Les pirates aiment vos actions de médias sociaux. Voici pourquoi.

Les médias sociaux sont devenus une partie indispensable de nos vies modernes. Vous êtes probablement plus connecté à plus de cercles sociaux en ligne que jamais auparavant. Le problème ici est que vous aimez partager, peut-être même un peu trop. Oui, on nous a enseigné que le partage est attentionné, mais le partage excessif entraînera des atteintes à la vie privée et à la sécurité .

Les experts ont mis en garde contre les risques de cette diffusion exagérée de l'information pendant des années. Il y a d'innombrables histoires sur la façon dont l'activité Facebook, par exemple, a bouleversé et détruit la vie des gens en perdant des avantages sociaux (en raison des photos de plage partagées sur Facebook), en perdant des emplois (pour diverses raisons).

Mais les menaces provenant des médias sociaux ne se limitent pas aux seuls patrons, aux employeurs potentiels et aux compagnies d'assurance . Les pirates exploitent également les pages de médias sociaux et utilisent les informations qu'ils y trouvent pour leur propre bénéfice. Ci-dessous, nous discutons certaines des données que les hackers sont après, et ce qu'ils font une fois qu'ils l'ont.

Trouver vos informations d'authentification

Lorsque vous vous inscrivez pour recevoir des services de banques, d'entreprises de télécommunications et d'organismes gouvernementaux (entre autres), vous devez authentifier votre identité. En ligne, cela se fait en fournissant un nom d'utilisateur et un mot de passe, ou parfois un code unique qui est envoyé par SMS à l'appareil mobile de l'utilisateur.

Au téléphone, les utilisateurs authentifient généralement leur identité en répondant à des questions personnelles . Aux États-Unis, les questions d'authentification comprennent habituellement le numéro de sécurité sociale du client, sa date de naissance et son nom de jeune fille, mais peuvent également inclure le nom de votre premier animal, l'école primaire que vous fréquentez ou toute autre information aléatoire.

À quel point pensez-vous qu'il est difficile pour les pirates informatiques de vous fournir ce type d'informations? Eh bien, lorsque vous plagiez constamment des images, des statuts de rencontres et vos plans pour la prochaine fête d'anniversaire de vos enfants sur vos pages de réseaux sociaux (sans même mentionner explicitement votre date de naissance), vous transférez vos données personnelles directement à les hackers sur un plateau d'argent.

Alors peut-être qu'au moins le nom de jeune fille de votre mère restera privé, n'est-ce pas? Probablement pas. Si vous vous connectez avec des membres de la famille en ligne, l'information sur la page de profil de maman est là pour tout voir . Comprendre que Karen est le deuxième prénom de votre mère n'a même pas besoin de compétences de piratage sérieux.

Faire des suppositions éclairées à vos mots de passe

Les pirates peuvent tenter de déchiffrer votre mot de passe en essayant systématiquement un grand nombre de mots de passe potentiels (une méthode connue sous le nom de «force brute») jusqu'à ce que le bon soit trouvé. C'est l'une des raisons pour lesquelles les consommateurs sont encouragés à choisir un mot de passe sophistiqué avec des minuscules, des majuscules, des chiffres et des caractères spéciaux - pour contrecarrer ces scripts de devinettes.

Pour améliorer les chances de trouver le bon mot de passe et de réduire le temps nécessaire pour le faire, les pirates utilisent ce qu'on appelle une «attaque par dictionnaire».

Une attaque par dictionnaire signifie que le script ne devine pas toutes les chaînes possibles (y compris les lettres complètement aléatoires), mais utilise plutôt différents mots d'un dictionnaire. L'attaque est efficace étant donné que la plupart des utilisateurs ne choisissent pas leurs mots de passe au hasard, mais appliquent des mots familiers et des noms faciles à retenir .

Comme illustré sur des émissions comme M. Robot, les médias sociaux peuvent aider les pirates à collecter des mots pour leurs dictionnaires . Les noms des animaux de compagnie et des membres de la famille, votre anniversaire, les anniversaires de vos enfants et votre anniversaire peuvent facilement être extraits de vos profils sociaux et ajoutés au dictionnaire du hacker.

Ces détails personnels se retrouvent le plus souvent dans les mots de passe, ce qui en fait un autre cas où le hacker n'a même pas vraiment besoin de travailler très dur.

Sourcing Adresses email des employés

Pourquoi s'arrêter au simple individu quand il y a d'énormes organisations qui ne demandent qu'à être piratées?

Alors que le piratage dans le réseau interne d'une organisation peut nécessiter une sophistication de piratage et un savoir-faire technique sérieux, la racine de l'organisation n'est pas si différente de celle personnelle: les organisations et les grandes entreprises hébergent également des pages de médias sociaux. de partage excessif .

L'une des méthodes les plus couramment utilisées pour attaquer les organisations consiste à envoyer aux employés des courriels contenant des logiciels malveillants . Une fois que l'employé ouvre la pièce jointe, son ordinateur d'entreprise est infecté par un logiciel malveillant qui ouvre une «porte dérobée» qui permet au pirate de pénétrer dans le réseau interne de l'organisation via la machine infectée .

Naturellement, certains employés de l'organisation seront des cibles plus faciles que d'autres. Par exemple, les administrateurs système, ceux qui exécutent et gèrent l'ensemble du réseau informatique, agissent généralement comme des cibles plus importantes. Si leurs ordinateurs sont infectés, les pirates reçoivent alors les clés du royaume et accèdent à toute l'infrastructure informatique.

À ce stade, vous pouvez probablement deviner où les pirates commencent toute cette entreprise - via les médias sociaux. Les réseaux sociaux peuvent être utilisés pour identifier le type exact d'employés de grande valeur nécessaires pour cette infiltration massive .

En cherchant des personnes qui occupent certains postes dans l'organisation cible, le pirate peut pratiquement trier les employés qui devraient recevoir le logiciel malveillant. Comme la plupart des organisations suivent un "schéma" spécifique d'adresse email (par exemple, l'adresse e-mail d'un employé est son prénom, point, son nom de famille, le domaine de l'organisation), le pirate peut en déduire leur nom.

Les médias sociaux peuvent également aider les pirates à écrire le message électronique qu'ils enverront à l'employé avec le logiciel malveillant. Si l'employé a posté sur sa page de médias sociaux qu'il se rend à une certaine conférence, par exemple, le message électronique pourrait se faire passer pour un message des organisations de la conférence . De cette façon, il y a une plus grande chance que l'employé ne soupçonne pas l'authenticité de l'attachement, et l'ouvre.

Armez-vous d'informations!

Il y a beaucoup plus de risques posés par les médias sociaux qui impliquent une approche d'ingénierie sociale plus proactive par le hacker. Nous n'avons même pas abordé le sujet de ce que les pirates peuvent faire quand ils approchent activement un utilisateur avec un faux profil ou un faux aviateur ou envoient des attaques d'hameçonnage via ces plateformes.

Compte tenu de l'importance des médias sociaux dans votre vie, il serait sage de vous familiariser avec ces menaces. Soyez vigilant sur ce que vous partagez en ligne et familiarisez-vous avec les conséquences de ce partage d'informations .

Note de l'éditeur : Ce billet d'invité est écrit pour Hongkiat.com par Omri Toppol. Omri est le marketing de LogDog . Il est passionné par la technologie, le marketing numérique et aide les utilisateurs en ligne à rester en sécurité.