Explication des techniques d’ingénierie sociale dans le domaine des technologies de l’information : comment se défendre contre le vol de données et reconnaître la tromperie et la fraude
Du point de vue de l’ingénierie sociale, la personne elle-même est le maillon faible de la chaîne des mesures de sécurité.
Les êtres humains sont non seulement susceptibles de commettre des erreurs, mais aussi d’être la cible d’attaques ciblées de la part d’individus qui espèrent les persuader d’abandonner des informations sensibles.
Il devient alors intéressant de voir quelles sont les principales techniques sociales utilisées pour tromper et frauder et, surtout, comment se protéger dans la vie quotidienne contre la tromperie, en utilisant un ordinateur sur Internet.
L’ingénierie sociale est l’acte de manipuler une personne pour accéder à ses données sensibles et est l’un des principaux crimes informatiques et crimes via Internet.
La différence entre les attaques d’ingénierie sociale et, par exemple, un pirate essayant d’accéder à un site Web protégé est le choix des outils utilisés.
Un pirate informatique est un technicien informatique qui recherche les points faibles des logiciels tandis qu’un ingénieur social utilise principalement des techniques psychologiques pour forcer la victime à donner son consentement à partager des renseignements personnels.
Puisqu’il est question ici d’Internet, il est évident que ce type d’attaque ne provient pas d’un individu identifiable.
L’attaque peut être conçue à l’aide d’outils tels que le courrier électronique, les réseaux sociaux, les chats et le téléphone.
La technique de vol de données et de tromperie de loin la plus utilisée est phishing.
En utilisant le courrier électronique, vous essayez de convaincre la victime de partager un mot de passe avec elle par peur (par exemple : votre compte en ligne sera désactivé si vous n’entrez pas votre mot de passe sur cette page) ou en faisant de fausses promesses (félicitations, vous avez gagné…).
Dans le guide sur la sécurité en ligne contre les pirates, l’hameçonnage et les cybercriminels on explique comment se défendre contre l’hameçonnage à partir d’autres techniques de piratage qui, aujourd’hui, sont devenus beaucoup plus malins et malins.
Une variante de phishing est par téléphone qui est basée sur le même principe bien que beaucoup plus rare (en France) et difficile à mettre en œuvre.
Par courriel, vous demandez à la personne d’appeler un numéro et, verbalement, de communiquer des données comme le numéro de carte de crédit ou les mots de passe pour accéder au compte bancaire.
Une autre technique très intelligente pour voler des données et se livrer à des escroqueries est l’appât qui fonde son succès sur la plus grande faiblesse ou force de la nature humaine, la curiosité.
Par exemple, vous pouvez trouver une clé USB au sol ou un CD avec une jolie étiquette d’invitation, qui cache un virus qui peut être utilisé par le fraudeur pour accéder secrètement et espionner l’ordinateur de la victime.
D’autres techniques d’ingénierie sociale impliquent certainement Facebook, dont j’ai écrit un article « contre les escroqueries et les déceptions sur Facebook », à partir duquel de nombreux virus se sont propagés avec des annonces et des tromperies comme « voir qui visite votre profil » ou comme « votre photo est publiée, regardez-la en cliquant ici ».
De beaux exemples de l’ingénierie sociale et de la tromperie qui peut être fait par Facebook sont ceux qui sont racontés dans le post sur la façon de voir les profils privés sur Facebook.
La meilleure défense contre ces attaques psychologiques est la conscience que personne ne donne rien pour rien et donc la méfiance envers tout ce qui est inconnu.
Sans exagérer dans la peur, il est important de toujours rester informé de ce qui est offert ou promis et de bien réfléchir avant de donner une réponse, en s’habituant même à reconnaître les tromperies évidentes.
En ce qui concerne les données numériques, il est conseillé de prendre quelques précautions.
Par exemple, si vous devez jeter une clé USB, une carte mémoire, un disque dur ou un ordinateur entier qui ne fonctionne pas, vous devez vous assurer qu’il ne contient pas de fichiers ou données importants ou sensibles tels que des mots de passe, des documents privés ou des photos personnelles.
Si vous jetez un disque, même s’il ne fonctionne pas, il est également conseillé de le détruire et de le casser en morceaux.
Cela semble évident mais il est bon de faire attention à ne jamais laisser votre ordinateur portable sans surveillance et ouvert, non verrouillé avec un mot de passe qui doit être assez fort et complexe.
De plus, en cas de vol de l’ordinateur portable, vous devrez faire très attention à changer immédiatement les mots de passe pour accéder aux différents services Internet stockés dans votre navigateur.
Pour cette raison, des outils tels que password manager sont toujours utiles et puissants pour éviter ce genre de surprises.
Encore plus dangereux sont les smartphones Android, les iPhones et les téléphones portables puissants qui sont utilisés plus que les ordinateurs pour envoyer des e-mails et accéder à des applications web avec des mots de passe stockés.
Ne laissez jamais un téléphone cellulaire sans mot de passe verrouillé et il peut également être conseillé d’installer une alarme antivol dans le téléphone qui le verrouille et efface la mémoire .
Sur les clés USB, faciles à perdre, il est toujours utile d’installer un programme comme TrueCrypt pour protéger les données des clés avec mot de passe ou BitLocker qui protège les disques durs et clés USB.
Si vous trouvez un CD ou une clé USB sur le sol, avant de l’utiliser, n’oubliez pas de le traiter avec la plus grande méfiance et prudence et rappelez-vous qu’une banque ne vous demandera jamais les données d’accès à votre compte par e-mail ou téléphone.
En conclusion, je dirais que, comme dans la vie réelle, même sur Internet et dans l’utilisation des ordinateurs, on peut être manipulé facilement et il est important de garder les yeux ouverts et de rester loin des tentations d’expérimenter sans savoir.
Si vous avez vécu ce type d’attaque psychologique ou trompeuse, faites-nous savoir ce que vous en pensez dans un commentaire ci-dessous.