Hacks et comptes liés d'ingénierie sociale: comment se protéger contre le vol d'identité

De nos jours, Internet est étroitement lié à la plupart des aspects de notre vie et de notre identité. Presque tout le monde a un profil Facebook, ainsi qu'un compte Twitter, une page LinkedIn, des comptes de vérification en ligne, des comptes de détaillants en ligne et probablement de nombreux anciens profils sur d'autres sites qui ne font que capter la poussière virtuelle. La plupart d'entre nous en sont venus à faire confiance à Internet avec nos informations. Nous sommes convaincus que les entreprises mondiales sophistiquées telles que PayPal, Facebook, Amazon et tous les autres grands noms ne laisseront pas nos informations ouvertes au piratage. Mais la force de réflexion collective des pirates informatiques du monde entier est en train de chercher des moyens nouveaux et novateurs de violer les systèmes de ces entreprises.

Cela a déjà été dit, mais je le répète: la sécurité n’est aussi forte que votre maillon le plus faible. À quel point la chaîne menant à vos informations personnelles est-elle faible? Il existe de nombreuses vulnérabilités à prendre en compte dans votre présence en ligne: certaines dont vous pouvez avoir connaissance et d’autres auxquelles vous n’avez jamais pensé. La protection et la prévention sont des éléments essentiels de votre processus de sécurité en ligne: il est beaucoup plus facile de prévenir un piratage que de réparer les dommages après qu’ils se soient produits.

Qu'est-ce que l'ingénierie sociale?

Dans ce contexte, l'ingénierie sociale est une méthode utilisée pour manipuler les personnes afin qu'elles divulguent des informations personnelles. Un article récent de Mat Honan de Wired explique en détail comment il a été victime d’un piratage de l’ingénierie sociale qui a mis sa vie numérique en échec. Les vulnérabilités du protocole de sécurité d’Amazon et d’Apple ont permis à un pirate d’accéder à une série de comptes de l’écrivain. Le pirate a pu ouvrir une session sur son compte Amazon, qui a fourni une adresse de facturation ainsi que les quatre derniers chiffres d’un numéro de carte de crédit. Cette information était tout ce qui était nécessaire pour convaincre Apple que le pirate informatique était Honan, et lui permettait donc de réinitialiser le mot de passe de l'identifiant Apple. À partir de là, le pirate informatique a eu accès à son compte de messagerie Apple, ce qui a ensuite conduit à son compte Gmail, qui constituait une plaque tournante pour encore plus d'informations en ligne. C'est l'ingénierie sociale au travail. Comment les pirates ont-ils su que M. Honan possédait un compte Amazon n’est pas tout à fait clair, mais la chaîne d’événements qui l’a averti de sa vulnérabilité mérite d’être soulignée:

«Après avoir découvert mon compte [Twitter], les pirates ont effectué des recherches en arrière-plan. Mon compte Twitter est lié à mon site Web personnel, où ils ont trouvé mon adresse Gmail. En devinant que c’était aussi l’adresse e-mail que j’avais utilisée pour Twitter, Phobia [le pirate informatique] est allé sur la page de récupération du compte de Google. Il n’a même pas eu à tenter une guérison. Ce n'était qu'une mission de reconnaissance. Étant donné que l’authentification à deux facteurs de Google n’était pas activée, lorsque Phobia a entré mon adresse Gmail, il a pu consulter le courrier électronique de remplacement que j'avais configuré pour la récupération du compte. Google masque partiellement ces informations, mettant en vedette de nombreux caractères, mais il y avait suffisamment de caractères disponibles, m••••[email protected]. Cagnotte."

Réfléchissez à deux fois aux comptes liés

La chaîne de votre vie numérique commence et finit quelque part, et si une vulnérabilité simple est trouvée, elle sera exploitée. Amazon a depuis affirmé avoir modifié ses procédures de sécurité afin que ce type d’exploitation ne soit plus possible (toutefois, après avoir lu le récit de Wired, j’ai depuis supprimé toutes mes informations d’Amazon et les saisis manuellement à partir de maintenant. Il n’ya pas de trop grande prudence). Apple, d’autre part, n’a pas indiqué qu’elle avait modifié ses politiques de sécurité. Apple a seulement déclaré que ses mesures de sécurité n’avaient pas été suivies à la lettre. Il existe de nombreuses autres sociétés sensibles aux tactiques d'ingénierie sociale, et vos comptes associés leur indiquent par où commencer. Parfois, l'exploit le plus simple peut être votre compte Facebook.

La piste numérique qui ramène à votre vie non numérique

En supposant que votre profil Facebook soit public ou que vous acceptiez les demandes d'amis de personnes que vous ne connaissez pas réellement, votre profil inclut-il votre anniversaire complet? Votre adresse email personnelle, adresse personnelle et numéro de téléphone? Avez-vous des photos d'un vieil animal de la famille où vous les nommez-vous ou êtes-vous ami avec votre mère, qui utilise toujours son nom de jeune fille? Y a-t-il des photos de vous en première année qui affichent le nom de l'école, vous avec votre première petite amie ou votre meilleure amie?

Oui, et pourquoi je pose toutes ces questions personnelles? Eh bien, votre date de naissance et votre adresse peuvent me donner suffisamment d’informations pour commencer à vous faire passer pour d’autres sociétés ou en ligne. Dans certains cas, il se peut que j’aie besoin des quatre derniers chiffres de votre numéro de sécurité sociale, mais ce n’est pas le palliatif que vous croyez. Alors, pourquoi le premier animal de votre famille, le nom de jeune fille de votre mère, votre première école primaire, votre première petite amie ou le nom de votre meilleur ami importent-ils? Ce sont toutes des réponses aux questions de sécurité pour les processus de récupération de compte. Si, à votre insu, j'ai déchiffré votre courrier électronique, mais que mon véritable objectif est votre compte bancaire, j'ai maintenant les réponses à vos questions de sécurité et je peux modifier le mot de passe de votre compte bancaire pour pouvoir y accéder.Pour faire bonne mesure, je vais probablement aussi changer le mot de passe sur votre courriel ou, si j'en ai terminé avec mon exploitation, je peux supprimer complètement le compte. Bien sûr, de nombreux facteurs rendent cette situation idéale et d’autres méthodes peuvent être utilisées pour reprendre votre identité.

Si vous avez des mots de passe faibles comme «bucketKid», par exemple, une attaque par force brute sur votre compte prend environ huit jours pour déchiffrer votre mot de passe (pour plus de détails, comment je le sais dans la section Recommandation). Le simple ajout d’un nombre pour en faire «bucketKid7» ajoute six ans au temps qu’il faudrait à un pirate informatique pour le résoudre.

Il est également possible que vos informations soient exposées en tant que dommage collatéral au piratage d’une autre société. Si vous utilisez le même mot de passe sur plusieurs sites, y compris l’e-mail, il est temps de modifier l’ensemble des mots de passe et d’enquêter sur les dommages éventuels. Maintenant que vous avez les pires scénarios en tête, passons à la meilleure façon de vous protéger.

Notre recommandation de site

Ne jamais utiliser le même mot de passe deux fois! Je sais que vous en avez déjà entendu parler un million de fois et vous pourriez penser qu’il n’est pas pratique d’avoir des dizaines de mots de passe uniques sur de nombreux sites. Eh bien, vous pouvez faire deux choses pour le rendre pratique:

La première est que vous pouvez utiliser un programme pour vous aider à créer et à stocker des mots de passe uniques pour tous vos sites. 1Password est l'un de ces programmes. Lorsque vous vous connectez à l'un de vos profils en ligne, vous pouvez simplement sélectionner le nom de connexion dont vous avez besoin. 1Password vous fournira le mot de passe et vous accordera l'accès. Cependant, vous ne voulez peut-être pas que tous vos mots de passe soient stockés dans une seule base de données, ce qui est une préoccupation valable.

L'option suivante consiste à créer une série de mots de passe associés. Un mot de passe peut être “Treez4Eva” le prochain “Trees4eVer” et ainsi de suite. Se rappeler quel site utilise quelle version peut être un peu délicat, mais c’est faisable et ça vaut vraiment la peine d’essayer. Rappelez-vous que vous pouvez toujours récupérer les mots de passe que vous avez oubliés. Cela peut prendre beaucoup de temps, mais n'oubliez pas que les mots de passe vous empêchent de créer des mots de passe uniques et sécurisés.

Passons maintenant au mot de passe lui-même: vous pouvez utiliser Comment sécurisé est mon mot de passe comme référence pratique pour évaluer votre degré de sécurité. Utilisez toujours des combinaisons alphanumériques avec des majuscules et des caractères spéciaux. Si le site le permet, utilisez également des espaces. "BucketKid" est beaucoup plus sécurisé lorsqu'il est "bu (k3t K! 4 15 r3a!"). Ce mot de passe mettrait 3 milliards de dollars à se fissurer, selon How Secure Is My Password, qui semble tellement faux. Pensez qu’il vous faudrait autant d’années pour mémoriser un mot de passe comme celui-ci, mais réfléchissez à la façon dont vous pouvez utiliser des astuces vis-à-vis de la mémoire pour simplifier le processus. L’exemple ci-dessus se lit comme suit: Si vous souhaitez utiliser le même mot de passe sur plusieurs sites, utilisez le plus fort, comme dans l'exemple ci-dessus, pour les sites que vous utilisez fréquemment, tels que la messagerie électronique. Des mots de passe tels que «parapluie garçon 15 faux» pour d'autres sites que vous n'utilisez pas souvent ou que vous pensez ne pas être aussi sécurisés.

Utilisez toujours la vérification en deux étapes pour tout site qui la prend en charge. Vous souvenez-vous du récit de l'auteur de Wired sur la manière dont il a été piraté parce qu'il n'a pas utilisé la vérification en deux étapes? Ne faites pas la même erreur. Google le soutient, tout comme Yahoo et Facebook. La vérification en deux étapes signifie que lorsque vous vous connectez à votre compte depuis un ordinateur ou une adresse IP non reconnu, vous serez invité à saisir un code qui a été envoyé à votre téléphone. Ce qui est génial, c’est que cela fonctionne également comme système d’alarme pour vos comptes. Si quelqu'un tente d'accéder à votre courrier électronique et que vous recevez soudainement un texte vous fournissant un code de connexion, vous savez qu'il est temps de fermer les portes.

Enfin, si vous avez des préoccupations au sujet de votre sécurité en ligne, cochez Si je change mon mot de passe. Ce site vous permet de saisir votre adresse e-mail et de voir si elle apparaît sur les listes compilées par les pirates après la fissuration d’un site. Ils viennent d'ajouter une nouvelle fonctionnalité dans laquelle vous pouvez stocker votre adresse e-mail et ils la référencent avec toutes les attaques futures.

Tout cela peut sembler aller trop loin et être trop paranoïaque pour vous, mais être paranoïaque sur Internet peut parfois vous protéger. Il existe de nombreuses autres mesures à prendre pour vous protéger, telles que: le cryptage de votre disque dur, la création d’adresses électroniques jetables et de noms pour des sites auxquels vous ne faites pas confiance ou qui font défaut, ainsi que la modification du mot de passe tous les quelques mois. Ce guide doit être considéré comme un tremplin pour vous rendre plus sûr. Si vous ne créez qu'un seul mot de passe fort et enregistrez votre courrier électronique dans la base de données Devrais-je changer mon mot de passe? C’est au moins un bon premier pas pour vous protéger. contre le vol d'identité sur Internet.

Recommandations d'experts

Ryan Disraeli, Vice-président des services anti-fraude chez TeleSign:

«La personne moyenne est extrêmement piratée, mais les pirates cherchent en réalité à attaquer la cible la plus facile. Ce n’est pas différent d’être déconnecté. Un voleur va-t-il voler une maison avec des gardes de sécurité 24 heures sur 24, 7 jours sur 7 ou une maison qui laisse toujours la porte d'entrée ouverte? La réalité est qu'un bon voleur peut toujours voler une maison avec une sécurité superbe, mais préférera poursuivre une victime plus facile.Comme si vous preniez des précautions pour protéger vos biens personnels, les individus doivent rechercher quelques couches de prévention pour protéger leur identité en ligne."

Dodi Glenn, Chef de produit VIPRE Antivirus de GFI Software:

“Traitez votre téléphone intelligent comme un ordinateur. Si vous effectuez une transaction financière sur votre téléphone, les «meilleures pratiques» en matière de sécurité s’appliqueront comme avec un ordinateur. »

Shuman Ghosemajumder, Vice-président de la stratégie chez Shape Security:

«Faites attention à la façon dont vous accédez aux sites Web. S'assurer de la confiance d'un site consiste notamment à vérifier que l'organisation derrière le site Web est réputée. Une autre partie consiste à vous assurer que vous avez confiance en votre connexion à ce site Web. Vous devez vous assurer que l'URL est correcte, que vous y avez accédé directement et que vous n'avez pas cliqué sur un lien provenant d'un courrier électronique, d'une messagerie instantanée ou d'un message instantané non sollicité. Si vous le pouvez, utilisez uniquement vos propres appareils et connexions. Si vous le pouvez, évitez les connexions WiFi publiques et les ordinateurs publics partagés, car il est facile pour les attaquants de renifler le trafic réseau ou d'installer des enregistreurs de frappe pour capturer des mots de passe. Si vous devez utiliser une connexion WiFi publique, assurez-vous de ne soumettre aucun identifiant de connexion ni aucune information personnelle à un site qui n'utilise pas de connexion HTTPS. ”