Montag, 25. Juli 2005

Ingénierie social: il paraît que les professionnels s'attaquent aux gens

Dans le cadre de notre campagne globale de sensibilisation à la Sécurité IT, voici le dernier de nos messages de bonne pratique sur l’«ingénierie sociale».

Il paraît que les professionnels s'attaquent aux gens, les amateurs aux ordinateurs. L'ingénierie sociale est un terme utilisé parmi les hackers pour désigner des techniques qui reposent davantage sur la faiblesse de la nature humaine, que sur celle de logiciels, pour réussir à accéder aux systèmes d'exploitation des ordinateurs. L'objectif du hacker est de piéger les gens en leur faisant révéler des mots de passe et d'autres informations qui peuvent être utilisées pour obtenir l'accès à leurs systèmes ou en compromettre la sécurité. L'ingénierie sociale peut être décrite comme «l'art et la science d'obtenir des gens qu'ils satisfassent à vos désirs».

Comment pourrais-je être «attaqué»?

Le type le plus courant d'attaque d'ingénierie sociale est mené par téléphone. Un hacker appelle et se fait passer pour quelqu'un, souvent à un poste d'autorité et obtient progressivement autant d'informations que possible de la part de l'utilisateur. Un moyen efficace et simple pour un agresseur de compromettre la sécurité d'un système consiste à appeler les utilisateurs, à déclarer être du Help Desk ou de l'assistance de bureau et de demander leurs mots de passe. Un autre moyen par lequel les hackers peuvent obtenir des informations est de prétendre être l'administrateur réseau, d'envoyer des e-mails par le réseau et de demander un mot de passe d'utilisateur pour permettre de régler un problème technique, déclarant avoir besoin de votre nom d'utilisateur et de votre mot de passe pour le résoudre. Il se peut que l'e-mail vous dirige vers un site web qui propose un concours ou une promotion et vous demande des informations liées à votre environnement professionnel.

Comme puis-je me protéger moi et mon employeur contre ceci?
  • Ne divulguez jamais votre mot de passe à quiconque (sauf si vous êtes autorisé à le faire). Tous les utilisateurs légitimes ont leurs propres comptes, et tout administrateur qui a besoin d'effectuer une tâche auprès d'un utilisateur peut le faire en utilisant son propre compte, sans avoir besoin de connaître le mot de passe de l'utilisateur. Des opérations telles que l'attribution d'un nouveau mot de passe ou le déverrouillage d'un compte utilisateur ne nécessitent pas l'utilisation d'un mot de passe.
  • Vérifiez l'identité de tous les appelants.
  • S'assurer que tout visiteur suit la procédure locale d'enregistrement des visiteurs et présente chaque fois l'identification visiteur adéquate.
  • Ne délivrez jamais d'informations confidentielles sur la compagnie. Soyez prudents lorsqu'on vous demande des informations sur d'autres collaborateurs, y compris leurs noms et leurs postes.
  • Ne saisissez jamais rien sur l'ordinateur quand quelqu'un vous dit de le faire à moins d'être sûr qu'il est autorisé à agir ainsi.
  • Faîtes attention aux personnes qui regardent par-dessus votre épaule lorsque vous saisissez votre mot de passe.
  • Ne saisissez les numéros de téléphone internes dans aucun système informatique à moins que ce ne soit pour valider un utilisateur.
  • Ne répondez jamais à des questions d'enquêtes externes par téléphone.
Que puis-je faire si je pense que je suis en train d'être attaqué?

Si vous recevez un appel que vous pensez provenir d'une personne non autorisée, vous devriez agir de la façon suivante:
  • Si le numéro de la personne qui appelle est affiché sur votre téléphone, notez-le
  • Prenez des notes détaillées de la conversation, y compris la date et l'heure
  • Demandez le nom et le numéro de la personne qui appelle
  • Contactez immédiatement vote équipe locale de Sécurité IT - suivez les procédures locales de en cas de problème
  • Avertissez vos collègues d'équipe
Source: «Zurich» Assurances

Samstag, 25. Juni 2005

Social Engineering: Hacker führen Hackangriffe auf Menschen aus

Als Teil der Sensibilisierungskampagne zur weltweiten IT-Sicherheit finden Sie hier die neueste Mitteilung zu den besten Praktiken über «Social Engineering».

Profis führen Hackangriffe auf Menschen aus, Amateure hingegen bearbeiten die Tastatur des Computers. Social Engineering ist ein Begriff, der unter Hackern für Techniken für den Zugang zu Computersystemen verwendet wird, die auf die Schwäche der menschlichen Natur und nicht der Software beruhen. Das Ziel der Hacker besteht darin, Personen auszutricksen, damit sie ihre Passwörter und andere Informationen preisgeben, die für den Zugang zu ihren Systemen oder die Schädigung ihrer Sicherheit verwendet werden können. Social Engineering kann als die Kunst und Wissenschaft beschrieben werden, um Personen dazu zu bewegen, die eigenen Wünsche zu erfüllen.

Wie können Angriffe ausgeführt werden?

Am häufigsten werden Angriffe dieser Art telefonisch ausgeführt. Ein Hacker ruft an und imitiert jemanden, . Häufig tritt er in der Position einer Autorität auf und bringt die Person allmählich dazu, so viele Informationen wie möglich preiszugeben. Telefonanrufe bei Benutzern, bei denen der Hacker vorgibt, ein Mitarbeiter des Helpdesks oder des Informatik-Support zu sein und ihre Passwörter abfragt, sind ein effizienter und einfacher Weg, die Sicherheit eines Systems zu schädigen. Eine weitere Möglichkeit für den Erhalt von Daten besteht darin, dass Hacker vorgeben, der Netzwerkadministrator zu sein, E-Mails über das Netzwerk senden und nach dem Passwort des Benutzers für die Unterstützung bei einem technischen Problem fragen, wobei sie vorgeben, die Anmeldungs-ID und das Passwort zu seiner Lösung zu benötigen. Die E-Mail wird möglicherweise an eine Website mit einem Preisausschreiben oder einer Werbung umgeleitet, bei denen nach Daten in Bezug auf die Arbeitsumgebung gefragt wird.

Wie kann ich mich und meinen Arbeitgeber davor schützen?
  • Geben Sie niemals Ihr Passwort bekannt. Alle berechtigten Benutzer verfügen über ihren eigenen Account und ein Administrator, der für einen Benutzer eine Aufgabe auszuführen hat, kann diese über seinen eigenen Account ohne das Passwort des Benutzers ausführen. Für Aufgaben, wie z. B. die Neueinrichtung des Passworts eines Benutzers ist kein Passwort erforderlich.
  • Überprüfen Sie die Identität aller Anrufer.
  • Stellen Sie sicher, dass alle Besucher das lokale Registrierungsverfahren für Besucher durchlaufen und stets die korrekte Besucheridentifizierung (z. B. Badge) tragen.
  • Geben Sie niemals vertrauliche Geschäftsinformationen preis. Seien Sie vorsichtig, wenn Sie nach Angaben über andere Mitarbeiter gefragt werden, u. a. Namen und Positionen.
  • Geben Sie niemals Daten in den Computer ein, wenn Sie jemand dazu auffordert, sofern Sie sich nicht sicher sind, dass die Person dazu befugt ist.
  • Achten Sie auf Personen, die Ihnen bei der Eingabe Ihres Passwortes über die Schulter schauen.
  • Geben Sie nicht die Einwahlnummer für ein Computersystem bekannt, sofern es sich nicht um berechtigte Benutzer handelt.
  • Beantworten Sie niemals die Fragen von externen Telefonumfragen.

Was ist zu tun, wenn Sie Ihrer Einschätzung nach einem Angriff ausgesetzt sind?

Wenn Sie einen Anruf von einer ihres Erachtens nicht befugten Person erhalten, sollten Sie wie folgt vorgehen:
  • Wird die Nummer des Anrufers auf Ihrem Telefon angezeigt, schreiben Sie diese auf.
  • Machen Sie ausführliche Notizen über das Gespräch, einschliesslich Datum und Uhrzeit.
  • Fragen Sie nach dem Namen und der Nummer des Anrufers.
  • Nehmen Sie umgehend Kontakt mit Ihrem IT-Sicherheitsteam vor Ort auf - befolgen Sie die lokalen Verfahren für den Vorfall.
  • Informieren Sie Ihre Kollegen.
Quelle: «Zürich» Versicherung