De nombreux sites Web et applications posent des questions de sécurité lors de votre première inscription. Ensuite, ils utilisent les réponses que vous fournissez pour vérifier votre identité chaque fois que vous demandez à changer un mot de passe perdu. Mais les cyberattaquants trouvent souvent des moyens de contourner les questions de sécurité.
Comment déroulent-ils vos réponses secrètes et accèdent-ils à votre compte? Comment contournent-ils ces questions pour pirater vos profils ?
Un aspect négatif des médias sociaux est qu'il est difficile de dire qui est réel. Il n'est pas inhabituel pour les cybercriminels de l'utiliser pour tromper les victimes afin qu'elles révèlent leurs réponses aux questions de sécurité.
Un moyen courant pour les pirates informatiques d'y parvenir est de se présenter en tant qu'amis ou abonnés de leurs victimes sur les plateformes de médias sociaux comme Facebook, LinkedIn, Instagram ou Twitter. Utilisant des formes de manipulation psychosociale, ils trompent une victime pour qu'elle lui fasse confiance. C'est un autre niveau d'ingénierie sociale.
Une fois qu'un cyberattaquant se lie d'amitié avec sa cible sur les réseaux sociaux, il discute avec la victime et divulgue d'abord de fausses informations sur lui-même pour paraître digne de confiance. Dans ce qui ressemble plus à l'un de ceux arnaques aux applications de rencontres, ils engagent des conversations sur les intérêts et les goûts de la victime.
Parfois, l'agresseur peut faire semblant de partager les mêmes intérêts, passe-temps et goûts avec une victime, qui pourrait finissent par partager des informations secrètes sans le savoir - ce qui, bien sûr, est susceptible d'inclure des réponses à la sécurité des questions. Cela peut aller de ceux qu'ils utilisent pour accéder aux ressources du lieu de travail à ceux utilisés pour les achats en ligne ou d'autres transactions en ligne sensibles.
2. Hameçonnage
Phishing et ingénierie sociale vont de pair. Le phishing se produit lorsque le pirate se présente comme quelqu'un de différent, c'est-à-dire un faux personnage. Par exemple, un attaquant peut vous dire dans un appel, un SMS ou un e-mail qu'il représente la société qui détient l'un de vos profils.
Ils peuvent vous demander de répondre à certaines questions dans un délai donné pour renforcer votre sécurité. Ou ils peuvent même vous envoyer un lien vers un formulaire en ligne, principalement une fausse réplique du site Web d'origine avec lequel vous avez un profil. Il y a même des cas où des pirates demandent à leurs victimes de remplir des formulaires Google ou tout autre questionnaire en ligne sous prétexte qu'ils mènent des recherches.
Les pirates utilisent souvent cette technique pour exploiter des individus moins avertis en matière de sécurité. Bien sûr, une fois qu'ils ont obtenu les informations requises, il devient facile de contourner les questions de sécurité et d'obtenir un contrôle illimité du compte de la cible.
3. Informations de vos profils en ligne
Bien que les questions de sécurité soient censées être privées et connues de vous seul, vous avez probablement laissé de nombreux indices sur leurs réponses partout sur Internet. Un pirate informatique peut facilement déchiffrer les réponses à vos questions de sécurité si vous laissez souvent des informations sensibles vous concernant sur vos profils de réseaux sociaux.
Cette technique implique généralement que le pirate effectue des recherches intensives sur vos informations en ligne. Pour ce faire, ils vous recherchent sur des moteurs de recherche comme Google et vérifient vos identifiants de médias sociaux, y compris LinkedIn, Facebook, Twitter, Instagram, et plus encore, pour autant d'indices qu'ils peuvent saisir.
La fois où vous avez répondu à une blague sur Facebook en associant le nom de jeune fille de votre mère au nom de votre premier animal de compagnie? C'est vraiment utile pour les cybercriminels.
À ce stade, l'attaquant revient aux questions de sécurité pour y répondre en fonction des informations qu'il recueille à partir de vos profils publics.
4. Force brute
Bien que les pirates informatiques utiliser des attaques par force brute pour déchiffrer les mots de passe, rien ne les empêche de faire de même avec les questions de sécurité. Alors que le forçage manuel prend du temps et de la patience, les algorithmes modernes de forçage brutal simplifient le processus.
De plus, tout en craquant les questions de sécurité, un cyberattaquant n'a besoin de se concentrer que sur les combinaisons de mots plutôt que sur la manipulation de caractères comme c'est le cas avec les mots de passe. Cela rend les questions de sécurité moins difficiles à déchiffrer car il est facile de faire des entrées significatives en combinant différents mots.
De plus, une fois que le pirate connaît les questions posées par un site Web, il lui suffit de forcer brutalement toutes les réponses possibles spécifiques à une victime. Vous pourriez penser que c'est plus difficile pour le pirate si le site Web permet uniquement aux utilisateurs de générer leurs questions. Malheureusement, c'est loin d'être vrai, car les questions générées par les utilisateurs sont souvent moins sécurisées. Par conséquent, les réponses sont probablement plus faciles à deviner.
Comment rester en sécurité
Vous avez donc vu comment les cyberattaquants peuvent contourner vos questions de sécurité et accéder à votre compte. Mais comment pouvez-vous rester en sécurité en ligne? Voici quelques points qui peuvent vous aider.
1. Utiliser l'authentification à deux facteurs
Bien que les pirates puissent contourner l'authentification à deux facteurs, il est souvent plus technique de se fissurer que de poser des questions de sécurité. De plus, le combiner avec des questions de sécurité renforce encore votre compte. Une telle fusion de protocoles de sécurité laisse un attaquant avec des énigmes plus délicates à résoudre. Dans de tels cas, ils ont tendance à abandonner avant longtemps.
Vous avez de la chance si votre fournisseur de services prend en charge les deux méthodes. Mais sinon, il existe de nombreux tiers fournisseurs d'authentification à deux facteurs là-bas.
2. Évitez d'utiliser des questions et réponses génériques
De nombreuses questions de sécurité sont faciles à deviner car les victimes fournissent souvent des réponses génériques. La situation s'aggrave lorsqu'un site Web ou une application permet aux utilisateurs de générer leurs propres questions de sécurité.
Les réponses à des questions telles que votre passe-temps, votre couleur préférée, votre animal de compagnie, votre film, votre musique ou votre nourriture sont relativement faciles à deviner. Donc, vous voudrez peut-être les éviter. Et pour des questions plus spécifiques comme le nom de jeune fille de votre mère, etc., vous pouvez également essayer de fournir des réponses plus uniques. par exemple, ceux-ci n'ont même pas besoin d'être les bons, mais plutôt quelque chose auquel vous les associez.
S'il est probable que vous oubliez les réponses que vous avez fournies à une question particulière parce qu'elle est unique, vous pouvez les décrire dans un application de note cryptée pour les consulter chaque fois que vous en avez besoin.
3. Supprimer les informations sensibles de vos profils
Les informations personnelles sur vos réseaux sociaux et autres profils en ligne peuvent donner des indices sur vos réponses de sécurité. Il est souvent préférable de supprimer ces détails saillants de vos profils pour vérifier une violation de question de sécurité. En fin de compte, à quoi bon répondre aux blagues à tour de rôle sur Facebook, Twitter et autres ?
Protégez vos informations en ligne
Comme l'authentification à deux facteurs, les questions de sécurité ajoutent une autre couche de protection à vos profils en ligne. Certains services nécessitent des questions de sécurité avant de fournir un lien de réinitialisation du mot de passe. Et pour certains, ils le font après que vous ayez réinitialisé votre mot de passe. Tous ces éléments visent à sécuriser davantage vos comptes.
Quoi qu'il en soit, les pirates informatiques sont souvent confrontés à des boucliers de deuxième couche, tels que des questions de sécurité, lorsqu'ils tentent d'accéder à votre compte. De plus, la façon dont nous utilisons Internet influence le pouvoir des questions de sécurité.
10 façons simples de réduire votre empreinte en ligne en quelques clics
Lire la suite
Rubriques connexes
- Sécurité
- l'Internet
- Sécurité en ligne
- Confidentialité en ligne
- Conseils de sécurité
- Escroqueries
A propos de l'auteur
Idowu est passionné par tout ce qui concerne les technologies intelligentes et la productivité. Pendant son temps libre, il joue avec le codage et passe à l'échiquier quand il s'ennuie, mais il aime aussi rompre avec la routine de temps en temps. Sa passion pour montrer aux gens le chemin de la technologie moderne le motive à écrire davantage.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner
