L’ingénierie sociale est l’art de manipuler les gens pour qu’ils renoncent à des informations confidentielles. Les types d’informations recherchés par ces criminels peuvent varier, mais lorsqu’ils sont ciblés, les criminels essaient généralement de vous tromper en leur donnant vos mots de passe ou vos informations bancaires, ou d’accéder à votre ordinateur pour installer secrètement des logiciels malveillants, ce qui leur donnera accès à votre les mots de passe et les informations bancaires ainsi que leur donner le contrôle de votre ordinateur.

Les criminels utilisent des tactiques d’ingénierie sociale car il est généralement plus facile d’exploiter votre inclination naturelle à la confiance que de découvrir des moyens de pirater votre logiciel. Par exemple, il est beaucoup plus facile de tromper quelqu’un en vous donnant son mot de passe que d’essayer de pirater son mot de passe (sauf si le mot de passe est vraiment faible).

Le phishing a évolué. Découvrez 11 façons dont les pirates informatiques recherchent vos données et comment vous protéger dans ce guide.

La sécurité consiste à savoir à qui et à quoi faire confiance. Il est important de savoir quand et quand ne pas croire une personne sur parole et quand la personne avec qui vous communiquez est celle qu’elle prétend être. Il en va de même pour les interactions en ligne et l’utilisation du site Web: quand pensez-vous que le site Web que vous utilisez est légitime ou peut fournir vos informations en toute sécurité?

Demandez à n’importe quel professionnel de la sécurité et il vous dira que le plus faible Le maillon de la chaîne de sécurité est l’humain qui accepte une personne ou un scénario à sa valeur nominale. Peu importe le nombre de serrures et de pênes dormants sur vos portes et fenêtres, ou si vous avez des chiens de garde, des systèmes d’alarme, des projecteurs, des clôtures avec des barbelés et du personnel de sécurité armé; si vous faites confiance à la personne à la porte qui dit être le livreur de pizzas et que vous l’avez laissé entrer sans vérifier au préalable s’il est légitime, vous êtes complètement exposé au risque qu’il représente.

Une attaque d’ingénierie sociale ressemble-t-elle?

E-mail d’un ami

Si un criminel parvient à pirater ou à créer le mot de passe de messagerie d’une personne, il a accès à la liste de contacts de cette personne – et parce que la plupart des gens utilisent un mot de passe partout, ils ont probablement également accès aux contacts de réseautage social de cette personne.

Une fois que le criminel a ce compte de messagerie sous son contrôle, il envoie des courriels à tous les contacts de la personne ou laisse des messages sur tous ses les pages sociales de l’ami, et éventuellement sur les pages des amis de l’ami de la personne.

Profitant de votre confiance et de votre curiosité, ces messages:

• Contiendront un lien que vous n’avez qu’à vérifier – et comme le lien provient d’un ami et que vous êtes curieux, vous aurez confiance en liez et cliquez – et soyez infecté par des logiciels malveillants afin que le criminel puisse prendre le contrôle de votre machine, collecter les informations de vos contacts et les tromper comme si vous étiez trompé

• Contient un téléchargement d’images, musique, film, document, etc., contenant un logiciel malveillant. Si vous téléchargez – ce que vous êtes susceptible de faire puisque vous pensez qu’il vient de votre ami – vous êtes infecté. Désormais, le criminel a accès à votre machine, à votre compte de messagerie, à vos comptes et contacts sur les réseaux sociaux, et l’attaque se propage à tous ceux que vous connaissez. Et ainsi de suite.

Les e-mails d’une autre source fiable

Les attaques de phishing sont un sous-ensemble de la stratégie d’ingénierie sociale qui imite une source fiable et concocte un scénario apparemment logique pour la transmission des informations de connexion ou d’autres données personnelles sensibles. Selon les données Webroot, les institutions financières représentent la grande majorité des entreprises usurpées et, selon le rapport annuel d’enquête sur les violations de données de Verizon, les attaques d’ingénierie sociale, y compris le phishing et le prétexte (voir ci-dessous), sont responsables de 93% des violations de données réussies.

En utilisant une histoire ou un prétexte convaincant, ces messages peuvent:

• Demander votre aide de toute urgence. Votre «ami» est coincé dans le pays X, a été volé, battu , et est à l’hôpital. Ils ont besoin que vous envoyiez de l’argent pour qu’ils puissent rentrer chez eux et ils vous expliquent comment envoyer de l’argent au criminel.

• Utilisez des tentatives de phishing avec un arrière-plan qui semble légitime. En général, un hameçonnage envoie un e-mail, un message instantané, un commentaire ou un SMS qui semble provenir d’une entreprise, d’une banque, d’une école ou d’une institution légitimes et populaires.

• Vous demander de faire un don à leur organisme de bienfaisance, ou à toute autre cause. Probablement avec des instructions sur la façon d’envoyer l’argent au criminel. dness et générosité, ces hameçonneurs demandent de l’aide ou du soutien pour tout désastre, campagne politique ou organisation caritative qui leur tient momentanément à l’esprit.

• Présentez un problème qui vous oblige à  » vérifier « vos informations en cliquant sur le lien affiché et en fournissant des informations dans leur formulaire.L’emplacement du lien peut sembler très légitime avec tous les bons logos et contenus (en fait, les criminels peuvent avoir copié le format et le contenu exacts du site légitime). Parce que tout semble légitime, vous faites confiance à l’e-mail et au faux site et fournissez toutes les informations que l’escroc demande. Ces types d’escroqueries par hameçonnage incluent souvent un avertissement sur ce qui se passera si vous n’agissez pas rapidement, car les criminels savent que s’ils peuvent vous amener à agir avant que vous ne réfléchissiez, vous êtes plus susceptible de tomber dans le piège de leur tentative de phishing.

• Vous informer que vous êtes un « gagnant ». Peut-être que l’e-mail prétend provenir d’une loterie, d’un parent décédé, ou de la millionième personne à avoir cliqué sur son site, etc. Dans l’ordre pour vous donner vos «  gains  », vous devez fournir des informations sur le routage de votre banque afin qu’ils sachent comment vous les envoyer ou donner votre adresse et votre numéro de téléphone afin qu’ils puissent envoyer le prix, et vous pouvez également être invité à prouver qui vous êtes incluant souvent votre numéro de sécurité sociale. Ce sont les «hameçonnages par avidité» où même si le prétexte de l’histoire est mince, les gens veulent ce qui est offert et tombent sous le charme en donnant leurs informations, puis en se faisant vider leur compte bancaire et en se faisant voler leur identité.

• Présentez-vous en tant que patron ou collègue. Il peut demander une mise à jour sur un projet propriétaire important sur lequel votre entreprise travaille actuellement, des informations de paiement relatives à une carte de crédit d’entreprise ou une autre demande se faisant passer pour des affaires quotidiennes.

Scénarios d’appâtage

Ces schémas d’ingénierie sociale savent que si vous suspendez quelque chose que les gens veulent, beaucoup de gens prendront l’appât. Ces schémas se trouvent souvent sur des sites Peer-to-Peer proposant le téléchargement de quelque chose comme un nouveau film ou de la musique. Mais les schémas se trouvent également sur les sites de réseaux sociaux, les sites Web malveillants que vous trouvez dans les résultats de recherche, etc.

Ou, le système peut apparaître comme une offre étonnante sur les sites classés, les sites d’enchères, etc. .. Pour dissiper vos soupçons, vous pouvez voir que le vendeur a une bonne note (tout est planifié et conçu à l’avance).

Les personnes qui prennent l’appât peuvent être infectées par un logiciel malveillant qui peut générer un nombre illimité de de nouveaux exploits contre eux-mêmes et leurs contacts, peuvent perdre leur argent sans recevoir l’article acheté, et, s’ils ont été assez stupides pour payer avec un chèque, peuvent trouver leur compte bancaire vide.

Réponse à une question que vous Je ne l’ai jamais fait

Les criminels peuvent prétendre répondre à votre «demande d’aide» d’une entreprise tout en offrant plus d’aide. Ils choisissent des entreprises que des millions de personnes utilisent, comme une société de logiciels ou une banque. Si vous n’utilisez pas le produit ou le service, vous ignorerez l’e-mail, l’appel téléphonique ou le message, mais si vous utilisez le service, il y a de fortes chances que vous répondiez car vous avez probablement besoin d’aide pour résoudre un problème .

Par exemple, même si vous savez que vous n’avez pas posé de question à l’origine, vous avez probablement un problème avec le système d’exploitation de votre ordinateur et vous saisissez cette opportunité pour le réparer. Gratuitement! Au moment où vous répondez, vous avez acheté l’histoire de l’escroc, lui avez donné votre confiance et vous vous êtes ouvert à l’exploitation.

Le représentant, qui est en fait un criminel, devra «vous authentifier», vous êtes-vous connecté « leur système » ou avez-vous vous connecter à votre ordinateur et leur donner un accès à distance à votre ordinateur afin qu’ils puissent le « réparer » pour vous, ou vous indiquer les commandes afin que vous puissiez le réparer vous-même avec leur aide – où certaines des les commandes qu’ils vous disent d’entrer ouvriront un moyen pour le criminel de revenir dans votre ordinateur plus tard.

Créer de la méfiance

Une certaine ingénierie sociale consiste à créer de la méfiance ou à déclencher des conflits ; ceux-ci sont souvent effectués par des personnes que vous connaissez et qui sont en colère contre vous, mais cela est également fait par des personnes méchantes qui essaient simplement de faire des ravages, des personnes qui veulent d’abord créer la méfiance dans votre esprit à l’égard des autres afin qu’elles puissent ensuite intervenir en tant que héros et gagner votre confiance, ou par des extorqueurs qui veulent manipuler des informations puis vous menacer de divulgation.

Cette forme d’ingénierie sociale commence souvent par accéder à un compte de messagerie ou à un autre compte de communication sur un client de messagerie instantanée , réseau social, chat, forum, etc. Ils accomplissent cela soit par piratage, ingénierie sociale, soit simplement en devinant des mots de passe vraiment faibles.

• La personne malveillante peut alors altérer les communications sensibles ou privées (y compris les images et l’audio) en utilisant des techniques d’édition de base et les transmet à d’autres personnes pour créer un drame, de la méfiance, de l’embarras, etc. Ils peuvent donner l’impression qu’il a été envoyé accidentellement ou donner l’impression de vous faire savoir ce qui est «  vraiment  » en cours.

• A Alternativement, ils peuvent utiliser le matériel modifié pour extorquer de l’argent à la personne qu’ils ont piratée ou au destinataire supposé.

Il existe littéralement des milliers de variantes aux attaques d’ingénierie sociale.L’imagination du criminel est la seule limite au nombre de façons dont ils peuvent socialement concevoir les utilisateurs grâce à ce type d’exploit. Et vous pouvez rencontrer plusieurs formes d’exploits en une seule attaque. Ensuite, le criminel est susceptible de vendre vos informations à d’autres afin qu’eux aussi puissent exploiter leurs exploits contre vous, vos amis, les amis de vos amis, etc., car les criminels tirent parti de la confiance déplacée des gens.

Ne devenez pas une victime

Alors que les attaques de phishing sont endémiques, de courte durée et ne nécessitent que quelques utilisateurs pour se lancer dans une campagne réussie, il existe des méthodes pour vous protéger. La plupart n’exigent pas beaucoup plus qu’une simple attention aux détails qui vous sont présentés. Gardez à l’esprit ce qui suit pour éviter de vous faire hameçonner vous-même.

Conseils à retenir:

• Ralentissez. Les spammeurs veulent que vous agissiez d’abord et que vous réfléchissiez plus tard. Si le message exprime un sentiment d’urgence ou utilise des tactiques de vente à haute pression, soyez sceptique; ne laissez jamais leur urgence influencer votre examen attentif.

• Faites des recherches sur les faits. Méfiez-vous des messages non sollicités. Si l’e-mail semble provenir d’une entreprise que vous utilisez, faites vos propres recherches. Utilisez un moteur de recherche pour accéder au site réel de l’entreprise, ou un annuaire téléphonique pour trouver son numéro de téléphone.

• Ne laissez pas un lien contrôler votre destination. Gardez le contrôle en trouvant vous-même le site Web à l’aide d’un moteur de recherche. assurez-vous que vous atterrissez là où vous avez l’intention de débarquer. Si vous passez la souris sur les liens dans les e-mails, l’URL réelle apparaîtra en bas, mais une bonne fausse peut toujours vous orienter vers une erreur.

• Détournement de courrier est endémique. Hack Les utilisateurs, les spammeurs et les ingénieurs sociaux qui prennent le contrôle des comptes de messagerie (et d’autres comptes de communication) sont devenus monnaie courante. Une fois qu’ils contrôlent un compte de messagerie, ils se nourrissent de la confiance des contacts de la personne. Même lorsque l’expéditeur semble être quelqu’un que vous connaissez, si vous n’attendez pas un e-mail avec un lien ou une pièce jointe, vérifiez auprès de votre ami avant d’ouvrir des liens ou de télécharger.

• Méfiez-vous de tout téléchargement. Si vous ne connaissez pas personnellement l’expéditeur ET attendez un fichier de sa part, tout télécharger est une erreur.

• Les offres étrangères sont fausses. Si vous recevez un e-mail d’une loterie ou d’un tirage au sort étrangers, de l’argent d’un parent inconnu ou des demandes de transfert de fonds d’un pays étranger pour une part de l’argent, il est garanti qu’il s’agit d’une arnaque.

Moyens de vous protéger:

• Supprimez toute demande d’informations financières ou de mots de passe. Si vous êtes invité à répondre à un message contenant des informations personnelles, il s’agit d’une arnaque.

• Rejetez les demandes d’aide ou les offres d’aide. Les entreprises et organisations légitimes ne vous contactent pas pour vous aider. Si vous n’avez pas spécifiquement demandé d’aide à l’expéditeur, considérez toute offre «d’aider» à rétablir les cotes de crédit, refinancer une maison, répondre à votre question, etc., une arnaque. De même, si vous recevez une demande d’aide d’un organisme de bienfaisance ou d’une organisation avec laquelle vous n’avez pas de relation, supprimez-la. Pour donner, cherchez par vous-même des organisations caritatives réputées pour éviter de tomber dans une arnaque.

• Réglez vos filtres anti-spam sur une valeur élevée. Chaque programme de messagerie dispose de filtres anti-spam. Pour trouver le vôtre, examinez vos options de paramètres et définissez-les sur Élevé. N’oubliez pas de vérifier régulièrement votre dossier spam pour voir si des e-mails légitimes y ont été accidentellement piégés. Vous pouvez également rechercher un guide étape par étape pour configurer vos filtres anti-spam en recherchant le nom de votre fournisseur de messagerie et l’expression « filtres anti-spam ».

• Sécurisez votre dispositifs informatiques. Installez un logiciel antivirus, des pare-feu, des filtres de messagerie et maintenez-les à jour. Configurez votre système d’exploitation pour qu’il se mette à jour automatiquement, et si votre smartphone ne se met pas automatiquement à jour, mettez-le à jour manuellement chaque fois que vous recevez un avis à cet effet. Utilisez un outil anti-hameçonnage proposé par votre navigateur Web ou par un tiers pour vous alerter des risques.

La base de données de menaces de Webroot comprend plus de 600 millions de domaines et 27 milliards d’URL catégorisés pour protéger les utilisateurs contre les menaces Web. Les informations sur les menaces qui sous-tendent tous nos produits vous aident à utiliser le Web en toute sécurité, et nos solutions de sécurité mobile offrent une navigation Web sécurisée pour empêcher les attaques de phishing réussies.