Introduction
Dans son livre « The Art of Deception », le hacker populaire Kevin Mitnick a expliqué le pouvoir des techniques d’ingénierie sociale . Aujourd’hui, nous sommes conscients que l’ingénierie sociale peut être combinée avec le piratage pour lancer des attaques insidieuses.
Prenons, par exemple, les médias sociaux et les plates-formes mobiles; ils sont de puissants vecteurs d’attaque pour diverses catégories d’acteurs de menaces car ils permettent d’atteindre instantanément un large public.
La plupart des attaques exploitant les deux paradigmes sont efficaces car elles exploitent le concept de « confiance » sur lequel les réseaux sociaux sont construits.
Examinons de près les attaques d’ingénierie sociale les plus courantes utilisées pour cibler les utilisateurs.
Phishing
Les attaques de phishing sont le type d’attaque le plus courant utilisant des techniques d’ingénierie sociale. Les pirates utilisent les e-mails, les réseaux sociaux, la messagerie instantanée et les SMS pour inciter les victimes à fournir des informations sensibles ou à visiter des URL malveillantes dans le but de compromettre leurs systèmes.
Les attaques de phishing présentent les caractéristiques communes suivantes:
- Les messages sont composés pour attirer l’attention de l’utilisateur, dans de nombreux cas pour stimuler sa curiosité en fournissant quelques informations sur un sujet précis et en suggérant aux victimes de visiter un site Web spécifique pour en savoir plus.
- Les messages de phishing visant à recueillir des informations sur un utilisateur expriment un sentiment d’urgence. Il s’agit d’une tentative d’inciter la victime à divulguer des données sensibles afin de résoudre une situation qui pourrait s’aggraver sans l’interaction de la victime.
- Les pirates utilisent une URL raccourcie ou des liens intégrés pour rediriger les victimes vers un domaine malveillant qui pourrait héberger des codes d’exploitation ou qui pourrait être un clone de sites Web légitimes avec des URL qui semblent légitimes. Dans de nombreux cas, le lien réel et le lien visuel dans l’e-mail sont différents; par exemple, le lien hypertexte dans l’e-mail ne pointe pas vers le même emplacement que l’hyperlien apparent affiché aux utilisateurs.
- Les e-mails de phishing ont une ligne d’objet trompeuse pour attirer le destinataire de croire que l’e-mail provient d’une source fiable. Les attaquants utilisent l’adresse d’un expéditeur falsifié ou l’identité falsifiée de l’organisation. Ils copient généralement des contenus tels que des textes, des logos, des images et des styles utilisés sur le site Web légitime pour lui donner un aspect authentique.
Point d’eau
Une attaque de point d’eau consiste en injecter du code malveillant dans les pages Web publiques d’un site visité par les cibles. La méthode d’injection n’est pas nouvelle et elle est couramment utilisée par les cybercriminels et les pirates. Les attaquants compromettent des sites Web dans un secteur spécifique qui sont habituellement visités par des personnes spécifiques d’intérêt pour les attaques.
Une fois qu’une victime visite la page du site Web compromis, un cheval de Troie de porte dérobée est installé sur son ordinateur. Une méthode d’attaque au point d’eau est très courante pour une opération de cyberespionnage ou des attaques parrainées par l’État.
Il est communément admis que ce type d’attaque est lié à des offensives parrainées par l’État. Le choix du site Web à compromettre, l’étude des habitudes de la victime et l’adoption d’un code d’exploitation efficace sont des étapes qui nécessitent un effort important dans la phase de préparation de l’attaque.
L’efficacité des attaques de points d’eau augmente avec l’utilisation d’exploits zero-day qui affectent le logiciel de la victime. Dans ce cas, les victimes n’ont aucun moyen de protéger leurs systèmes contre la diffusion de logiciels malveillants.
Attaque à la baleine
La chasse à la baleine est une autre évolution des attaques de phishing qui utilise des techniques d’ingénierie sociale sophistiquées pour voler des informations confidentielles , des données personnelles, des identifiants d’accès à des services / ressources restreints et, en particulier, des informations présentant une valeur pertinente d’un point de vue économique et commercial.
Ce qui distingue cette catégorie de phishing des autres, c’est le choix des cibles: les dirigeants concernés de entreprises privées et agences gouvernementales. Le mot chasse à la baleine est utilisé, indiquant que la cible est une grande cible à capturer.
La chasse à la baleine adopte les mêmes méthodes d’attaques de spearphishing. L’e-mail frauduleux est conçu pour se faire passer pour un e-mail professionnel critique envoyé par une autorité légitime, généralement des dirigeants d’organisations importantes. En règle générale, le contenu du message envoyé est conçu pour la haute direction et signale une sorte de fausse préoccupation à l’échelle de l’entreprise ou d’informations hautement confidentielles.
Prétexte
Le terme prétexte indique la pratique de se présenter comme quelqu’un d’autre pour obtenir des informations privées. Habituellement, les attaquants créent une fausse identité et l’utilisent pour manipuler la réception d’informations.
Les attaquants utilisant cette technique d’ingénierie sociale spécifique adoptent plusieurs identités qu’ils ont créées.Cette mauvaise habitude pourrait exposer leurs opérations aux enquêtes menées par des experts en sécurité et des forces de l’ordre.
Le succès de l’attaque prétextant fait largement semblant de permettre à l’attaquant de renforcer la confiance.
Le plus avancé Les formes d’attaques prétextes tentent de manipuler les victimes pour qu’elles exécutent une action qui permet à un attaquant de découvrir et d’exploiter un point de défaillance au sein d’une organisation.
Un attaquant peut se faire passer pour un opérateur de services informatiques externe pour demander au personnel interne informations qui pourraient permettre d’accéder aux systèmes au sein de l’organisation.
Appâtage et attaques en contrepartie
Une autre technique d’ingénierie sociale est l’appâtage qui exploite la curiosité humaine. L’appâtage est parfois confondu avec d’autres attaques d’ingénierie sociale. Sa principale caractéristique est la promesse de biens que les pirates utilisent pour tromper les victimes.
Un exemple classique est un scénario d’attaque dans lequel les attaquants utilisent un fichier malveillant déguisé en mise à jour logicielle ou en tant que logiciel générique. Un attaquant peut également lancer une attaque d’appât dans le monde physique, par exemple en diffusant des jetons USB infectés dans le parking d’une organisation cible et en attendant que le personnel interne les insère dans les PC de l’entreprise.
Le malware installé sur les jetons USB compromettent les PJ, obtenant le contrôle total nécessaire pour les attaques.
Une attaque quid pro quo (ou attaque «quelque chose contre quelque chose») est une variante de l’appâtage. Au lieu d’appâter une cible avec la promesse d’un bien, une attaque quid pro quo promet un service ou un avantage basé sur l’exécution d’une action spécifique.
Dans un scénario d’attaque quid pro quo, le hacker offre un service ou un avantage en échange pour obtenir des informations ou un accès.
L’attaque quid pro quo la plus courante se produit lorsqu’un pirate se fait passer pour un membre du personnel informatique d’une grande organisation. Ce pirate tente de contacter par téléphone les employés de l’organisation cible, puis leur propose une sorte de mise à jour ou d’installation de logiciels.
Ils pourraient demander st victimes pour faciliter l’opération en désactivant temporairement le logiciel audiovisuel pour installer l’application malveillante.
Tailgating
L’attaque de talonnage, également connue sous le nom de «ferroutage», implique un attaquant cherchant à entrer dans une zone restreinte qui ne dispose pas de l’authentification appropriée.
L’attaquant peut simplement marcher derrière une personne autorisée à accéder à la zone. Dans un scénario d’attaque typique, une personne se fait passer pour un livreur chargé de colis et attend qu’un employé ouvre sa porte. L’attaquant demande à l’employé de tenir la porte, contournant les mesures de sécurité en place (par exemple, contrôle d’accès électronique).
En savoir plus sur les attaques d’ingénierie sociale
10 attaques de phishing les plus courantes
5 menaces d’ingénierie sociale sur la vie privée des employés
Spear-phishing and whaling
Sources
5 Social Engineering Attaques à surveiller, l’état de la sécurité
Qingxiong Ma, « Le processus et les caractéristiques des attaques par hameçonnage: une étude de cas sur une petite entreprise de commerce international, » Journal of Technology Research
Le Framework d’ingénierie sociale, sécurité par l’éducation
Ingénierie sociale: attaques Quid Pro Quo, LinkedIn
Ingénierie sociale: qu’est-ce que le talonnage ?, Mailfence