Le baiting dans l’ingénierie sociale est l’équivalent numérique du cheval de Troie. Il s’appuie sur la curiosité ou la cupidité de la victime.
Mais qu’est-ce qui différencie cette forme d’ingénierie sociale des autres attaques ? Et comment pouvez-vous éviter d’en être victime, vous ou vos employés ?
C’est ce que nous allons explorer (et plus encore) dans ce guide !
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Baiting dans l’Ingénierie Social: C’est Quoi?
Tout d’abord, rappelons ce qu’est l’ingénierie sociale.
L’ingénierie sociale est un terme générique qui englobe de nombreuses techniques visant à exploiter notre nature humaine et à induire des comportements et des erreurs qui affaibliront la sécurité.
L’objectif principal d’une attaque par ingénierie sociale est de convaincre une victime de révéler des informations sensibles (telles que des identifiants de connexion) et/ou de télécharger par inadvertance un logiciel malveillant (sous la forme d’une pièce jointe à un courrier électronique, par exemple).
Le baiting (aussi connu sous le nom d’attaque par appât) est une forme d’ingénierie sociale qui repose sur un « appât ». Cet appât peut prendre la forme d’une récompense, d’un produit gratuit, etc.
Cela diffère d’une attaque de type « quid pro quo « , par exemple, où la victime peut se sentir obligée de « rendre la pareille ».
Elle ressemble à bien des égards aux attaques par hameçonnage. Cependant, les attaques par hameçonnage s’appuient généralement sur la peur et l’urgence pour inciter leurs victimes à agir.
Une attaque de type « baiting », en revanche, utilise la promesse d’un objet pour attirer les victimes. Par exemple, l’attaquant peut proposer aux utilisateurs de télécharger gratuitement de la musique ou des films s’ils remettent leurs identifiants de connexion à un certain site.
Comment Fonctionne le Baiting dans l’Ingénierie Sociale
Dans une attaque de type « baiting », l’objectif des attaquants est généralement de voler les informations d’identification de l’utilisateur ou de lui faire installer un logiciel malveillant.
L’un des moyens d’y parvenir est d’utiliser des clés USB infectées :
- Par exemple, les employés peuvent recevoir des clés USB infectées en guise de récompense pour leur participation à une enquête ;
- Les malfaiteurs peuvent également laisser des clés USB infectées dans un panier de cadeaux placé dans le hall d’entrée de l’entreprise, que les employés peuvent simplement saisir en retournant à leur lieu de travail ;
- Une autre possibilité consiste à placer stratégiquement des appareils contaminés à la disposition des employés ciblés. Lorsqu’ils portent des étiquettes intrigantes telles que « Confidentiel » ou « Informations sur les salaires », les appareils peuvent être trop tentants pour certains travailleurs. Ces derniers peuvent alors mordre à l’hameçon et insérer l’appareil infecté dans l’ordinateur de leur entreprise.
Cependant, les attaques de type « baiting » peuvent être aussi simples qu’une bannière publicitaire sur un site web promettant un iPhone gratuit. Ou vous avez peut-être reçu un de ces courriels promettant une récompense en Bitcoin. Il s’agit là aussi d’attaques par appât.
Baiting dans le Monde Réel
Maintenant que nous avons abordé la théorie, examinons un exemple concret d’attaque de type baiting.
Attaques par clés USB infectées
En 2021, le FBI a lancé un avertissement public concernant une vaste campagne d’appâtage visant les entreprises et les agences gouvernementales.
Des cybercriminels ont envoyé des clés USB infectées, déguisées en cadeaux promotionnels, à des employés qui ne se doutaient de rien. Ces clés contenaient des logiciels malveillants qui s’activaient lors de leur insertion. Cela permet aux pirates d’accéder à distance aux réseaux de l’entreprise.
Voici une vue détaillée de la manière dont cette attaque « baiting »:
- Étape 1: Les employés ont reçu un colis contenant une clé USB étiquetée « Contenu bonus – Formation de l’entreprise » ou « Carte cadeau Amazon gratuite ».
- Étape 2 : Cependant, la clé USB contenait un logiciel malveillant déguisé en document ou en vidéo légitime.
- Étape 3: Une fois branché, le logiciel malveillant installe automatiquement des chevaux de Troie d’accès à distance (RAT) et des enregistreurs de frappe (keyloggers) permettant aux attaquants de voler les identifiants de connexion.
- Étape 4: Avec les informations d’identification volées, les attaquants ont pu infiltrer les systèmes de l’entreprise et exfiltrer des données sensibles.
Voici quelques-uns des enseignements à tirer de cette attaque :
- N’insérez jamais une clé USB inconnue dans un appareil personnel ou professionnel.
- Utilisez un logiciel de protection des points d’extrémité pour détecter et bloquer les périphériques USB non autorisés.
- Sensibilisez les employés aux techniques de baiting et aux autres tactiques d’ingénierie sociale afin d’éviter des attaques similaires.
Reconnaître et Prévenir les Attaques de Baiting
Examinons maintenant une procédure étape par étape que vous pouvez suivre pour reconnaître les attaques de baiting avant qu’il ne soit trop tard.
Étape 1 : Reconnaître les signes communs des attaques de baiting
Voici quelques-uns des signaux d’alarme les plus courants dans les attaques par appât :
🚩 On vous offre quelque chose gratuitement:
- Fausses promotions : « Téléchargez ce logiciel premium gratuitement ! »
- Faux cadeaux : « Obtenez une carte-cadeau Amazon gratuite – il vous suffit de vous connecter pour réclamer la vôtre.
- Clés USB gratuites ou gadgets laissés dans des lieux publics : « Les clés USB de la marque de l’entreprise trouvées dans les centres de conférence, les halls d’entrée ou les parkings.
🚩 L’offre provient d’une source inconnue ou suspecte:
- Si vous recevez une clé USB, un code QR ou une pièce jointe à un courriel d’un expéditeur inconnu, c’est un signal d’alarme.
- Si une fenêtre publicitaire prétend que vous avez gagné quelque chose sans participer à un concours, il s’agit probablement d’un appât.
🚩 La communication crée l’urgence :
- « Offre à durée limitée ! Seuls les 100 premiers utilisateurs bénéficieront de ce service gratuit. »
Étape 2 : Éviter les pièges à appâts
✅ N’utilisez jamais de clés USB inconnues
- Si vous trouvez une clé USB, ne la branchez pas – signalez-la au service informatique.
- Si un événement ou une entreprise distribue des appareils gratuits, scannez-les à l’aide d’un logiciel de sécurité des points finaux avant de les utiliser.
✅ Ignorer les téléchargements « gratuits » et les cadeaux en ligne
- Évitez de télécharger des logiciels à partir de sites tiers – n’utilisez que des sources officielles.
- Si un courriel ou une annonce propose un service gratuit, vérifiez-le sur le site officiel de l’entreprise.
✅ Méfiez-vous des codes QR
- Ne scannez pas les codes QR figurant sur des prospectus, des affiches ou des autocollants inconnus placés dans des lieux publics.
✅ Utilisez un logiciel de sécurité pour bloquer les tentatives d’appâtage
- Activez les restrictions de périphériques USB sur les ordinateurs de travail.
- Utilisez des filtres de courrier électronique pour bloquer les promotions frauduleuses et les faux cadeaux.
- Installez un bloqueur de publicité pour éviter les attaques de malvertising.
✅ Utilisez une solution de messagerie privée et sécurisée
- Utilisez une solution de messagerie électronique telle que Mailfence, qui offre un filtrage anti-spam efficace. En filtrant automatiquement les courriels avant qu’ils n’atteignent votre boîte de réception, vous éviterez la plupart des attaques par appât.
Conclusion sur les Attaques de Baiting
La meilleure défense contre le baiting et tout autre stratagème d’ingénierie sociale est de vous éduquer et d’éduquer votre équipe. Chacun d’entre nous devrait s’efforcer d’instaurer une solide culture de la sécurité dans son environnement – au bureau, à la maison, etc.
En outre, chaque individu doit considérer la « sécurité de l’entreprise » comme une partie essentielle de ses responsabilités individuelles. En ce qui concerne l’appât, chacun doit discuter ouvertement avec sa famille, ses amis et ses collègues et les mettre en garde contre les dangers de l’ingénierie sociale.
Il existe d’autres conseils que vous pouvez suivre pour éviter les pratiques d’ingénierie sociale. Vous pouvez en savoir plus sur la façon de protéger votre ordinateur ici. Notre cours de sensibilisation à la sécurité du courrier électronique et à la protection de la vie privée vous fournira des informations complètes sur le sujet spécifique afin de vous protéger, autant que possible, contre l’ingénierie sociale.
