L’ingénierie sociale est définie comme «une méthode d’intrusion non technique utilisée par les pirates, qui repose en grande partie sur les interactions humaines et qui consiste souvent à amener les gens à enfreindre les procédures de sécurité normales. C'est l'une des plus grandes menaces auxquelles les organisations sont confrontées aujourd'hui. "
Lorsque la plupart d'entre nous pensent aux attaques d'ingénierie sociale, nous imaginons probablement des personnes se faisant passer pour des inspecteurs, essayant d'accéder aux zones restreintes. Nous pourrions également imaginer un pirate informatique appelant quelqu'un prétendant faire partie du support technique et essayant d'amener un utilisateur crédule à fournir son mot de passe ou d'autres informations personnelles pouvant être utiles à un pirate informatique.
Ces attaques classiques ont été vues à la télévision et au cinéma depuis des décennies. Cependant, les ingénieurs sociaux font constamment évoluer leurs méthodes et leurs vecteurs d’attaque et en développent de nouveaux. Généralement, ils s'appuient sur une motivation très puissante: la curiosité humaine.
Comment fonctionne la route Apple Attack
Une de ces attaques, en particulier, porte plusieurs noms, mais elle est généralement appelée attaque «Road Apple». L'origine du nom n'est pas claire mais l'attaque est assez simple. C’est fondamentalement une attaque classique avec un type de cheval de Troie.
Dans une attaque Road Apple, un pirate informatique prend généralement plusieurs clés USB, CD inscriptibles, DVD, etc., et les infecte par un programme malveillant, notamment des rootkits de type cheval de Troie. Ils dispersent ensuite les lecteurs / disques infectés dans le parking de l'emplacement ciblé.
Leur espoir est que certains employés curieux de la société ciblée se retrouvent sur le lecteur ou le disque (ou Road Apple) et que leur curiosité de savoir ce qui se trouve sur le lecteur prenne le dessus sur leur sens de la sécurité et qu'ils l'apporteront dans l'installation. , insérez-le dans leur ordinateur et exécutez le programme malveillant en cliquant dessus ou en le faisant s’exécuter automatiquement via la fonctionnalité de lecture automatique du système d’exploitation.
Étant donné que l'employé est probablement connecté à son ordinateur lorsqu'il ouvre le disque ou le lecteur infecté par un programme malveillant, ce dernier est en mesure de contourner le processus d'authentification et aura probablement les mêmes autorisations que l'utilisateur connecté. Il est peu probable que l'utilisateur signale l'incident, de peur de créer des problèmes ou de perdre son emploi.
Certains hackers rendront les choses plus tentantes en écrivant quelque chose sur le disque avec un marqueur, tel que «Salaire des employés et informations de relance 2015» ou quelque chose d'autre qu'un employé de l'entreprise pourrait trouver assez irrésistible pour le mettre dans son ordinateur sans lui en donner une seconde. pensée.
Une fois que le logiciel malveillant est exécuté, le pirate informatique sera probablement appelé au téléphone et lui permettra d’accéder à distance à l’ordinateur de la victime (en fonction du type de logiciel malveillant installé sur le disque ou le lecteur).
Comment prévenir les attaques sur les routes?
Éduquer les utilisateurs: La politique devrait être de ne jamais, jamais, installer le support trouvé sur les lieux. Parfois, les pirates informatiques laisseront même des disques dans les espaces communs. Personne ne devrait jamais faire confiance aux supports ou disques qu’il trouve traîner partout
Ils doivent recevoir pour instruction de toujours restituer tous les lecteurs trouvés au responsable de la sécurité de l'organisation.
Éduquer les administrateurs: En outre, l'administrateur de la sécurité ne doit jamais installer ou charger ces disques sur un ordinateur en réseau. Toute inspection de disques ou de supports inconnus ne doit avoir lieu que sur un ordinateur isolé, non mis en réseau et sur lequel les fichiers de définition de logiciel anti-programme malveillant les plus récents sont chargés. La lecture automatique doit être désactivée et le média doit être soumis à une analyse complète des logiciels malveillants avant l’ouverture des fichiers sur le lecteur. Idéalement, il serait également judicieux de faire analyser également le disque / lecteur par un scanner de logiciels malveillants.
Si un incident se produit, l'ordinateur affecté doit être immédiatement isolé, sauvegardé (si possible), désinfecté, puis effacé et rechargé à partir d'un support approuvé si possible.
