211service.com
Comment les attaques de phishing trompent notre cerveau
clé titan de sécurité google Photo : Google
C'est simple et efficace : amener quelqu'un à cliquer sur un lien malveillant dans un e-mail et à saisir des informations privées telles qu'un mot de passe est la compétence la plus importante dans de nombreuses boîtes à outils de pirates. Le phishing est le plus courant forme de cyberattaque et continue de croître.
Et la raison pour laquelle il est si efficace, selon des recherches menées par Google et l'Université de Floride, est qu'il tire parti du fonctionnement du cerveau humain et, surtout, de la façon dont les gens ne parviennent pas à détecter la tromperie, en fonction de facteurs tels que l'intelligence émotionnelle, la motivation cognitive, l'humeur, les hormones et même la personnalité de la victime.
Nous sommes tous sensibles au phishing parce que le phishing trompe la façon dont notre cerveau prend des décisions, a déclaré Daniela Oliveira, professeure associée à l'Université de Floride, le 7 août lors de la conférence sur la cybersécurité Black Hat à Las Vegas.
Les problèmes commencent par la sensibilisation : 45 % des internautes ne savent même pas ce qu'est le phishing, selon Oliveira et Elie Bursztein, chercheur chez Google.
L'humeur joue un rôle : les personnes qui se sentent heureuses et non stressées sont moins susceptibles de détecter la tromperie devant eux. Le cortisol, une hormone du stress, augmente la vigilance et rend plus probable la détection d'une tromperie. La sérotonine et la dopamine, hormones associées aux sentiments positifs, peuvent entraîner des comportements à risque et imprévisibles qui rendent les gens plus vulnérables.
Les hameçonneurs peuvent également être exceptionnellement doués pour rédiger des messages destinés à persuader une personne de cliquer. L'autorité est l'une des armes les plus courantes et les plus efficaces - par exemple, un e-mail prétendant provenir du PDG de l'entreprise, demandant à un employé de fournir des informations en cliquant sur un lien. D'autres outils incluent un cadrage des gains/pertes, par exemple une opportunité de remboursement d'Amazon.
Certains des e-mails de phishing les plus pointus jouent sur l'émotion. Après les incendies de forêt dévastateurs et record en Californie en 2018, Google a vu une vague instantanée d'e-mails demandant de l'argent pour aider les victimes. Les signaux émotionnels - par exemple, les promesses de faire correspondre les dons aux personnes sans abri - ont entravé la capacité des destinataires à se concentrer sur le contenu et les indices que l'e-mail était une tromperie. En déclenchant cette réponse émotionnelle, les pirates ont amené les gens à suspendre leur scepticisme.
Cela ne signifie pas que la seule défense contre le phishing est d'être une boule de colère cynique et stressée en permanence. Il est plus sain et plus efficace d'activer l'authentification à deux facteurs pour chacune de vos connexions importantes (e-mail, banque en ligne, réseaux sociaux, sites d'achat, etc.). Voici une liste de tous les sites prenant en charge l'authentification à deux facteurs .
Lorsqu'il est activé, le système vous demande quelque chose en plus d'un mot de passe lorsque vous vous connectez, comme un code envoyé à votre téléphone par SMS, un code d'un application d'authentification , ou une clé de sécurité physique sur une clé USB (la méthode la plus sécurisée de toutes, selon recherche récente ). De cette façon, si vous avez par inadvertance donné votre mot de passe à un pirate informatique dans le cadre d'une escroquerie par hameçonnage, il ne pourra toujours pas se connecter à votre compte. L'année dernière, Google a déclaré que moins de 10% de ses utilisateurs avaient activé l'authentification à deux facteurs sur leurs comptes.