Psychologie des hackers Comprendre les 4 émotions de l’ingénierie sociale Network World

Bien que le savoir-faire technologique joue certainement un rôle important en permettant aux pirates de pirater un système, une entreprise ou un individu, ce qui est souvent négligé, c’est que certaines astuces, comme ingénierie sociale, sont aussi des jeux psychologiques. Cela signifie que la protection et la défense contre ces types d’attaques sont elles aussi mentales.

Il est important que les professionnels de l’informatique comprennent comment les ingénieurs sociaux tirent parti des émotions humaines pour mener à bien leurs attaques. Examinons les quatre humains émotions et les comportements les plus couramment utilisés par les pirates informatiques dans le cadre d’une campagne d’ingénierie sociale, les caractéristiques de campagne distinctes pour chaque émotion manipulée et certaines considérations clés pour mieux positionner vos employés et votre organisation contre ces types d’attaques à l’avenir.

En tant que l’un de nos motivateurs les plus puissants, la peur est sans doute l’émotion la plus manipulée en matière de campagnes d’ingénierie sociale. Que ce soit sous forme de courrier électronique bidon que votre compte bancaire en ligne a été compromis et nécessite un changement de mot de passe, ou un avis de sécurité bancaire urgent, ces arnaques exploitent une menace spécifique pour le destinataire ou le groupe de destinataires ciblé, ce qui les oblige à agir rapidement pour éviter ou rectifier une situation dangereuse ou douloureuse.

À titre d’exemple, les cybercriminels ont récemment profité de la saison des impôts en recueillant des informations volées auprès de l’IRS pour appeler et menacer les résidents des États-Unis qui demandent des impôts. Après avoir attrapé les victimes au téléphone, les assaillants devenaient immédiatement agressifs, menaçant une action immédiate de la police si de l’argent n’était pas viré sur un faux compte IRS pour rectifier une irrégularité fiscale.

Les escroqueries d’ingénierie sociale qui obéissent à l’obéissance sont souvent déguisées en un courrier électronique, un message instantané ou même un appel téléphonique ou une messagerie vocale émanant d’une personne ou d’un groupe d’autorité supérieure, par exemple Comme nous avons appris très tôt à faire confiance aux autorités, nous ne sommes pas conditionnés à remettre en question la validité de leur correspondance et à suivre leurs instructions, leurs demandes et leurs conseils.

Mais lorsqu’il s’agit de campagnes d’hameçonnage, une confiance innée peut avoir de graves conséquences. Il suffit de demander au géant des fabricants de jouets Mattel, qui a presque 3 millions de dollars à un cybercriminel qui s’est déguisé en PDG de la société dans un courriel adressé à un responsable financier avec l’instruction d’approuver un paiement à un fournisseur en Chine. Bien que cette escroquerie ait eu une fin heureuse pour Mattel, alors que les autorités chinoises ont pu aider à restaurer les fonds, c’est une dure leçon tirée du pouvoir de l’autorité et de l’obéissance en matière d’attaques de phishing.

Dans le cas des campagnes d’exploitation de la cupidité, celles-ci offrent systématiquement une récompense – généralement monétaire – pour effectuer une action spécifique. Un exemple classique est ce que l’on appelle communément l’escroquerie nigériane 419, qui tire son nom des cybercriminels prétendant être un fonctionnaire ou une agence nigériane par téléphone ou par e-mail et promettant une belle récompense pour une petite action ou même une petite somme de argent – tant que la cible partage finalement leur compte bancaire informations pour recevoir la récompense.

En 2013, une victime nigériane victime d’une escroquerie en Australie s’est exprimée à la conférence AusCERT et a révélé qu’elle avait été escroquée de 300 000 dollars sur quatre ans. Comme on dit, l’argent est la source de tous les maux – et dans le cas des campagnes d’hameçonnage, laisser l’avidité l’emporter sur le jugement peut prouver que c’est vrai.

Tous les cybercriminels ne tirent pas parti des tendances humaines négatives pour mener des campagnes d’ingénierie sociale. En fait, le quatrième comportement couramment exploité est la volonté d’aider une autre personne ou un autre groupe. Ces campagnes ciblent souvent le service clientèle ou les services clients, les pirates pariant sur la propension de ces employés à donner un coup de main et à garder les gens heureux les encourageront à divulguer ou à accepter plus d’informations qu’ils ne le devraient.

Prenez la récente porte dérobée du service client Amazon.com récemment divulguée sur Medium, par exemple. Dans ce cas, un pirate a accédé à un client Compte Amazon, et avec juste un nom, un email et une adresse mail incorrecte, a pu vérifier le compte via le chat en ligne avec service client et, à travers une série de questions calculées, obtenir les informations personnelles correctes de sa cible. le pirate finalement obtenu l’accès aux informations de carte de crédit de l’acheteur et effectué un achat via son compte Amazon. Les représentants du support client faisaient simplement leur travail, mais le pirate en question savait comment utiliser leur aide contre eux.

Dans un contexte d’entreprise, comme dans de nombreux aspects de la sécurité, une grande partie de la défense contre l’ingénierie sociale consiste à définir des politiques et à éduquer les employés. Les menaces internes constituent sans doute la menace la plus courante et la plus dangereuse pour la défense d’une organisation. Des recherches récentes ont révélé que les acteurs internes étaient responsables de 43% des violations de données, dont la moitié sont accidentelles et non malveillantes.

Il importe non seulement que les responsables informatiques et les responsables de la sécurité comprennent l’évolution des tactiques des pirates, mais qu’ils ajustent en permanence leurs politiques et partagent leurs connaissances en éduquant leurs collègues et en les formant à faire preuve de vigilance face aux activités néfastes. Par exemple, il faut apprendre aux employés à prendre du recul lorsqu’ils reçoivent, par exemple, un courrier électronique ou un message instantané suspect et à considérer l’émotion provoquée par l’attaque et comment cela pourrait indiquer un acte criminel. Bien qu’il soit évident pour vous, en tant que professionnel de l’informatique, qu’un message électronique inattendu provoquant une réponse émotionnelle ou comportementale urgente – comme la peur, l’obéissance, la cupidité ou la serviabilité – est un drapeau rouge automatique.

Rappelez à vos employés qu’ils peuvent envoyer tous les courriels douteux et communiquer avec le service informatique peut faire beaucoup pour arrêter une arnaque avant qu’elle ne fasse des ravages. Quelle que soit la taille de votre organisation, assurez-vous de faire votre part pour que vos collègues soient une ligne de défense efficace contre l’ingénierie sociale – et surtout, n’oubliez pas psychologie de tout.