RÉSUMÉ ANALYTIQUE:
L'ingénierie sociale est l'un des défis de sécurité des réseaux les plus importants et les plus difficiles à relever. En raison de la nature discrète de l'ingénierie sociale, les attaques peuvent se produire sans que personne dans votre organisation ne reconnaisse que quelque chose de trompeur s'est produit.
Les employés tombent encore régulièrement dans le piège des escroqueries d'ingénierie sociale. Cela met en danger votre organisation, car les escroqueries déploient généralement des ransomwares ou infectent autrement les réseaux avec du code malveillant.
Pour les cyberattaquants, l'ingénierie sociale ne nécessite aucun investissement au-delà du coût d'envoi d'un e-mail ou d'un appel téléphonique. L'ingénierie sociale est rentable et comporte un risque minimal, d'où l'attrait. Les fraudeurs d'ingénierie sociale tromperont-ils votre main-d'œuvre?
1. Envoyez des drapeaux rouges par e-mail. Même les employés les plus avertis sont sensibles à l'ingénierie sociale basée sur le courrier électronique en raison de la sophistication des menaces contemporaines. Il existe de nombreux types de drapeaux rouges d'ingénierie sociale basés sur le courrier électronique. Vous trouverez ci-dessous plusieurs éléments courants que vos employés devraient rechercher:
Courriel texte drapeaux rouges. Les employés connaissent souvent la possibilité de cliquer sur un lien malveillant. Cependant, de nombreuses personnes ignorent les meilleures pratiques et cliquent sur des liens s'ils semblent légitimes et logiques. Par exemple:
Un e-mail à un membre du personnel des installations qui semble fournir de manière appropriée une notification sur l'entreprise Amazon.com compte, et cela inclut le faux domaine ‘login-amazon-account[.] com', peut être cliqué.
Courriel expéditeur drapeaux rouges. Les employés peuvent manquer des drapeaux rouges d'ingénierie sociale relatifs à un expéditeur de courrier électronique. Par exemple:
L'adresse e-mail de l'expéditeur peut indiquer ‘jsmith@bankofarnerica.com Une personne sans méfiance peut manquer le fait que la lettre " m "dans l'adresse Web ci-dessus a en fait été remplacée par les lettres" r " et "n", donnant l'illusion que l'e-mail provient d'une source fiable.
Courriel pièce jointe drapeaux rouges. Alors que les employés savent généralement traiter les pièces jointes non sollicitées avec suspicion et prudence, la réalité ne correspond pas à l'intention. Un cyber-attaquant se faisant passer pour une personne importante et fournissant un document juridique attendu depuis longtemps pourrait encore facilement tromper un employé sans méfiance.
2. Drapeaux rouges basés sur le téléphone. Vos employés savent probablement mieux que de divulguer un mot de passe à quelqu'un qui le demande par e-mail. Mais y réfléchiront-ils à deux fois si Aaron du service informatique passe un appel, expliquant calmement et de manière rassurante que l'équipe informatique souhaite vérifier la sécurité des comptes d'un employé donné, et que pour ce faire, elle aura besoin des informations de compte de l'employé?
Les cybercriminels clonent également des voix humaines pour faciliter la fraude. Théoriquement, les cybercriminels pourraient cloner les voix de la haute direction. Dans un exemple particulièrement flagrant d'ingénierie sociale basée sur l'IA, il y a plusieurs années, les cybercriminels ont réussi à voler 35 millions de dollars dans une escroquerie élaborée de clone vocal basée sur le téléphone.
Ne laissez pas vos employés se débrouiller seuls contre les maîtres de la manipulation…
Bien que la prévention des attaques d'ingénierie sociale soit une entreprise complexe, une approche à plusieurs volets peut réduire considérablement les chances que votre entreprise rencontre un coup d'ingénierie sociale réussi. Explorez ces étapes fondamentales à suivre:
1. Promouvoir la sensibilisation des employés. Chaque employé doit connaître la réalité et les dangers de l'ingénierie sociale. Fournir une formation correspondante. Dans le cadre de la formation, informez les employés sur la façon dont les cascades d'ingénierie sociale du monde réel peuvent se dérouler et donnez des exemples sophistiqués.
2. Élaborer des politiques et des procédures solides qui sont conçus pour empêcher l'ingénierie sociale. Par exemple, les organisations devraient informer les employés des attentes en matière de traitement des informations sensibles. Votre organisation peut également souhaiter fournir aux employés des directives concernant les médias sociaux et les éléments à éviter de publier publiquement.
3. Considérez équiper les employés de scripts pour certaines situations; comme les appelants suspects. Vous pourriez également envisager d'offrir aux employés une liste de " questions brûlantes” à écouter lors de conversations suspectes. Demandez aux employés de garder la liste à portée de main de leur espace de travail habituel.
4. Tirer parti du principe du " moindre privilège’ et assurez-vous que les employés n'ont accès qu'aux ressources dont ils ont besoin pour exercer leurs fonctions. Ainsi, dans le cas où un employé de niveau inférieur fournit accidentellement des informations d'identification à un ingénieur social, l'ingénieur social ne pourra pas accéder aux informations au-delà d'un certain niveau d'autorisation.
5. Maintenir un plan de réponse aux incidents. En cas d'attaque d'ingénierie sociale, vous souhaitez disposer d'un plan de réponse aux incidents bien défini. Votre plan doit inclure des informations sur la manière d'enquêter, de contenir et d'atténuer les problèmes liés à l'ingénierie sociale.
6. Effectuez régulièrement des tests de sécurité. Assurez-vous que votre approche de prévention de l'ingénierie sociale est efficace. Tirez parti d'une variété de méthodologies avancées pour identifier les faiblesses de la posture de sécurité.
Pour chaque organisation, l'ingénierie sociale représente l'une des menaces les plus pernicieuses et les moins discutées en matière de sécurité de l'information.
Développez une stratégie de prévention d'ingénierie sociale gagnante qui comprend l'éducation, l'élaboration de politiques, les contrôles de sécurité et plus encore. De plus, assurez-vous de vous tenir au courant des dernières tendances en ingénierie sociale et des solutions de l'industrie.
Pour plus d'informations sur la prévention des tentatives d'ingénierie sociale et des signaux d'alarme d'ingénierie sociale, veuillez consulter CyberTalk.org couverture passée de. Enfin, pour recevoir chaque semaine des informations de pointe sur la cybersécurité, les dernières meilleures pratiques, des analyses d'experts et des interviews exceptionnelles dans votre boîte de réception, veuillez vous inscrire au CyberTalk.org infolettre.
La poste Ces signaux d'alarme d'ingénierie sociale manquent-ils à vos employés? apparu en premier sur CyberTalk.