#FIC2020 [P03] Social Engineering: Hack me if you can
iSpeech.org
Social engineering —which consists of psychological manipulation practices aiming to exploit a user’s vulnerabilities and make humans the weakest link of cybersecurity— is at the heart of a growing number of targeted or mass attacks. For instance, the FBI believes that from 2013 to 2017, social engineering hacks entailed a total cost of 1.6 billion dollars for American companies. Such attacks relied on breaches of trust: instead of targeting information systems, attackers target humans, who are fallible and sometimes even good-hearted. Which methods and cognitive biases do they use? Phishing, spear phishing, baiting, tailgating, etc.: how do attackers keep adapting breaches of trust to exploit any vulnerability caused by the growing digitisation of human relations? Contrary to popular belief, naive people aren’t the only victims as attacks get even more sophisticated… Which technical solutions are available to counter them? Which strategies should be used at the human level in terms of education, training and awareness raising? Can the attack surface be reduced by narrowing the data we exhibit online, more or less willingly? Humans are the weakest link but can indeed become the strongest link and best defence…
Ingénierie sociale : hack moi si tu peux
Ensemble de pratiques de manipulation psychologique visant à exploiter les vulnérabilités de l’utilisateur pour faire du facteur humain le maillon faible de la cybersécurité, l’ingénierie sociale est au cœur d’un nombre croissant d’attaques, tant ciblées que massives. En 2017, le FBI estimait par exemple que le cumul des coûts de piratage par ingénierie sociale depuis 2013 s’élevait à 1,6 milliard de dollars pour les entreprises américaines. Au cœur de ces attaques : l’abus de confiance. La cible des attaquants n’est pas tant le système d’information lui-même que l’humain, faillible et parfois même bienveillant. Quelles sont les techniques et les biais cognitifs utilisés ? Phishing (hameçonnage), spear phishing (harponnage), baiting (appâtage), tailgaiting (talonnage) etc. : comment les attaquants revisitent-ils en permanence l’abus de confiance pour exploiter les moindres vulnérabilités engendrées par la dématéralisation croissante des relations humaines ? Contrairement à une idée bien répandue, il n’y a pas que les naïfs qui s’y font prendre tant les attaques deviennent sophistiquées… Quelles solutions au plan technique ? Quelles réponses au plan humain en termes de formation, d’entrainement, de sensibilisation ? Est-il aussi possible de limiter sa surface d’exposition en réduisant les données que l’on expose plus ou moins volontairement sur la toile ? Maillon faible, l’Homme peut en effet devenir également le maillon fort et le meilleur rempart…
source
Gloss