En sécurité informatique, de nombreux problèmes surviennent malgré les meilleurs efforts de l'utilisateur. Par exemple, vous pouvez être touché par des logiciels malveillants à partir de publicités malveillantes à tout moment, c'est vraiment de la malchance. Vous pouvez prendre certaines mesures pour minimiser les risques, comme l'utilisation d'un bloqueur de publicités. Mais être frappé comme ça n'est pas la faute de l'utilisateur. D'autres attaques visent à inciter l'utilisateur à faire quelque chose. Ces types d'attaques relèvent de la large bannière des attaques d'ingénierie sociale.
L'ingénierie sociale consiste à utiliser l'analyse et la compréhension de la façon dont les gens gèrent certaines situations pour manipuler un résultat. L'ingénierie sociale peut être effectuée contre de grands groupes de personnes. En termes de sécurité informatique, cependant, il est généralement utilisé contre des individus, mais potentiellement dans le cadre d'une grande campagne.
Un exemple d'ingénierie sociale contre un groupe de personnes pourrait être des tentatives de semer la panique en guise de distraction. Par exemple, un militaire effectuant une opération sous fausse bannière, ou quelqu'un criant « au feu » dans un endroit très fréquenté, puis volant dans le chaos. À un certain niveau, la simple propagande, le jeu et la publicité sont également des techniques d'ingénierie sociale.
En sécurité informatique cependant, les actions ont tendance à être plus individuelles. L'hameçonnage tente de convaincre les utilisateurs de cliquer, de créer un lien et d'entrer des détails. De nombreuses escroqueries tentent de manipuler en fonction de la peur ou de la cupidité. Les attaques d'ingénierie sociale dans le domaine de la sécurité informatique peuvent même s'aventurer dans le monde réel, par exemple en tentant d'obtenir un accès non autorisé à une salle de serveurs. Fait intéressant, dans le monde de la cybersécurité, ce dernier scénario, et d'autres similaires, sont généralement ce que l'on entend lorsqu'on parle d'attaques d'ingénierie sociale.
Ingénierie sociale élargie – en ligne
L'hameçonnage est une classe d'attaques qui tentent d'inciter la victime à fournir des détails à un attaquant. Les attaques de phishing sont généralement diffusées dans un système externe tel que par e-mail, et ont donc deux points d'ingénierie sociale distincts. Tout d'abord, ils doivent convaincre la victime que le message est légitime et l'inciter à cliquer sur le lien. Cela charge ensuite la page de phishing, où l'utilisateur sera alors invité à entrer des détails. Habituellement, ce sera leur nom d'utilisateur et leur mot de passe. Cela repose sur l'e-mail initial et la page de phishing qui semblent tous deux suffisamment convaincants pour inciter l'utilisateur à leur faire confiance.
De nombreuses escroqueries tentent d'inciter leurs victimes à remettre de l'argent. L'escroquerie classique du «prince nigérian» promet un gros paiement si la victime peut payer une petite avance. Bien sûr, une fois que la victime a payé les « frais », aucun paiement n'est jamais reçu. D'autres types d'escroqueries fonctionnent sur des principes similaires. Convaincre la victime de faire quelque chose, généralement remettre de l'argent ou installer un logiciel malveillant. Ransomware en est même un exemple. La victime doit remettre de l'argent ou risque de perdre l'accès aux données chiffrées.
Ingénierie sociale en personne
Lorsque l'ingénierie sociale est mentionnée dans le monde de la cybersécurité, elle fait généralement référence à des actions dans le monde réel. Il existe de nombreux exemples de scénarios. L'un des plus basiques s'appelle le tail-gating. C'est planer suffisamment près derrière quelqu'un pour qu'il tienne ouverte une porte à accès contrôlé pour vous laisser passer. Le talonnage peut être amélioré en mettant en place un scénario dans lequel la victime pourrait vous aider. Une méthode consiste à passer du temps avec les fumeurs à l'extérieur pour une pause cigarette, puis à retourner à l'intérieur avec le groupe. Une autre méthode consiste à être vu comme porteur de quelque chose de gênant. Cette technique a encore plus de chances de réussir si ce que vous transportez peut être destiné à d'autres. Par exemple, si vous avez un plateau de tasses à café pour "votre équipe", il y a une pression sociale pour que quelqu'un vous ouvre la porte.
Une grande partie de l'ingénierie sociale en personne repose sur la mise en place d'un scénario, puis sur la confiance en son sein. Par exemple, un ingénieur social peut se faire passer pour une sorte d'ouvrier du bâtiment ou de nettoyeur qui peut être généralement négligé. Se faire passer pour un bon samaritain, remettre une clé USB « perdue » peut amener un employé à la brancher. L'intention serait de voir à qui il appartient, mais il pourrait alors infecter le système avec des logiciels malveillants.
Ces types d'attaques d'ingénierie sociale en personne peuvent être très efficaces, car personne ne s'attend vraiment à être trompé de la sorte. Ils comportent cependant beaucoup de risques pour l'attaquant qui a de réelles chances d'être pris en flagrant délit.
Conclusion
L'ingénierie sociale est le concept de manipulation des personnes pour atteindre un objectif ciblé. Une façon consiste à créer une situation d'apparence réelle pour inciter la victime à y croire. Vous pouvez également créer un scénario dans lequel il existe une pression sociale ou une attente pour que la victime agisse contre les conseils de sécurité standard. Cependant, toutes les attaques d'ingénierie sociale reposent sur la ruse d'une ou plusieurs victimes pour qu'elles effectuent une action que l'attaquant souhaite qu'elles fassent.