Une attaque par faux-semblant (« pretexting ») est un type particulier d’ingénierie sociale qui consiste à créer un bon prétexte, c’est-à-dire un scénario inventé de toutes pièces, que les pirates peuvent utiliser pour inciter leurs victimes à leur fournir des informations personnelles. Découvrez quelques exemples de prétextes et comment prévenir ce type d’ingénierie sociale.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Qu’est-ce que le faux-semblant ?
Le faux-semblant repose sur la confiance. Les auteurs de ce type de d’attaque peuvent se faire passer pour un collègue, la police, la banque, les autorités fiscales, le clergé, des experts de compagnies d’assurance – ou de tout autre personne investie d’une autorité ou d’un droit de savoir dans l’esprit de la victime ciblée. Ces attaques prennent généralement la forme d’un escroc qui prétend avoir besoin de certaines informations de la part de sa cible afin de confirmer son identité. Le pirate doit simplement préparer les réponses aux questions que la victime serait susceptible de lui poser. Dans certains cas, il n’a besoin que d’adopter une voix autoritaire, un ton impérieux, et de disposer d’une capacité à réagir rapidement pour échafauder un scénario de circonstance.
Les attaquants prétendent avoir une certaine autorité sur vous pour obtenir des renseignements sensibles ou non. En 2020, un groupe d’escrocs s’est fait passer pour les représentants d’agences de mannequins et de services d’escorte. Ils se sont inventé des références et ont simulé un interrogatoire d’entretien pour pousser des femmes et des adolescentes à leur adresser des photos d’elles nues. Par la suite, ils ont vendu ces photos à des entreprises pornographiques contre de grosses sommes d’argent.
Comme une attaque par prétexte est basée sur la confiance, les attaquants incitent leurs victimes à donner leurs propres informations personnelles.
L’un des aspects les plus importants de l’ingénierie sociale est la confiance. Lorsque cette confiance ne peut pas être instaurée, ces manœuvres échouent. L’une des conditions essentielles pour susciter cette confiance est un prétexte solide. Si votre alias, votre subterfuge, ou votre identité présente des lacunes ou manque de crédibilité, ou même d’une perception de crédibilité, il est plus que probable qu’il éveillera les soupçons de la cible.
De même que la bonne clé est la seule qui ouvre un verrou, le bon prétexte envoie les bons signaux et peut inhiber les soupçons ou les doutes de la victime, et l’amener à ouvrir ses portes, pour ainsi dire.
Quelques exemples de faux-semblants
- Exemple 1 : Fournisseur d’accès à Internet
Une personne se fait passer pour un employé de votre fournisseur d’accès à Internet. Elle peut facilement vous tromper en disant qu’elle vous contacte pour un contrôle de maintenance. Tout d’abord, si vous êtes comme le commun des mortels, vous ne savez pas grand-chose de la maintenance du réseau, si ce n’est qu’elle est nécessaire pour que vous puissiez continuer à regarder Netflix. Vous allez donc tomber dans le panneau et les laisser “travailler”. Ce que vous pouvez faire dans ce scénario, c’est poser des questions et dire que personne ne vous a informé qu’une telle intervention aurait lieu. En outre, vous pouvez aller plus loin et demander à quel plan Internet vous êtes abonné ou poser des questions plus pointues que seul un véritable employé connaîtrait. Vérifiez leurs sources et appelez directement votre fournisseur d’accès à Internet.
- Exemple 2 : Éligibilité pour une carte cadeau
Vous recevez un email avec pour objet BONNE NOUVELLE ! Vous l’ouvrez et vous voyez que vous avez droit à une carte cadeau gratuite. C’est génial, non ? Qui n’aime pas les cadeaux, surtout les cartes-cadeaux ? Vous voyez un lien à l’intérieur qui vous demande de remplir vos coordonnées pour que la carte vous soit livrée. Un pirate peut aussi commencer par établir un premier contact afin de vérifier la disponibilité de la victime pour déterminer si elle peut lui être utile.
Il a besoin du nom, du prénom, de l’adresse, etc. Toutefois, si quelqu’un vous dit que vous avez droit à une carte cadeau, ne devrait-il pas déjà connaître vos coordonnées ? À quel titre seriez-vous éligible, qu’avez-vous fait pour l’obtenir ? Avez-vous participé à un concours quelconque ? Vous voyez, c’est là que vous devez détecter qu’il s’agit probablement d’une arnaque.
Les escrocs ne se limitent pas à ces seuls exemples, ils trouveront toujours une nouvelle technique de prétexte. La meilleure réponse est de vous informer et d’être conscient que de telles escroqueries existeront toujours et qu’elles prendront de nombreuses formes.
Suivez ce lien (lien en anglais) pour en savoir plus.
Comment éviter les attaques de faux-semblant ?
Les escrocs exploitent les faiblesses humaines pour voler vos informations personnelles. Nous faisons ce que nous pouvons pour protéger les utilisateurs contre ce type de menace (consultez par exemple notre stratégie d’application de la politique DMARC), mais cela ne suffit pas. Pour vous aider à vous protéger contre tous les types d’ingénierie sociale, nous vous suggérons de suivre notre cours de sensibilisation à la sécurité et à la confidentialité des emails. Nous vous conseillons vivement de vous tenir informé contre l’ingénierie sociale, d’autant qu’il s’agit de l’une des menaces les plus courantes en matière de confidentialité en ligne et de sécurité numérique.
Si vous recevez un email d’une personne vous expliquant qu’un employé de maintenance doit passer, contactez la société de l’expéditeur, et non l’expéditeur lui-même. Appelez-la au téléphone, et vérifiez qu’elle a bien prévu d’envoyer quelqu’un. Si vous êtes chez vous à l’arrivée de cette personne, ne la croyez pas sur parole et demandez à parler à son responsable. Demandez-lui le numéro de téléphone de son employeur et le nom de son responsable, pour pouvoir les appeler directement avec votre téléphone personnel. Cela peut sembler impoli, mais s’il s’agit d’un ingénieur social, votre meilleure défense est de mettre son stratagème en pièces.
Il en va de même pour les sites internet faisant la publicité pour des événements et des expositions. Appelez le centre qui organise l’événement et posez des questions à son sujet ; allez directement à la source. Méfiez-vous des sites Web qui n’acceptent que l’argent liquide ou PayPal.
Comme dans toute autre stratégie de défense contre l’ingénierie sociale, vous devez être proactif, et non réactif.
Dans tous les cas, la meilleure mesure de protection consiste à frapper la source du faux-semblant. Si l’ingénieur social utilise un faux prétexte, son talon d’Achille est le fait que cette source n’existe pas, qu’elle est inventée de toutes pièces.
Techniques communes similaires au pretexting
Toutes les attaques d’ingénierie sociale sont assez similaires car elles sont toutes basées sur la confiance, tout comme le faux-semblant. Cependant, elles ont toutes leurs spécificités. Parfois, une attaque de phishing peut être combinée à une attaque de faux-semblant.
- Le phishing
Le phishing est une autre escroquerie d’ingénierie sociale qui vise à soutirer des données personnelles, telles que des noms d’utilisateur, des mots de passe, des coordonnées bancaires, etc. Les pirates tentent de voler vos données personnelles, le plus souvent des mots de passe et des informations relatives à votre carte de crédit en utilisant des sites Web frauduleux, de faux emails, de faux appels téléphoniques, etc. Tout comme les attaques par faux-semblant, les attaques de phishing sont basées sur la confiance. Cependant, elles ont aussi tendance à faire intervenir un caractère d’urgence pour tromper les victimes.
- Le Smishing
Le smishing est très similaire au phishing, mais cette arnaque d’ingénierie sociale utilise des SMS au lieu d’emails et de liens. D’où le nom SM(S)ishing. Cette méthode est généralement plus efficace, car il est aujourd’hui facile d’obtenir les emails de quelqu’un. Il se peut que votre email ait été divulgué lors d’une violation de données et qu’il ait été vendu sur le Dark Web. Cependant, un numéro de téléphone est un peu plus intime, ce qui crée a priori un sentiment de connaissance et de confiance, comme lorsque vous recevez un SMS de votre banque ou d’un autre service.
- Le vishing (ou hameçonnage vocal)
Le vishing est une autre forme de phishing, mais il fait intervenir la voix, d’où son initiale “v” pour vocal. Comme dans une attaque de phishing classique, l’ingénieur social va se faire passer pour une entreprise de services bien connue. Mais cette fois-ci, vous aurez une personne à l’autre bout du fil, plutôt qu’un email et des liens. Utilisée avec le ton adéquat, les bonnes questions et un peu de patience, cette technique peut être très efficace contre des personnes non averties. En particulier les personnes âgées qui n’utilisent pas les emails et les SMS.
- Le whaling
Le whaling est comparable au phishing, sauf qu’il cible une “baleine”, c’est-à-dire une personne disposant d’un niveau hiérarchique élevé dans une organisation importante. Par contraste, les escroqueries par phishing se caractérisent par des envois en masse.
Conclusion
Comme les pirates exploitent les faiblesses humaines, prendre des mesures et suivre les bonnes pratiques est une excellente chose, mais cela ne garantit pas que votre boîte de réception des emails ne sera jamais compromise. En cas de piratage d’un compte, ne paniquez pas et suivez ces étapes pour reprendre le contrôle.
Nous vous suggérons de renforcer votre compte Mailfence, en complément de notre cours de sensibilisation.
Chez Mailfence, non seulement nous cherchons à rendre notre plateforme plus privée, plus sécurisée et plus chiffrée, mais nous essayons également de sensibiliser nos utilisateurs à l’importance de renforcer la sécurité de leurs emails et leur vie privée en général.
Suivez-nous sur twitter/reddit et restez informés à tous moments.