Une nouvelle récente m'a fait réaliser à quel point les émotions et les pensées humaines peuvent être (ou sont) utilisées au profit des autres. Presque chacun d'entre vous connaît Edward Snowden , le lanceur d'alerte de la NSA qui fouine dans le monde entier. Reuters a rapporté qu'il avait demandé à environ 20 à 25 personnes de la NSA de lui remettre leurs mots de passe pour récupérer certaines données qu'il avait divulguées plus tard [1]. Imaginez^(Imagine) à quel point votre réseau d'entreprise peut être fragile, même avec le logiciel de sécurité le plus puissant et le meilleur !

Qu'est-ce que l'ingénierie sociale

La faiblesse humaine^(Human) , la curiosité, les émotions et d'autres caractéristiques ont souvent été utilisées pour extraire illégalement des données - que ce soit dans n'importe quelle industrie. L' industrie informatique^{(IT Industry)} lui a cependant donné le nom d'ingénierie sociale. Je définis l'ingénierie sociale comme :

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Voici une autre ligne du même reportage [1] que je veux citer - « Les agences de sécurité ont du mal à accepter l'idée que le type dans la cabine d'à côté n'est peut-être pas fiable^{(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable)} ». J'ai un peu modifié la déclaration pour l'adapter au contexte ici. Vous pouvez lire l'article complet en utilisant le lien dans la section Références^(References) .

En d'autres termes, vous n'avez pas un contrôle total sur la sécurité de vos organisations avec l'ingénierie sociale évoluant beaucoup plus vite que les techniques pour y faire face. L'ingénierie sociale^(Social) peut être quelque chose comme appeler quelqu'un en disant que vous êtes un support technique et lui demander ses identifiants de connexion. Vous avez dû recevoir des e-mails de phishing concernant des loteries, des personnes riches du Moyen-Orient^{(Mid East)} et d' Afrique^(Africa) à la recherche de partenaires commerciaux et des offres d'emploi pour vous demander vos coordonnées.

Contrairement aux attaques de phishing, l'ingénierie sociale consiste en grande partie en une interaction directe de personne à personne. Le premier (hameçonnage) utilise un appât, c'est-à-dire que les personnes qui « pêchent » vous offrent quelque chose en espérant que vous tomberez dans le piège. L'ingénierie sociale^(Social) consiste davantage à gagner la confiance des employés internes afin qu'ils divulguent les détails de l'entreprise dont vous avez besoin.

Lire : ^(Read:) Méthodes populaires d'ingénierie sociale .

Techniques d'ingénierie sociale connues

Il y en a beaucoup, et tous utilisent des tendances humaines de base pour entrer dans la base de données de toute organisation. La technique d'ingénierie sociale la plus utilisée (probablement obsolète) consiste à appeler et à rencontrer des personnes et à leur faire croire qu'elles proviennent du support technique qui a besoin de vérifier votre ordinateur. Ils peuvent également créer de fausses cartes d'identité pour établir la confiance. Dans certains cas, les coupables se font passer pour des agents de l'État.

Une autre technique célèbre consiste à employer votre personne en tant qu'employé dans l'organisation cible. Maintenant, puisque cet escroc est votre collègue, vous pourriez lui faire confiance avec les détails de l'entreprise. L'employé externe peut vous aider avec quelque chose, vous vous sentez donc obligé, et c'est à ce moment-là qu'il peut en tirer le maximum.

J'ai également lu des rapports sur des personnes utilisant des cadeaux électroniques. Une clé USB^(USB) sophistiquée qui vous est livrée à l'adresse de votre entreprise ou une clé USB qui se trouve dans votre voiture peut s'avérer catastrophique. Dans un cas, quelqu'un a délibérément laissé des clés USB^(USB) dans le parking comme appâts [2].

Si le réseau de votre entreprise dispose de bonnes mesures de sécurité à chaque nœud, vous êtes béni. Sinon, ces nœuds offrent un passage facile pour les logiciels malveillants – dans ce cadeau ou les clés USB « oubliées » – vers les systèmes centraux.

En tant que tel, nous ne pouvons pas fournir une liste complète des méthodes d'ingénierie sociale. C'est une science à la base, combinée à l'art au sommet. Et vous savez qu'aucun d'eux n'a de frontières. Les gars de l'ingénierie sociale^(Social) continuent de faire preuve de créativité tout en développant des logiciels qui peuvent également abuser des appareils sans fil accédant au Wi-Fi de l'entreprise .

Lire : ^(Read:) Qu'est-ce qu'un logiciel malveillant d'ingénierie sociale .

Empêcher l'ingénierie sociale

Personnellement, je ne pense pas qu'il existe un théorème que les administrateurs puissent utiliser pour empêcher les piratages d'ingénierie sociale. Les techniques d'ingénierie sociale ne cessent de changer et il devient donc difficile pour les administrateurs informatiques de suivre ce qui se passe.

Bien sûr, il est nécessaire de garder un œil sur les nouvelles de l'ingénierie sociale afin d'être suffisamment informé pour prendre les mesures de sécurité appropriées. Par exemple, dans le cas des périphériques USB , les administrateurs peuvent bloquer les lecteurs USB sur des nœuds individuels en les autorisant uniquement sur le serveur qui dispose d'un meilleur système de sécurité. De même^(Likewise) , le Wi-Fi^(Wi-Fi) nécessiterait un meilleur cryptage que celui fourni par la plupart des FAI^(ISPs) locaux .

La formation des employés et la réalisation de tests aléatoires sur différents groupes d'employés peuvent aider à identifier les points faibles de l'organisation. Il serait facile de former et de mettre en garde les individus les plus faibles. La vigilance^(Alertness) est la meilleure défense. L'accent doit être mis sur le fait que les informations de connexion ne doivent pas être partagées même avec les chefs d'équipe - quelle que soit la pression. Si un chef d'équipe a besoin d'accéder à la connexion d'un membre, il peut utiliser un mot de passe principal. Ce n'est qu'une suggestion pour rester en sécurité et éviter les piratages d'ingénierie sociale.

En fin de compte, outre les logiciels malveillants et les pirates en ligne, les informaticiens doivent également s'occuper de l'ingénierie sociale. Tout en identifiant les méthodes de violation de données (comme écrire des mots de passe, etc.), les administrateurs doivent également s'assurer que leur personnel est suffisamment intelligent pour identifier une technique d'ingénierie sociale afin de l'éviter complètement. Selon vous, quelles sont les meilleures méthodes pour prévenir l'ingénierie sociale ? Si vous avez rencontré un cas intéressant, veuillez le partager avec nous.

Téléchargez cet ebook sur les attaques d'ingénierie sociale publié par Microsoft et découvrez comment vous pouvez détecter et prévenir de telles attaques dans votre organisation.^{(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)}

Références^(References)

[1] Reuters , Snowden a persuadé les employés de la NSA d' obtenir leurs ^{(NSA Employees Into)}informations^(Info) de connexion

[2] Boing Net , Clés^(Pen) USB utilisées pour propager des logiciels malveillants^{(Spread Malware)} .

Understand Social Engineering - Protection against Human Hacking

A piece of recent news made me rеalize how human emotions and thoughts can be (or, are) used for others’ benefit. Almost every one of you knows Edward Snowden, the whistleblоwer of NSA snooping the world over. Reuters reported that he got around 20-25 NSA people to hand over their passwоrds to him for reсovering ѕome data he leaked lаter [1]. Imagine how fragile your cоrрorate network cаn be, even with the strongеst and best of security software!

What is Social Engineering

Human weakness, curiosity, emotions, and other characteristics have often been used in extracting data illegally – be it any industry. The IT Industry has, however, given it the name of social engineering. I define social engineering as:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Here is another line from the same news story [1] that I want to quote – “Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable“. I modified the statement a bit to fit it into the context here. You can read the full news piece using the link in the References section.

In other words, you do not have complete control over the security of your organizations with social engineering evolving much faster than techniques to cope with it. Social engineering can be anything like calling up someone saying you are tech support and ask them for their login credentials. You must have been receiving phishing emails about lotteries, rich people in Mid East and Africa wanting business partners, and job offers to ask you your details.

Unlike phishing attacks, social engineering is much of direct person-to-person interaction. The former (phishing) employs a bait – that is, the people “fishing” is offering you something hoping that you will fall for it. Social engineering is more about winning the confidence of internal employees so that they divulge the company details you need.

Read: Popular methods of Social Engineering.

Known Social Engineering Techniques

There are many, and all of them use basic human tendencies for getting into the database of any organization. The most used (probably outdated) social engineering technique is to call and meet people and making them believe they are from technical support who need to check your computer. They can also create fake ID cards to establish confidence. In some cases, the culprits pose as state officials.

Another famous technique is to employ your person as an employee in the target organization. Now, since this con is your colleague, you might trust him with company details. The external employee might help you with something, so you feel obliged, and that is when they can make out the maximum.

I also read some reports about people using electronic gifts. A fancy USB stick delivered to you at your company address or a pen drive lying in your car can prove disasters. In a case, someone left some USB drives deliberately in the parking lot as baits [2].

If your company network has good security measures at each node, you are blessed. Otherwise, these nodes provide an easy passage for malware – in that gift or “forgotten” pen drives – to the central systems.

As such we cannot provide a comprehensive list of social engineering methods. It is a science at the core, combined with art on the top. And you know that neither of them has any boundaries. Social engineering guys keep on getting creative while developing software that can also misuse wireless devices gaining access to company Wi-Fi.

Read: What is Socially Engineered Malware.

Prevent Social Engineering

Personally, I do not think there is any theorem that admins can use to prevent social engineering hacks. The social engineering techniques keep on changing, and hence it becomes difficult for IT admins to keep track on what is happens.

Of course, there is a need to keep a tab on social engineering news so that one is informed enough to take appropriate security measures. For example, in the case of USB devices, admins can block USB drives on individual nodes allowing them only on the server that has a better security system. Likewise, Wi-Fi would need better encryption than most of the local ISPs provide.

Training employees and conducting random tests on different employee groups can help identify weak points in the organization. It would be easy to train and caution the weaker individuals. Alertness is the best defense. The stress should be that login information should not be shared even with the team leaders – irrespective of the pressure. If a team leader needs to access a member’s login, s/he can use a master password. That is just one suggestion to stay safe and avoid social engineering hacks.

The bottom line is, apart from the malware and online hackers, the IT people need to take care of social engineering too. While identifying methods of a data breach (like writing down passwords etc.), the admins should also ensure their staff is smart enough to identify a social engineering technique to avoid it altogether. What do you think are the best methods to prevent social engineering? If you have come across any interesting case, please share with us.

Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.

References

[1] Reuters, Snowden Persuaded NSA Employees Into Obtaining Their Login Info

[2] Boing Net, Pen Drives Used to Spread Malware.

Related posts

• Internet and Social Networking Sites addiction

• Fake News Sites Web: un problème croissant et ce que cela signifie dans le monde d'aujourd'hui

• Comment configurer, enregistrer, éditer, publier Instagram Reels

• Comment activer l'authentification à deux facteurs pour Reddit account

• Connectez-vous avec le Windows Club

• Comment couper, éteindre et restreindre les utilisateurs Instagram sur Windows PC

• Comment recherchez-vous des messages sur Instagram?

• Comment supprimer ou désactiver temporairement Instagram account

• 5 Best Social Media apps pour Windows 10 disponible en Microsoft Store

• Comment devenir un Influencer sur Twitter

• Comment devenir un Influencer sur Instagram

• Qu'est-ce que la phubbing et ce que cela signifie pour les relations personnelles

• UniShare vous permet de partager sur Facebook, Twitter et LinkedIn à la fois

• Comment utiliser Facebook pour devenir un Media Influencer social

• Comment faire Instagram Carousel dans Photoshop: tutoriel amical pour les débutants

• Revoke Accès tiers de Facebook, Google, Microsoft, Twitter

• Que faire quand Facebook Account est piraté?

• Liste des choses que vous ne devriez pas share or post à Facebook or Social Media

• Comment utiliser Instagram Reels pour créer ou voir des vidéos

• Comment devenir un Pinterest Influencer