Ingénierie sociale: l'ennemi insaisissable dans le monde de la cybersécurité

Protéger les informations, les réseaux et les postes de travail de l'entreprise contre les menaces externes et internes en constante évolution est une tâche similaire à tirer sur une cible en mouvement. Et l'ingénierie sociale transforme ce travail en un exploit presque impossible. Les activités visant à "pirater" la conscience humaine, en règle générale, sont invisibles et peuvent pénétrer très profondément dans le système d'entreprise.

Qu'est-ce que l'ingénierie sociale?

Au sens large, ce concept englobe toutes les situations dans lesquelles des criminels jouent sur les caractéristiques de la psyché humaine et manipulent des individus afin qu'ils violent les procédures et protocoles de sécurité habituels. Les attaquants n'essaient pas de pénétrer le réseau de l'entreprise à travers les vulnérabilités du système. Leurs attaques visent des personnes. Et ils partagent eux-mêmes des informations confidentielles qui donnent accès à des bureaux, des systèmes ou des réseaux.

Même si l'organisation dispose des meilleurs systèmes, pare-feu et procédures de cyberdéfense, il se pourrait qu'un jour les cybercriminels parviennent à obtenir des données sensibles importantes.

Structure d'attaque

Une attaque utilisant des méthodes d'ingénierie sociale est toujours pensée et adaptée aux caractéristiques individuelles de la cible de l'attaque, contrairement aux attaques de phishing ordinaires avec des e-mails ou des appels aléatoires de masse à des milliers de personnes. Cela nécessite plus de préparation, mais les chances de succès augmentent considérablement.

Tout d'abord, les attaquants recherchent des informations spécifiques sur l'entreprise cible, sa structure organisationnelle et ses employés. Leurs actions peuvent être dirigées contre les employés de certains départements ou contre toute personne ayant un faible niveau d'accès aux systèmes à travers lesquels vous pouvez atteindre des niveaux supérieurs. L'idée n'est pas de chercher un maillon faible dans le système de sécurité, mais de trouver une personne vulnérable. Jouant sur ses peurs, sa cupidité ou sa curiosité, les attaquants le forcent à rompre le protocole.

Pour ce faire, le criminel recherche des informations dans des sources en ligne et hors ligne et identifie les victimes potentielles. Internet et les médias sociaux ont considérablement simplifié l'accès à ces données.

Les organigrammes constituent donc un bon point de départ pour une action indirecte. Les réseaux sociaux comme LinkedIn et Facebook sont un réservoir d'informations. Par exemple, sur LinkedIn, il est très facile de trouver une liste de personnes travaillant dans une division particulière de l'entreprise. Ensuite, vous pouvez observer leur comportement sur Facebook pour calculer les individus les plus crédules. Après cela, il reste à obtenir leurs coordonnées (adresse e-mail, numéro de téléphone).

Les agresseurs tentent de gagner la confiance de la victime ou de jouer sur les sentiments de peur et de hâte afin que la personne n'ait pas le temps de réfléchir correctement à la situation.

Exemples de scénarios d'attaque:

• En utilisant une fausse adresse d'expéditeur, les attaquants font croire aux gens que la lettre a été envoyée par un cadre supérieur (par exemple, un directeur général), un employé ou un partenaire commercial. Ensuite, le malware est lancé en cliquant sur la pièce jointe ou le lien dans le corps du message. Ou, la lettre énonce une demande de fournir de toute urgence des informations classifiées. Imaginez que vous receviez une lettre du directeur de l'entreprise ou d'un collègue, où il vous demande de partager vos réflexions sur le document ci-joint. Votre première réaction est de télécharger le fichier. Autre exemple: vous avez reçu une lettre d'un fournisseur régulier dans laquelle il se plaignait que ses données d'autorisation ne fonctionnaient pas, et il avait besoin de votre aide pour entrer dans un certain segment du système. Dans cette situation, vous pouvez également avoir un désir impulsif d'aider. Pourquoi pas? En fin de compte, le fournisseur a vraiment accès. Et vous ne voulez guère être la personne qui a interrompu la livraison urgente.
  

• Un employé peut recevoir un «rappel» du «support technique». L'attaquant appelle le groupe d'employés de l'organisation et exprime le désir de collecter des informations sur une demande envoyée à l'équipe de support plus tôt. Il est possible qu'il trouve vraiment la personne qui a envoyé une telle demande ou qui veut simplement aider. Lorsqu'une victime crédule est trouvée, des criminels la trompent en entrant des informations de connexion ou tentent d'installer à distance des logiciels malveillants.
  

• Simulation d'un appel du service informatique concernant une violation d'une politique de sécurité ou une fuite d'informations d'autorisation. La victime est invitée à fournir des informations personnelles pour «réinitialiser le mot de passe», installer un fichier, exécuter une commande ou suivre le lien pour vérifier s'il y a des données dans la liste des mots de passe compromis. En réalité, ces actions entraîneront l'installation de logiciels malveillants.
  

• Un appel d'un «auditeur», «d'un responsable de l'application des lois» ou d'autres représentants du gouvernement qui «ont le droit» d'accéder à des informations sensibles.
  

• Pour convaincre la victime qu'elle appelle d'une certaine entreprise, les criminels utilisent un jargon professionnel spécifique ou des «beats» musicaux téléphoniques.
  

• Les criminels laissent une clé USB avec une marque attrayante («salaire» ou «estimation des coûts») dans un endroit bien en vue dans les locaux de l'entreprise, par exemple, dans un parking, dans un ascenseur ou dans d'autres lieux publics. Un employé qui trouve un lecteur flash peut le transférer au service de sécurité ou, par curiosité, le connecter à son ordinateur de bureau ou à domicile. D'une manière ou d'une autre, les logiciels malveillants intégrés trouveront leur chemin dans le système.
  

• Un attaquant peut pénétrer dans un bâtiment fermé avec un employé possédant une carte-clé. Dans ce cas, le délinquant se comporte comme s'il avait effectivement le droit d'accéder aux lieux. Pour ce faire, il peut mettre un uniforme d'entreprise ou tenir dans ses mains une carte qui ressemble à la vraie.
  

• Les attaquants y ont accès en infectant un groupe spécifique de sites Web auxquels un employé fait confiance. Dans ce cas, ils falsifient des liens en utilisant des noms de domaine qui sont similaires en apparence et en son.
  

• Les attaquants usurpent l'identité de travailleurs techniques, de nettoyeurs ou d'agents de sécurité afin de ne pas attirer trop l'attention pendant le vol d'informations.
  

Pourquoi les attaques d'ingénierie sociale sont-elles plus dangereuses?

L'approche de l'ingénierie sociale est toujours plus complexe que les autres cyberattaques et constitue donc une menace importante. Voici quelques raisons qui rendent l'ingénierie sociale plus dangereuse que les autres attaques:

• Les attaquants essaient toujours de créer une situation complètement naturelle à première vue. Leurs sources semblent fiables. La contrefaçon ne peut être reconnue que si vous êtes constamment en alerte.
  

• Les criminels reçoivent souvent des informations des employés de l'entreprise en dehors de leur lieu de travail, dans un environnement plus détendu et confortable. Par exemple, lors d'une réunion dans un bar, un parc, un centre de remise en forme et d'autres lieux similaires.
  

• Les pare-feu et les mesures de cybersécurité sont inefficaces, car les criminels n'essaient pas d'exploiter une vulnérabilité du logiciel ou du système de l'entreprise. Au lieu de cela, ils incitent les employés ordinaires à faire une erreur, et la pénétration ultérieure dans le système se produit sous le couvert des informations d'identification des utilisateurs légaux.
  

• Si les criminels parviennent à y accéder, l'attaque se poursuit progressivement, en contournant les fonctions possibles de reconnaissance d'une activité anormale. Les attaquants se cachent dans un endroit bien en vue et fusionnent avec le système, étudiant ses points faibles et ses points d'accès pendant un certain temps. Ils s'efforcent de prendre pied, d'étendre leurs capacités, de pénétrer d'autres segments, de collecter et de préparer autant de données que possible pour la transmission à l'extérieur, y compris sous le couvert d'un trafic réseau ordinaire.
  

• Les attaquants détruisent parfois les preuves de leur présence au fur et à mesure qu'ils traversent le système, supprimant les logiciels malveillants des segments où ils ont déjà acquis des informations importantes.
  

• Les attaquants peuvent laisser un point d'entrée caché (la soi-disant porte dérobée), leur permettant de retourner au système à tout moment.
  

• Les attaquants peuvent infiltrer le système via des employés d'organisations externes avec un certain niveau d'accès. Il s'agit, par exemple, de partenaires commerciaux ou de prestataires de services de stockage cloud. Étant donné que l'entreprise ciblée par l'attaque ne peut pas contrôler les procédures de sécurité des partenaires ou des fournisseurs de services, le risque de perte de données augmente. Un exemple frappant est une fuite de données dans le géant de la vente au détail Target.
  

• L'ingénierie sociale est particulièrement dangereuse lorsqu'elle est combinée à une attaque multiplateforme. Le suivi de ces cas est encore plus difficile. L’ordinateur ou l’appareil personnel de la victime est généralement beaucoup moins sécurisé que les réseaux de bureau. Grâce à leur piratage, les logiciels malveillants peuvent également accéder à un ordinateur plus sécurisé et, par le biais de celui-ci, à d'autres parties du système de l'entreprise.
  

• Les outils de protection anti-malware classiques peuvent être inefficaces, car les attaquants ont accès au logiciel autorisé dans le système et l'utilisent pour une pénétration plus poussée.
  

Précautions de sécurité

Les attaques utilisant des méthodes d'ingénierie sociale sont assez sophistiquées et il n'est pas facile de les arrêter ou du moins de les détecter. Comme indiqué précédemment, les systèmes de détection de piratage à cet égard peuvent ne pas être suffisamment efficaces. Cependant, il existe certaines pratiques utiles pour prévenir les attaques:

• Les entreprises devraient régulièrement former leurs employés en les informant des techniques courantes d'ingénierie sociale. Modéliser des situations avec la division des employés en équipes d'intrus et de défense peut être efficace. Dans la mesure du possible, les employés des entreprises partenaires doivent être associés à ce processus.
  

• Il est utile de configurer des passerelles de messagerie et Web sécurisées qui filtrent les liens malveillants.
  

• Les lettres doivent être surveillées et reçues d'un réseau externe non d'entreprise.
  

• Vous pouvez configurer le système de notification pour détecter les noms de domaine similaires au nom de l'entreprise.
  

• Le réseau d'entreprise doit être divisé en éléments distincts. Le contrôle de leur accès doit être resserré et l'autorité ne devrait être accordée qu'en fonction du degré de besoins officiels de l'employé. Lors de la gestion des droits d'accès, le principe de la confiance zéro doit être respecté.
  

• Les systèmes clés contenant des informations importantes et les comptes des employés travaillant avec des données confidentielles doivent être protégés à l'aide d'une authentification à deux ou plusieurs facteurs.
  

• Il est important de minimiser l'accès large et la redondance des pouvoirs.
  

• Il est nécessaire de configurer la surveillance de l'accès aux systèmes, l'analyse des données obtenues et la détermination de l'activité anormale.
  

• Il est nécessaire de vérifier régulièrement le trafic interne pour détecter des tendances anormales afin de détecter une copie lente des données du système. Il convient de noter et d'enquêter sur les situations où un employé ayant accès à certaines données les copie régulièrement après les heures. Ou tel, lorsque les données sont copiées depuis le bureau et que l'employé a déjà quitté les lieux. Les tentatives de collecte d'informations privilégiées doivent également être observées et suivies.
  

• Les listes d'utilisateurs doivent être régulièrement auditées et marquées avec les comptes les plus accessibles, notamment administratifs. Une attention particulière doit être accordée à la vérification Active Directory, car de nombreuses activités malveillantes laissent des traces sur ce système.
  

• Vous devez surveiller les requêtes LDAP anormales ou redondantes. Le renseignement avec leur aide est un élément important des attaques, car les structures de réseau des différentes entreprises sont différentes et les attaquants les étudient séparément. Ce comportement est très différent des modèles de comportement des utilisateurs ordinaires et est facilement reconnaissable.
  

• Il sera utile de limiter la gamme de programmes de confiance pour les serveurs à faibles tâches.
  

• Il est important d'installer de nouveaux correctifs sur tous les postes de travail.
  

• Une évaluation des risques doit être effectuée régulièrement.
  

• L'entreprise devrait avoir élaboré et mis en œuvre des procédures pour que les modifications autorisées soient traitées d'urgence afin de traiter les demandes urgentes de la direction. Tous les employés ayant accès à des informations confidentielles doivent les connaître et connaître leurs dernières versions.
  

• Si une attaque est détectée, des portes dérobées doivent être trouvées et éliminées.
  

Les attaquants doivent faire de sérieux efforts pour coordonner l'attaque. Cependant, il existe de nombreux sites Web et forums en ligne spécialisés sur Internet qui aident les criminels inexpérimentés à améliorer leurs compétences en ingénierie sociale avec des logiciels prêts à l'emploi et des informations théoriques détaillées. Par conséquent, la protection d'une organisation contre de telles activités illégales exigera une activité et une attention accrues. Mais tous les efforts porteront leurs fruits, car c'est un moyen d'éviter des incidents comme ce qui s'est passé dans Target.