Vidéo: Comment jouer au skywars sur Craftsman! (Novembre 2024)
L'ingénierie sociale est le moteur des courriels de phishing et des sites Web malveillants conçus pour ressembler à des sites sûrs et populaires. Lors d'une discussion avec Chris Hadnagy, chef des hackers de Social-Engineer Inc., je lui ai demandé comment repérer ces escroqueries. Son conseil fait écho à ce que nous avons souvent dit aux lecteurs: soyez toujours suspicieux.
Plus qu'un con
D'après ma discussion avec Hadnagy, il est clair que certaines de ce que nous appelons l'ingénierie sociale sont les mêmes astuces que celles utilisées par les gens pour prendre des décisions d'influence depuis des années. L’industrie de la restauration rapide, par exemple, a exploré à merveille les couleurs qui inciteraient les gens à manger plus rapidement. Les spiritualistes factices du 19ème siècle (qui comprennent des membres de ma famille) utilisent aujourd'hui une tactique appelée "lecture à froid" pour amener les victimes à révéler des informations les concernant.
Mais l'ingénierie sociale ne se résume pas à des astuces peu coûteuses, comme l'a démontré le concours Capture du drapeau d'ingénierie sociale organisé par Def Con. Ici, les candidats gagnent des points pour les informations qu’ils recueillent auprès des entreprises de recherche et en les contactant directement. Hadnagy a déclaré que les candidats les mieux notés ont également effectué le plus de recherches, ce qui montre à quel point il est utile de connaître vos cibles.
Malheureusement, le moment est propice pour devenir un ingénieur social effectuant des recherches ou collectant des informations open source. Hadnagy a expliqué que les entreprises et les particuliers publient beaucoup d'informations sur les médias sociaux, dont une grande partie peut être utilisée dans des attaques d'ingénierie sociale. Auparavant, nous avions examiné comment les fraudeurs essayaient d'utiliser les informations recueillies sur Facebook pour rendre leurs escroqueries plus attrayantes, parfois avec des résultats hilarants.
Cibler les émotions
Une des meilleures tactiques d'ingénierie sociale consiste à vous empêcher de penser de manière critique, généralement en ciblant vos émotions. Hadnagy a déclaré qu'une attaque qui l'avait presque trompé avait prétendu être un courrier électronique envoyé par Amazon. "C’était quelque chose de personnel, qui a affecté ma vie et qui était important pour moi", at-il déclaré.
Au cours de cette attaque, Hadnagy a reçu un courrier électronique indiquant qu'une de ses commandes importantes pour Amazon avait été retardée en raison d'un numéro de carte de crédit refusé. Dans les jours qui ont précédé une grande conférence, Hadnagy a déclaré qu'il était surchargé de travail et a cliqué sur le lien figurant dans l'e-mail, au lieu de se rendre directement sur Amazon. La page à laquelle il a été dirigé était bien conçue, mais heureusement, il a remarqué le domaine ".ru" avant de saisir des informations personnelles.
Bien que ce fût simple, cette tactique était très efficace. "Je suis le gars qui, à cause de ce que je fais, a phishing plus de 190 000 personnes au cours des derniers mois", a déclaré Hadnagy, se référant à son travail de consultant. "J'ai failli craquer pour cette attaque."
Un autre avantage de faire appel à l’émotion est qu’elle n’exige pas le type de recherche employé par les meilleurs ingénieurs en sciences sociales. "Ce que nous verrons, c'est choisir des choses qui sont importantes pour les masses." Hadnagy a expliqué que cela incluait l'expédition par UPS, les commandes Amazon et les virements PayPal.
L'appel de masse fonctionne également bien pour la diffusion en masse, une autre tactique fréquente. "Ils envoient ces messages à des millions de personnes à la fois, alors ils ne se soucient pas de savoir s'ils obtiennent 100%", a déclaré Hadnagy. "10% représentent encore des milliers de comptes compromis."
Rester en sécurité
La plupart des tactiques utilisées pour détecter les e-mails de phishing sont également valables pour l'ingénierie sociale. Tout ce qui semble trop beau pour être vrai - ou trop mauvais pour être vrai - n'est probablement pas vrai. Les tactiques telles que survoler des liens pour voir l'URL complète, saisir manuellement des adresses Web et éviter les liens qui arrivent de nulle part sont toutes des tactiques judicieuses.
Mais la partie appels en direct du concours Capture the Flag met en évidence une autre facette de l'ingénierie sociale: la confiance institutionnelle. Cette année, de nombreux concurrents se sont fait passer pour des collègues ou des vendeurs, ce qui a donné aux employés des entreprises cibles une raison immédiate de leur faire confiance. Parfois, il est utile de poser des questions à quelqu'un qui prétend être le PDG de votre entreprise vous appelle personnellement.
Hadnagy a fait une carrière en expliquant l'ingénierie sociale, mais il ne s'inquiète pas si les assaillants reprennent ses astuces. "Les méchants ne cherchent pas les données pour savoir comment faire cela", a-t-il déclaré à SecurityWatch. "Ils savent déjà comment faire. Le problème est que les bons ne le font pas." Par son travail, Hadnagy pense pouvoir enseigner aux entreprises américaines et aux citoyens ordinaires comment réfléchir de manière critique à leurs interactions quotidiennes et comment réagir dans les pires scénarios. Hadnagy l'expliquait ainsi: "Au lieu d'armer les méchants, il arme les bons."
Image via l'utilisateur Flickr Travis V.
