• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • «Ceux qui peuvent renoncer à la liberté essentielle pour obtenir un peu de sécurité temporaire ne méritent ni liberté ni sécurité.» - Benjamin Franklin

    L'ingénierie sociale est à l'avant-garde des problèmes de sécurité depuis un certain temps. Il a été longuement discuté par les experts de l'industrie. Pourtant, peu de gens réalisent pleinement le danger potentiel que cela représente et à quel point cela peut être très dangereux.

    Pour les pirates, L'ingénierie sociale est probablement le moyen le plus simple et le plus efficace de craquer les protocoles de sécurité. La montée en puissance d'Internet nous a donné des capacités très puissantes en interconnectant des appareils sans la barrière de la distance. En nous donnant des progrès en matière de communication et d'interconnexion, cela a cependant introduit des failles conduisant à une violation des informations personnelles et de la vie privée.

    Depuis, les temps les plus reculés, avant la technologie, les humains encodent et sécurisent les informations. Une méthode populairement connue des temps anciens est la Chiffre Céser où les messages sont encodés en déplaçant les places dans la liste des alphabets. Par exemple, «bonjour le monde» s'il est décalé d'une place pourrait être écrit comme «ifmmp xpsmf», le décodeur lisant le message «ifmmp xpsmf» devra décaler les lettres d'une place vers l'arrière dans la liste des alphabets pour comprendre le message.

    Aussi simple que soit cette technique d'encodage, elle a duré près de 2000 ans!

    Aujourd'hui, nous avons développé des systèmes de sécurité plus avancés et plus robustes, mais la sécurité est un défi.

    Il est important de noter qu'il existe un grand nombre de techniques déployées par les pirates pour obtenir des informations vitales. Nous examinerons brièvement certaines de ces techniques pour comprendre pourquoi l'ingénierie sociale est si importante.

    Attaques Brute Force & Dictionary

    Un piratage par force brute implique un pirate informatique doté d'un ensemble d'outils avancés conçus pour pénétrer un système de sécurité à l'aide d'un mot de passe calculé en obtenant toutes les combinaisons de caractères possibles. Une attaque par dictionnaire implique que l'attaquant exécute une liste de mots (du dictionnaire) dans l'espoir de trouver une correspondance avec le mot de passe de l'utilisateur.

    Une attaque par force brute de nos jours, bien que très puissante, semble moins susceptible de se produire en raison de la nature des algorithmes de sécurité actuels. Pour mettre les choses en perspective, si le mot de passe de mon compte est '[email protected]!!! ', une somme totale de caractères est de 22; par conséquent, il faudra 22 factorielles pour qu'un ordinateur calcule toutes les combinaisons possibles. C'est beaucoup.

    Plus encore, il existe des algorithmes de hachage qui prennent ce mot de passe et le convertissent en hachage pour le rendre encore plus difficile à deviner pour un système de force brute. Par exemple, le mot de passe écrit plus tôt peut être haché pour d734516b1518646398c1e2eefa2dfe99. Cela ajoute une couche de sécurité encore plus sérieuse au mot de passe. Nous examinerons plus en détail les techniques de sécurité plus tard.

    Si vous êtes propriétaire d'un site WordPress et recherchez une protection contre la force brute, consultez ceci guide.

    Les attaques DDoS

    Source : comodo.com

    Les attaques de déni de service distribué se produisent lorsqu'un utilisateur est bloqué pour accéder à des ressources Internet légitimes. Cela peut être du côté de l'utilisateur ou du service auquel l'utilisateur tente d'accéder.

    A DDoS entraîne généralement une perte de revenus ou de base d'utilisateurs. Pour qu'une telle attaque soit possible, un pirate informatique peut prendre le contrôle de plusieurs ordinateurs partout sur Internet qui peuvent être utilisés une partie d'un `` BotNet '' pour déstabiliser le réseau ou, dans certains cas, inonder le trafic réseau avec des paquets inutiles d'informations entraînant une surutilisation et donc une panne des ressources et des nœuds du réseau.

    Phishing

    phishing

    Il s'agit d'une forme de piratage informatique où l'attaquant tente de voler les informations d'identification de l'utilisateur en faisant de faux substituts aux pages de connexion. Typiquement, l'attaquant envoie un e-mail malveillant à un utilisateur agissant en tant que source de confiance, comme une banque ou un site Web de réseau social, généralement, avec un lien permettant à l'utilisateur de saisir ses informations d'identification. Les liens sont généralement conçus pour ressembler à des sites Web légitimes, mais un examen plus approfondi révèle qu'ils sont erronés.

    Par exemple, un lien de phishing utilisait autrefois paypai.com pour arnaquer les utilisateurs de Paypal afin qu'ils donnent leurs informations de connexion.

    Un format d'e-mail de phishing typique.

    "Cher utilisateur,

    Nous avons remarqué une activité suspecte sur votre compte. Cliquez ici pour modifier votre mot de passe maintenant afin d'éviter que votre compte ne soit bloqué. »

    Il y a 50% de chances que vous ayez été hameçonné à la fois. Non? Vous êtes-vous déjà connecté à un site Web et après avoir cliqué sur Connexion / Connexion, cela vous ramène toujours à la page de connexion, Oui? Vous avez été hameçonné avec succès.

    Comment se fait l'ingénierie sociale?

    Même si les algorithmes de cryptage deviennent encore plus difficiles à casser et plus sécurisés, hacks d'ingénierie sociale sont toujours aussi puissants que jamais.

    Un ingénieur social recueille généralement des informations sur vous afin de pouvoir accéder à vos comptes en ligne et à d'autres ressources protégées. Habituellement, un attaquant oblige la victime à divulguer volontairement des informations personnelles par manipulation psychologique. Une partie effrayante de ceci est que cette information n'a pas nécessairement besoin de venir de vous, juste quelqu'un qui sait.

    Généralement, la cible n'est pas celle qui est conçue sur le plan social.

    Par exemple, une entreprise de télécommunications populaire au Canada a fait les manchettes au début de cette année pour un piratage d'ingénierie sociale sur son client, dans lequel le personnel du service à la clientèle a été conçu pour révéler les détails de la cible dans un énorme piratage de sim swap menant à 30,000 $ de perte d'argent.

    Les ingénieurs sociaux jouent sur l'insécurité, la négligence et l'ignorance des gens pour les amener à divulguer des informations vitales. À une époque où l'assistance à distance est largement utilisée, les organisations se sont retrouvées dans de nombreux autres cas de piratage de ce type en raison de l'inévitabilité de l'erreur humaine.

    N'importe qui peut être victime de l'ingénierie sociale, ce qui est encore plus effrayant, c'est que vous pourriez être piraté sans même le savoir!

    Comment se protéger de l'ingénierie sociale?

    • Évitez d'utiliser des informations personnelles telles que la date de naissance, le nom de l'animal, le nom de l'enfant, etc. comme mots de passe de connexion
    • N'utilisez pas le mot de passe faible. Si vous ne vous souvenez pas du complexe, utilisez un Password Manager.
    • Recherchez les mensonges évidents. Un ingénieur social n'en sait pas vraiment assez pour vous pirater à la fois; ils donnent la mauvaise information en espérant que vous fournissez la bonne, puis ils passent à demander plus. Ne craquez pas!
    • Vérifiez l'authenticité de l'expéditeur et du domaine avant d'agir à partir des messages électroniques.
    • Consultez votre banque dès que vous remarquez une activité suspecte sur votre compte.
    • Lorsque vous perdez soudainement la réception du signal sur votre téléphone mobile, contactez immédiatement votre fournisseur de réseau. Cela pourrait être un piratage de sim swap.
    • Activer l'authentification à 2 facteurs (2-FA) sur services qui le soutiennent.

    Conclusion

    Ces étapes ne sont pas un remède direct aux hacks d'ingénierie sociale, mais elles vous aident à empêcher un hacker de vous obtenir.