
prétexte, l’équivalent humain du phishing, est lorsqu’un pirate crée un faux sentiment de confiance entre lui-même et l’utilisateur final en se faisant passer pour un collègue ou une figure d’autorité bien connue d’un utilisateur final afin d’accéder aux informations de connexion. Un exemple de ce type d’escroquerie est un e-mail à un employé de ce qui semble être le responsable du support informatique ou un message de chat d’un enquêteur qui prétend effectuer un audit d’entreprise., Le prétexte est très efficace car il réduit les défenses humaines au phishing en créant l’attente que quelque chose est légitime et sûr pour interagir avec. Les e-mails prétextant sont particulièrement efficaces pour accéder aux mots de passe et aux données commerciales car les imitateurs peuvent sembler légitimes, il est donc important d’avoir un fournisseur de sauvegarde tiers
Pour que tous les employés soient l’ingénierie sociale est essentielle pour assurer la cybersécurité des entreprises., Si les utilisateurs connaissent les principales caractéristiques de ces attaques, il est beaucoup plus probable qu’ils puissent éviter de tomber pour eux.
outre l’éducation et la sensibilisation, il existe d’autres moyens de réduire le risque d’être piraté. Les employés doivent être priés de ne pas ouvrir de courriels ou de cliquer sur des liens provenant de sources inconnues. Les ordinateurs ne doivent jamais être partagés avec qui que ce soit, même pour un moment. Par défaut, tous les ordinateurs de bureau, Ordinateurs portables et appareils mobiles de l’entreprise doivent se verrouiller automatiquement lorsqu’ils sont laissés inactifs pendant plus de cinq minutes (ou moins)., Enfin, assurez-vous que votre entreprise est prête à se remettre rapidement de ce type d’attaque au cas où un employé serait victime de l’un de ces systèmes. Les humains sont des humains après tout. En tirant parti d’une solution de sauvegarde et de récupération solide, tout le monde peut se reposer facilement.