Pourquoi chaque employé de votre entreprise devrait apprendre le vocabulaire en ingénierie sociale

Pourquoi chaque employé de votre entreprise devrait apprendre le vocabulaire en ingénierie sociale

L’ingénierie sociale est l’une des menaces de cybersécurité les plus difficiles à protéger. Par définition, il cible la faillibilité humaine – des failles dans le raisonnement humain. Les cybercriminels peuvent travailler à plein temps pour trouver comment tromper les gens et partager les meilleures pratiques, mais les employés de votre organisation ont d’autres tâches à accomplir. Il existe un déséquilibre des connaissances entre les escrocs numériques et leurs victimes potentielles. C’est pourquoi le travail est contre.

L’éducation et la formation sont un moyen de prévenir le personnel contre le risque de subir ce type de manipulation. Les formations de sensibilisation à la sécurité évitent souvent d’embourber les employés avec du jargon de sécurité, ce qui semble être une bonne idée. Les employés et techniciens non techniques ne devraient normalement pas être obligés de devenir des experts en sécurité. Mais dans le domaine de la protection de l’ingénierie sociale, connaître le jargon est l’un des outils les plus puissants dont nous disposons pour former le personnel.

La raison en est que les définitions de ces termes contiennent les méthodes. Connaître les mots, c’est s’attendre aux attaques – ou les reconnaître quand elles se produisent. Il est temps d’intégrer l’apprentissage et la mémorisation du jargon de l’ingénierie sociale à chaque session de formation à la sécurité. En apprenant ces mots, les employés apprendront également à ne pas devenir la proie d’attaques d’ingénierie sociale.

Vocabulaire d’ingénierie sociale à ajouter à votre prochaine formation en sécurité

Voici le vocabulaire de base que tous les membres de votre organisation doivent connaître.

Phishing
Terme générique désignant toute tentative frauduleuse d’obtenir des informations en agissant comme une personne ou une organisation digne de confiance sur tout support de communication électronique, généralement par courrier électronique.

Le smishing
Lorsque la tentative a lieu par message texte, cela s’appelle smishing. Le smishing peut être efficace, car certains utilisateurs font davantage confiance aux SMS qu’aux email.

Vishing
Vishing survient lorsqu’un attaquant utilise un appel téléphonique pour amener ses victimes à donner des informations sensibles telles que des mots de passe. Les auteurs de ce crime utilisent généralement les appels VoIP (Voice over Internet Protocol) et se présentent sous un faux prétexte en tant qu’employés d’une banque ou d’une autre organisation.

Phishing en vrac
Cette attaque de base envoie un grand nombre de personnes avec des messages génériques qui renvoient vers un grand nombre d’URL frauduleuses différentes dans l’espoir d’inciter un faible pourcentage de destinataires à renoncer à des informations confidentielles. Si certaines des URL sont fermées, d’autres restent.

Spear Phishing
Au lieu de spammer un grand nombre de messages génériques, les campagnes de spear phishing envoient un petit nombre de messages personnalisés contenant un contenu reconnaissable ou pertinent à un nombre restreint de personnes. Cela nécessite une certaine connaissance de la cible pour la personnalisation. La version la plus évidente consiste à envoyer des courriers électroniques à des membres d’une société et à les faire apparaître comme s’ils provenaient d’une autre personne de la même société. Plus l’attaque est ciblée et spécifique, plus elle peut être efficace.

 Snowshoe Attack
Snowshoe Attack est un procédé qui consiste à envoyer de petits courriels semi-ciblés par lots suffisamment petits pour tomber sous le seuil de déclenchement des filtres anti-spam, mais suffisamment gros pour permettre l’envoi massif de courriels. Les attaques en raquettes utilisent un grand nombre d’adresses IP d’expéditeurs, avec un faible nombre de courriels par adresse IP. Le terme raquette fait référence à une technique de spam, qu’il s’agisse d’une attaque de phishing ou de la publicité indésirable.

Hailstorm Attack
Au lieu de passer sous le radar pour éviter de déclencher des filtres anti-spam, les Hailstorm Attacks tentent de battre les filtres anti-spam, en lançant simultanément un grand nombre d’emails pour intercepter les filtres anti-spam, ce qui consiste essentiellement à terminer l’envoi avant que les filtres n’aient le temps de répondre.

Clone Phishing
Avec cette technique, un e-mail légitime – provenant d’une institution financière ou d’une entité gouvernementale par exemple – est copié presque intégralement, avec des graphiques, mais généralement avec les liens modifiés en URL malveillantes.

Pêche à la baleine
Les attaques à la baleine visent les principaux employés, tels que les PDG, les directeurs financiers ou les directeurs informatiques. Ce type d’attaque peut être attrayant pour les cybercriminels, car davantage d’informations sont disponibles publiquement sur ces cibles très médiatisées et elles ont tendance à avoir davantage accès à des informations sensibles dans une entreprise.

Tabnabbing
L’idée simple derrière la tabulation tabulaire est qu’en usurpant le contenu et en dirigeant les utilisateurs vers de faux sites, ils entreront des noms d’utilisateur et des mots de passe, qui pourront ensuite être utilisés par les auteurs pour se connecter aux vrais sites. On l’appelle tabnabbing car elle exploite la tendance des utilisateurs à ouvrir de nombreux onglets. En ouvrant un nouvel onglet sur un site malveillant qui affiche uniquement un formulaire de nom d’utilisateur et de mot de passe, l’utilisateur peut supposer que l’un de ses onglets légitimes a simplement expiré et qu’il peut entrer les informations d’identification pour se reconnecter.

Phishing en session
Comme indiqué ci-dessus, les utilisateurs ont généralement plusieurs onglets ouverts lorsqu’ils utilisent leur navigateur. Les messages contextuels apparaissent et pourraient théoriquement provenir de n’importe quel des onglets ouverts. Les cybercriminels peuvent dans certains cas utiliser cette combinaison de circonstances pour lancer une fenêtre contextuelle à partir d’un onglet qui semble provenir d’un autre. Par exemple, supposons qu’un utilisateur ait ouvert une douzaine d’onglets: l’un est un site de jeu, l’autre est un site de banque. Un code malveillant sur le site de jeu pourrait détecter le site bancaire et lancer une fenêtre contextuelle qui parodierait le site bancaire, demandant entre autres des informations de connexion. Cette attaque pourrait fonctionner de manière moins ciblée même sans connaissance du site spécifique dans l’autre onglet. Une pop-up générique pourrait tromper suffisamment d’utilisateurs pour que cela vaille la peine pour des acteurs malveillants.

Tabnabbing inversé
Similaire à tabnabbing, l’inversion tabnabbing consiste à remplacer une page légitime ouverte dans un onglet par une version frauduleuse placée dans le même onglet. Cette fausse page arrive à expiration, nécessitant le nom d’utilisateur et le mot de passe, qui sont ensuite volés.

Usurpation de courrier électronique
Cette pratique implique de forger un en-tête de courrier électronique pour donner l’impression qu’un courrier électronique provient d’une source légitime ou conviviale. Cette technique peut également être utilisée pour échapper aux filtres anti-spam ou dans le cadre d’un système de vol d’identité.

Contrefaçon de site Web
La falsification de site Web implique soit un site Web fictif, mais d’apparence légitime, soit une réplique frauduleuse d’un site légitime pour inciter les utilisateurs à renoncer à des informations sensibles.

Manipulation de lien
Il s’agit d’un terme générique qui couvre toute tentative de masquer des URL ou de tromper les utilisateurs en leur faisant croire à tort qu’une URL frauduleuse est légitime.

Lien masqué
Les utilisateurs ne peuvent pas détecter une URL suspecte s’ils ne peuvent pas la voir. C’est pourquoi les phishers cachent souvent les URL en envoyant des courriels HTML, l’URL étant activée par le lien hypertexte (les liens hypertexte contenant les mots appropriés renvoient aux mauvais sites Web). Des URL malveillantes peuvent également être masquées à l’aide de raccourcisseurs d’URL ou de fichiers PDF.

Typosquattage
Les cybercriminels enregistrent depuis longtemps des URL similaires aux URL populaires appartenant aux grandes marques, dans l’espoir que quelqu’un mal orthographiera l’URL souhaitée et atterrira sur la leur. Les étiquettes associées à cette idée simple incluent le détournement d’URL, les fausses URL, le cybersquattage et le brandjacking. Les URL comportant des fautes de frappe subtiles sont également utilisées dans les attaques par hameçonnage, car les victimes peuvent ne pas remarquer les fautes d’orthographe et cliquer avec confiance.

Attaque par Homographe
Les noms de domaine peuvent utiliser plusieurs alphabets. Certaines lettres de différents alphabets semblent identiques. Une attaque par homographe est une attaque qui exploite ce fait pour créer une URL frauduleuse qui semble parfaitement légitime. Par exemple, en utilisant une lettre cyrillique «A» minuscule au lieu d’un «A» minuscule de l’alphabet anglais, une URL apparaît comme si elle était tout en anglais, mais était visualisée par le système de noms de domaine sous une autre adresse. Les institutions financières portant la lettre «A», telles que Bank of America ou PayPal, sont fréquemment victimes d’attaques à l’homographe.

Connaître les noms, prévenir les attaques

En raison de la prévalence du phishing et d’autres attaques d’ingénierie sociale, il est essentiel de garder une longueur d’avance sur les escrocs disposant d’outils de sécurité avancés et / ou de services de sécurité gérés.

La formation est l’autre composante nécessaire. Lors de la formation des employés à la cybersécurité, essayez d’éviter le jargon et parlez en termes simples pour que tout le monde puisse comprendre. Mais lorsqu’il s’agit de formation en ingénierie sociale, assurez-vous que chaque employé apprenne le nom d’attaques spécifiques. Oui, sensibilisez-vous avec des simulations d’hameçonnage et d’autres exercices intelligents, mais enseignez également le vocabulaire. Connaître les noms, c’est connaître les attaques, et connaître les attaques, c’est les reconnaître lorsque vous êtes la cible.