Que sont les attaques d'ingénierie sociale et comment pouvez-vous les prévenir ?

Publié: 2019-11-14

Si vous achetez quelque chose via nos liens, nous pouvons gagner de l'argent grâce à nos partenaires affiliés. Apprendre encore plus.

Savez-vous ce qu'est une attaque d'ingénierie sociale ? Si vous dites que cela ne vous inquiète pas parce que vous disposez d'une solution antivirus/malware puissante, cela ne vous aidera pas du tout.

Cette vidéo montre à quel point les attaques d'ingénierie sociale sont faciles et effrayantes.

En effet, l'ingénierie sociale exploite le comportement humain et non les vulnérabilités de votre logiciel ou de votre matériel. Et c'est pourquoi votre stratégie de cybersécurité doit changer et s'adapter pour répondre aux différentes façons dont les cybercriminels lancent des attaques.

Selon un nouveau rapport de GetApp, seulement 27 % des entreprises proposent une formation en ingénierie sociale à leurs employés. Étant donné qu'octobre était le mois national de la cybersécurité, les données de GetApp sont opportunes et pertinentes.

Le titre du rapport est "10 statistiques sur la cybersécurité que chaque entreprise devrait connaître". Et selon le rapport, la complexité du paysage de la sécurité informatique nécessite « … un éventail de formations sur de nombreux sujets. Malheureusement, les entreprises ne proposent souvent une formation à la sécurité que sur une partie de ces problèmes tout en laissant les employés dans l'ignorance des autres.

Qu'est-ce qu'une attaque d'ingénierie sociale ?

Le FBI dit que l'ingénierie sociale est conçue pour vous amener à baisser votre garde. Il poursuit en disant qu'il s'agit d'une technique courante utilisée par les criminels, les adversaires, les concurrents et les espions pour exploiter les personnes et les réseaux informatiques. Pourquoi, parce que cela ne nécessite pas de compétences techniques.

Les attaques d'ingénierie sociale utilisent la tromperie pour manipuler le comportement des gens. Le but est de convaincre la personne de divulguer des informations confidentielles, personnelles et protégées. Lorsqu'ils obtiennent ces informations, les escrocs les utilisent pour poursuivre leur cible finale. Et la cible finale peut être tout, des données sensibles aux remarques désobligeantes sur une personne, un candidat politique ou même une marque.

Dans le passé, ces mêmes criminels auraient pu être appelés escrocs / escrocs, mais le principe est le même, gagner la confiance de la personne victime d'une arnaque.

Type d'attaques d'ingénierie sociale

La seule chose que vous devez savoir sur les attaques d'ingénierie sociale, c'est qu'elles évoluent constamment. Pour cette raison, vous devez former régulièrement vos employés. Parce que vous ne savez jamais quelle sera la prochaine forme d'attaque.

Certains des types d'attaques utilisées par les criminels sont :

Pretexting - Les attaquants prétendent avoir besoin d'informations personnelles ou financières pour confirmer l'identité du destinataire.

Water-holing - Les attaquants infectent un site Web pour compromettre les personnes qui visitent fréquemment ce site pour accéder au réseau.

Vol de détournement - Les escrocs trompent les entreprises de livraison ou de messagerie pour qu'elles déposent un colis à une mauvaise adresse en interceptant la transaction.

Quid Pro Quo – Comme son nom l'indique, les attaquants promettent quelque chose à la victime en échange d'informations ou d'aide.

Phishing et SMishing – Les attaques de phishing utilisent le courrier électronique et le SMishing utilise des messages texte pour inciter l'utilisateur final à cliquer sur un lien malveillant ou à télécharger. Étant donné que 91 % des attaques réussies commencent par un e-mail de phishing, il est particulièrement important d'accroître la sensibilisation à ces types d'attaques.

Honey Trap - Les attaquants prétendent être une personne attirante et ils commencent une fausse relation en ligne pour obtenir des informations sensibles.

Appâtage - Les attaquants laissent un appareil infecté par des logiciels malveillants, comme un lecteur flash, dans un endroit où il peut être trouvé facilement. Lorsque le lecteur se connecte à un ordinateur, il installe le logiciel malveillant.

Ce ne sont là que quelques-unes des attaques d'ingénierie sociale utilisées par les escrocs, mais il y en a d'autres et sans aucun doute les criminels en créent de nouveaux en ce moment même.

Se protéger contre une attaque d'ingénierie sociale

La sensibilisation est essentielle pour protéger votre entreprise contre toutes les formes d'attaques, que ce soit dans le monde physique ou numérique. À l'inverse, les attaques d'ingénierie sociale reposent sur la complaisance des personnes qu'elles ciblent.

Dans cet esprit, vous devez éliminer les comportements responsables de toute complaisance dans votre organisation. Et cela signifie aller à l'encontre des traits innés des gens, tels que la confiance et la volonté d'aider les autres. Compte tenu de ces points, vous devez insister pour que vos employés vérifient, vérifient, vérifient.

Le système en trois étapes pour vérifier une demande de Kevin D. Mitnick provient d'un pirate informatique réel et de son livre, "The Art of Deception: Controlling the Human Element of Security".

À première vue, cela peut sembler simpliste. Cependant, si quelqu'un que vous ne connaissez pas demande des informations, vous saurez qui il est si vous suivez les étapes.

  1. Lorsque quelqu'un demande des informations, dites à vos employés de vérifier que la personne est bien celle qu'ils prétendent être.
  2. Assurez-vous qu'ils travaillent actuellement dans l'entreprise ou qu'ils ont une affiliation avec l'organisation.
  3. Avant de donner l'information, assurez-vous qu'ils sont autorisés à faire une telle demande.

Avec ces trois étapes simples, vos données ne seront jamais transmises à la mauvaise personne. Cela vaut la peine de le répéter, vos employés ne peuvent pas être laxistes en suivant ces étapes ou en y apportant des modifications.

Moyens supplémentaires de protéger votre entreprise

Voici quelques-unes des autres façons dont vous et vos employés pouvez vous protéger et protéger l'entreprise :

  • Vos données peuvent être utilisées contre vous, alors arrêtez de révéler des faits sur votre vie personnelle et celle de l'entreprise à des inconnus. Soyez particulièrement prudent sur les réseaux sociaux.
  • Examinez toutes les demandes par e-mail jusqu'à ce que vous sachiez avec certitude qui est l'expéditeur. N'oubliez pas que même les e-mails que vous recevez d'amis et d'associés peuvent être faux.
  • Si vous soupçonnez que la personne qui essaie d'obtenir des informations est un escroc, n'hésitez pas à être sévère ou impoli si nécessaire.
  • Sensibilisez davantage votre organisation grâce à des sessions de formation fréquentes sur la cybersécurité et découvrez les dernières escroqueries.
  • Revoir continuellement les processus et les procédures pour les transactions importantes.
  • Ne réutilisez pas vos mots de passe et mettez en place une politique de changement de mot de passe dans toute l'organisation.

Les criminels vont tout balancer sur vos employés pour passer à côté d'une étape, et à la seconde ils font ça ; vos données sont en danger.

Une gouvernance forte et stricte avec responsabilité peut faire en sorte que cela fonctionne. Mieux encore, cela ne vous coûtera rien.

Bénéficiez de remises, d'offres spéciales et bien plus encore avec un compte Business Prime d'Amazon. Vous pouvez créer un compte GRATUIT pour commencer dès aujourd'hui.

Image : Depositphotos.com