Connectez-vous avec nous

Ordinateurs et informatique

Cyber ​​menaces utilisant l'ingénierie sociale

Les humains sont câblés pour se connecter et faire confiance. En tant que nourrissons, notre survie est basée sur l'établissement de liens sociaux afin que nous puissions obtenir nos besoins de base et cette propension se poursuit dans la vie adulte. Ce trait naturel est l'arme la plus efficace pour les acteurs de la cybermenace utilisant l'ingénierie sociale comme vecteur d'attaques, et c'est une arme qui reste particulièrement difficile à combattre.

Les attaquants utilisent l'ingénierie sociale via l'interaction humaine pour exploiter la confiance et manipuler les gens afin qu'ils ignorent ou contournent délibérément les procédures normales de sécurité des terminaux. La nature ciblée des attaques aide également les acteurs menaçants à couvrir leurs traces le plus longtemps possible afin qu'ils puissent atteindre leurs objectifs – souvent, la cible ne se rend pas compte qu'elle a été victime jusqu'à ce que les effets plus larges deviennent perceptibles.

Ces effets peuvent être quelque chose de paralysant infections de logiciels malveillants à une fraude financière majeure affectant les entreprises et les particuliers Et, tout comme d’autres types de cybermenaces, les tactiques des adversaires évoluent constamment.

Catfishing d'entreprise

Récemment, nous avons constaté une augmentation du nombre d'attaquants jouant au long jeu, concevant des campagnes d'ingénierie sociale sur mesure ciblant les utilisateurs d'entreprise sur une longue période afin de les inciter à fournir l'accès à leur réseau d'entreprise afin qu'une charge utile malveillante puisse être livrée. Matt Wixey de PwC, qui a mené des recherches sur ce phénomène, l'a surnommé «Remote Social Social Engineering» ou ROSE.

Contrairement à une attaque de phishing classique, qui repose sur des cibles qui ne parviennent pas à repérer une adresse e-mail usurpée dans le feu de l'action, ROSE se concentre sur la construction de la crédibilité avec la cible, de la même manière que les tactiques employées dans la pêche au chat, mais sans les connotations romantiques. La campagne est construite autour de recherches approfondies sur la personnalité, les intérêts et les activités de la cible et est conçue pour contourner les filtres qui pourraient autrement mettre la victime sur ses gardes.

La crédibilité se construit par la création de fausses personnalités présentes sur plusieurs plateformes de médias sociaux auxquelles la cible fait confiance, comme LinkedIn. La personne s'engage avec la cible au fil du temps, utilisant souvent des tactiques de renforcement de la confiance comme semblant faire partie de groupes sociaux similaires tels qu'une entreprise ou un ancien universitaire. Une fois la confiance établie, l'acteur de la menace trouve un moyen d'introduire un fichier infecté par le biais du courrier électronique professionnel de la cible, ce qui les amène à diffuser sans le vouloir des logiciels malveillants sur le réseau de l'entreprise. Alors que l'infection par des logiciels malveillants semble être la motivation la plus courante à l'heure actuelle, de telles tactiques pourraient également être utilisées pour l'extorsion ou pour recruter des victimes dans des activités telles que le blanchiment d'argent.

ROSE représente un risque important et difficile à détecter. Pour la plupart des organisations, la première indication qu'un employé a été la cible d'une ingénierie sociale étendue sera lorsque la surveillance du réseau contrôle l'exécution des logiciels malveillants – à ce stade, l '«attaque» est probablement en cours depuis un temps considérable.

Un défi majeur pour les défenseurs des entreprises provient de la prolifération de faux profils sur les plateformes de médias sociaux, y compris ceux fréquentés par les employés et souvent utilisés à des fins commerciales légitimes. Les faux profils peuvent être très convaincants, surtout s'ils démontrent un long historique de compte et des conversations avec d'autres profils. Les employés doivent être éduqués pour rechercher plus en profondeur les preuves des réclamations d'une connexion. Par exemple, montrent-ils une connaissance indépendante d'événements, de lieux ou d'institutions apparemment partagés? Ils devraient également être tenus de «mettre en bac à sable» les communications avec des connaissances des réseaux sociaux en n'interagissant pas avec les e-mails de l'entreprise. Tout écart par rapport à ces politiques devrait immédiatement déclencher un drapeau rouge.

Les attaques de phishing persistent

Les attaques de phishing «classiques» restent un problème majeur pour les entreprises, car leur volume élevé augmente les chances de réussite de certaines d'entre elles. Le problème devient particulièrement répandu pendant la période des fêtes. La flambée des achats des consommateurs incite les acteurs à créer de faux sites commerciaux convaincants et à annoncer des remises envoyées via des e-mails de phishing conçus pour attirer le consommateur involontaire, souvent soumis à des contraintes de temps.

L'augmentation de la fraude aux remboursements, qui continue d'être une source majeure de perte de revenus pour les détaillants, est liée aux volumes élevés des ventes des Fêtes. Ici, les acteurs de la menace achètent des marchandises et affirment à tort qu’elles n’ont pas été livrées ou sont défectueuses, en s'appuyant sur leurs compétences en ingénierie sociale pour convaincre l’équipe du service client du détaillant qu’elles doivent rembourser. Les fraudeurs peuvent également utiliser de faux reçus pour demander un remboursement, bien qu'ils n'aient jamais acheté un produit en premier lieu.

Construisez une défense hybride contre l'ingénierie sociale

L'atténuation du risque de fraude par ingénierie sociale nécessite une combinaison d'outils automatisés basés sur des signatures et des indicateurs et une formation des employés, mise en œuvre parallèlement à une compréhension du contexte dans lequel les menaces sont développées et déployées. Ce contexte varie tout le temps; par exemple, votre entreprise est peut-être impliquée dans des activités de fusion et d'acquisition et les acteurs des menaces souhaitent glaner des informations d'initiés. Cela pourrait exposer les employés à un risque accru de phishing ou de tentatives ROSE. L'intelligence d'affaires peut fournir des risques dans le contexte et aider à orienter le programme de protection d'une organisation en conséquence.

Ni l'automatisation ni l'éducation ne peuvent réussir à réduire les risques à elles seules, et les deux nécessitent que les équipes de sécurité restent à jour avec les dernières tactiques d'ingénierie sociale et de phishing pour fournir un contexte essentiel autour de l'environnement d'attaque. Par exemple, dans le cas d'une fraude au remboursement, il est important de connaître les informations sur les menaces liées à l'évolution des tactiques, telles que les générateurs de numéros de série sur les reçus frauduleux, et d'aider les équipes du service client à rester attentif aux indicateurs qu'une demande de remboursement n'est pas authentique.

D'un point de vue technique, les outils automatisés qui capturent les tentatives de phishing, tels que le blocage des adresses e-mail usurpées connues et la reconnaissance des indicateurs de compromis, réduisent la quantité de mails de phishing qui atteignent les boîtes de réception des employés. Cependant, certains y parviendront toujours, et les outils automatisés ne peuvent pas détecter les attaquants qui sont «invités» par des victimes d'escroqueries à distance par ingénierie sociale en ligne. La formation continue des employés, la formation à la cybersécurité et les discussions ouvertes sur les risques et les tactiques utilisés dans les campagnes d'ingénierie sociale comblent le fossé entre ce que les outils automatisés peuvent bloquer et ce qu'ils ne peuvent pas, réduisant ainsi le risque global de réussite des attaques.

En fin de compte, les attaques d'ingénierie sociale reposent sur l'exploitation de la nature humaine, et il n'existe aucune solution technique ou automatisée efficace à 100% contre une attaque qui s'attaque aux vulnérabilités des individus. Chez Flashpoint, nous analysons l'intelligence économique des risques autour des dernières tactiques d'ingénierie sociale pour mieux comprendre le contexte dans lequel les menaces sont développées et déployées. Cela nous permet d'adapter nos programmes de formation technique et des employés pour les organisations, en conséquence. Grâce à des programmes robustes et opportuns, les organisations ont la possibilité de déclencher des avertissements qui inciteront les employés et les consommateurs à réfléchir à deux fois avant qu'ils – et le réseau d'entreprise – ne soient victimes.

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES