Sartomiki.net

  • Aumenta dimensione caratteri
  • Dimensione caratteri predefinita
  • Diminuisci dimensione caratteri

Techniques utilisées

Domenica 19 Giugno 2011 14:15 sartomiki
E-mail Stampa PDF
Valutazione attuale: / 0
ScarsoOttimo 

Techniques utilisées
Pour récupérer les informations nécessaires à usurper l’identité de quelqu’un il y a des méthodologies dites « classiques » et une panoplie des nouvelles attaques qui permettent d’acquérir beaucoup d’information automatiquement et très rapidement.
Entre les méthodologies « classique » on peut trouver :
-Bin-raiding, qui consiste dans la récupération des données dans la poubelle.
-Skimming, qui permet généralement de récupérer des données à partir de l’utilisation d’une carte de débit.
-Récupération des documents présents à l’intérieur d’un portefeuille volé ou perdu.
-Questionnaires et entretiens ou fausses promotions.
Les méthodologies « classiques » sont encore très utilisées, mais c’est aussi vrai qu’internet permet de récupérer un nombre énorme d’information de façon économique et rapide.
Comme déjà dit, avec l’augmentation des utilisateurs d’internet et grâce à le fait que la majorité de données personnelles voyage sur le réseau en clair, une bonne partie des usurpations d’identité est maintenant faite on-line. Il y a plusieurs techniques utilisées, entre le quelle on peut trouver :
-Hameçonnage
-Utilisations des informations accessibles publiquement
-Techniques à force brute
-Intrusion d’un system d’information
Dans la partie suivante nous allons analyser quelles sont ces nouvelles techniques.

Hameçonnage (Phishing)
L’hameçonnage est une technique utilisée pour obtenir noms utilisateurs, mots de passe et nombres de cartes de débits, en faisant en mode que les utilisateurs croient d’être sur un site internet sûr, mais que en réalité se trouve sur un site pirate . Ce type d’attaque augmente son probabilité de succès, plus le site copie ressemble au site original, de façon tale qu’un utilisateur sans expérience confonde les deux sites.
La majorité des attaques de type phishing est adressé aux sites internet des banques ou des systèmes de payement online. La principale technique utilisée pour confondre un utilisateur est d’envoyer un courriel qui contienne l’invite à mettre à jour des informations personnelles et un lien manipulée qui conduit à une page malveillante.
Pendant les dernières années aussi les réseaux sociaux ont été la cible des nombreuses attaques de hameçonnage. Ces attaques sont mises en place pour récupérer les informations privées contenus à l’intérieur des comptes des victimes pour usurper leur identité. En 2006, pour exemple, un ver informatique a été développé pour voler les informations d’accès à MySpace, un réseau social très connu .
Selon nombreuses études, le phénomène est en hausse chaque année. Une enquête faite par un cabinet privé, aux États-Unis, premier pays touché au monde par le phishing, portant sur une année, entre 2006 et 2007, faisait état de 3,5 millions d'internautes piégés, pour un total de 3,2 milliards de dollars .
Une autre factor très significative du phishing est l’haut pourcentage des attaques réussies : selon certaines statistiques, une hypothétique attaque à un réseau social aurait une incidence de 60% .
Au moment, les instruments disponibles pour lutter juridiquement contre l’hameçonnage sont la loi contre l’escroquerie, la loi de l’atteinte à des données personnelles ou à un système de traitement de données et la loi contre la contrefaçon de marques .

Utilisation des informations publiées
Pendant les dernières années on a eu une grande augmentation des utilisateurs d’internet. La plupart de nouveaux utilisateurs n’ont pas une vaste connaissance de la visibilité qu’une information insérée sur le web peut avoir.
En plus, la majorité des réseaux sociaux ne met pas en place des stratégies simples adaptes à éviter que les informations contenus sont protégés et sures. Ce comportement est discutable à niveau éthique mais il a garanti aux réseaux sociaux une grande visibilité. Pour quantifier combien de personnes courent le risque de publier leurs informations sur internet, on peut penser que, au début de 2011, presque un américain sur deux avait un profil Facebook .
Si nous faisons une petite recherche avec le nom et le prénom d’une personne est vraiment très commun de retrouver ses informations personnelles, ses images et dans certains cases son mode de penser directement publiés sur quelque page de quelque réseau social.
Une si grande quantité de données peut être utilisée avec plusieurs finalités malveillantes. Un sur toutes peut être l’utilisation de ces données pour créer des identités qui n’existent pas ou pour usurper directement des noms réels pour couvrir des activités illégales.
Il est important comprendre que si une information est publié, elle n’est peut pas être utilisé sans l’autorisation explicite de la personne qui l’a inséré. Pour protéger les particuliers, entrent en jeu plusieurs lois comme la loi sur le droit d’auteur  ou sur la protection de données personnelles.

Techniques par force brute
Un cybercriminel qui veut repérer des informations personnelles en gardant une personne peut les chercher en essayant d’accéder à son profil personnel par force brute. En effet, la majorité des sites internet, des réseaux sociaux et des forums permettent l’accès aux informations personnelles d’un utilisateur en insérant un nomme utilisateur et un mot de passe. Normalement, les utilisateurs inexperts utilisent des mots de passe très semples, ou qui appartiennent à un vocabulaire très réduit. Sur l’internet existent plusieurs sites internet qui mettent à disposition de liste des mots de passe les plus utilisées .
Un potentiel attaquant peut, donc, essayer d’obtenir l’accès à un profil, en utilisant des logiciels automatiques qui ont comme but d’essayer pour chaque utilisateur touts les mots de passes les plus utilisées.
Un autre facteur relevant est que la plupart des utilisateurs utilise le même nom utilisateur et le même mot de passe sur sites internet différents. C’est pour ça qu’un criminel qui a obtenu un mot de passe associé à un nom utilisateur peut avoir l’accès à toutes les informations qui se réfèrent à une certaine identité numérique.
La création d’un programme informatique pour essayer d’accéder à une zone protégée d’un système d’information est sanctionnée par la loi des atteintes aux systèmes de traitement automatisé de données.

Intrusion dans un système d’information
Une autre technique très utilisée pour récupérer une grande quantité des donnés personnels est d’essayer l’accès directement à la base de données d’un site internet.
Le monde d’internet se base sur des protocoles qui ne sont pas toujours fiables. Périodiquement, nouvelles failles sont découvert, mais plusieurs sites ne sont pas mises à jour rapidement. C’est pendants ces périodes que les cybercriminels cherchent d’accéder aux bases données pour récupérer des informations.
En plus, plusieurs sites internet n’ont pas été réalisés par des personnes compétentes. Il est très commun que des webmasters commettent des erreurs de configurations, qui rendent les sites vulnérables à plusieurs attaques. C’est très commun que des attaquants cherchent de récupérer les informations des utilisateurs.
L’introduction en un système d’information, aussi s’il n’y a pas usurpations ou modifications de données est punie par la loi des atteintes aux systèmes de traitement automatisé de données.

blog comments powered by Disqus
back to top
< Prec.   Succ. >
 

Menu Principale

http://sartomiki.net/modules/mod_fuofb/assets/it/find-us-on-facebook-1.png

Follow me

Chi è online

 6 visitatori online

Siti amici

Banner

Notizie flash

Sono online un po' di appunti! A partire da calcolatori elettronici, proseguendo per introduzione alle reti telematiche e passando infine per sistemi operativi. Scrivetemi se trovate qualche errore... A breve saranno aggiunti nuovi appunti e completati quelli attuali!

PUBBLICITA'