Si vous êtes comme la plupart des gens, vous ne savez probablement pas grand-chose des attaques d’ingénierie sociale. Ou pensez-vous qu’il ne vise qu’à tromper les victimes sans méfiance pour leur voler de l’argent ?
Vous ne vous rendez peut-être pas compte que les techniques d’ingénierie sociale peuvent prendre de nombreuses formes. Tout le monde peut en être victime, même vous.
Dans ce guide, nous aborderons tout ce que vous devez savoir sur les attaques d’ingénierie sociale, notamment :
- ce qu’est une attaque d’ingénierie sociale ;
- les différentes formes que peut prendre une attaque d’ingénierie sociale ;
- comment détecter rapidement une attaque d’ingénierie sociale ;
- et surtout, comment éviter d’en être victime !
Alors, sans plus attendre, plongeons dans le vif du sujet.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Que sont les Attaques d’Ingénierie Sociale ?
Commençons par le début. Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale regroupe de nombreuses techniques permettant d’exploiter notre nature humaine pour induire des comportements et des erreurs qui conduiront à une sécurité affaiblie.
Elle permet aux cybercriminels d’accéder à des informations, à de l’argent ou de contrôler ce qu’ils recherchent. Il ne s’agit pas d’un type d’attaque unique, mais plutôt d’un groupe d’escroqueries différentes qui présentent plusieurs similitudes :
- les escrocs tentent d’obtenir des informations sensibles ou de l’argent ;
- ils exploitent la confiance et le comportement humain pour manipuler leurs victimes et atteindre leurs objectifs ;
- ils exploitent le manque de connaissances de leurs victimes et leur incapacité à mettre en œuvre des mesures de sécurité pour se protéger ;
- leurs stratagèmes consistent souvent à utiliser des informations personnelles (usurpation d’identité) pour paraître plus authentiques.
Vous souvenez-vous du cheval « cadeau » des Grecs de l’Antiquité à la ville de Troie ? Un excellent exemple concret.
La manipulation est au cœur de toute attaque d’ingénierie sociale.
Oubliez les tactiques de force brute. Avec l’ingénierie sociale, les assaillants utilisent des tactiques de manipulation pour amener leurs victimes à se compromettre ou à compromettre les mesures de sécurité dont elles dépendent. Les escrocs entrent en contact avec leurs victimes pour leur inspirer confiance et influencer leurs actions.
Lorsque les assaillants connaissent mieux les motivations de leurs cibles, ils peuvent élaborer des tactiques persuasives pour les inciter à adopter un comportement potentiellement destructeur.
Et cela fonctionne : de nombreux incidents de cybersécurité sont dus à des techniques d’ingénierie sociale réussies, mises en œuvre par des assaillants externes. Ils jouent avec les faiblesses humaines pour que leurs victimes leur donnent involontairement accès à des informations sensibles ou à de l’argent.
Comment Fonctionnent les Attaques par Ingénierie Sociale ?
Comme nous l’avons déjà mentionné, l’ingénierie sociale repose sur la manipulation. Elle peut prendre différentes formes (comme nous le verrons plus loin).
Cependant, chaque attaque d’ingénierie sociale présente l’un des traits humains suivants.
Confiance
Le pirate envoit un message usurpant les codes de communication d’une organisation, tels que son logo et d’autres caractéristiques de la marque (polices de caractères, style d’écriture, etc.).
Il veut amener la victime à faire des choses qu’elle ferait habituellement avec cette organisation (cliquer sur un lien, télécharger un fichier, etc.) parce qu’elle lui fait confiance et qu’elle ne remet pas en question l’origine du message.
Respect de l’autorité
L’obéissance à l’autorité est un autre trait humain que l’ingénierie sociale peut exploiter.
Les pirates se font passer pour une personne de haut rang ou une agence gouvernementale afin d’inciter leur cible obéissante à faire quelque chose.
Sentiment d’urgence et/ou de peur
Les gens agissent souvent sans réfléchir lorsqu’ils sont confrontés à un sentiment soudain de panique.
Ils sont donc vulnérables aux arnaques d’ingénierie sociale qui exploitent ces émotions. Ces tactiques trompeuses exploitent la peur et l’urgence de diverses manières :
- les fausses alertes de carte de crédit ;
- avertissements concernant les virus ;
- l’exploitation de la peur de manquer ( FOMO ).
La victime paniquée est incitée à agir sans prendre le temps de réfléchir aux conséquences de ses actes. Souvent, sous l’effet du stress, ils oublient de vérifier la légitimité de la demande.
L’apat du gain
Vous ne refuseriez pas un cadeau, n’est-ce pas ? Les escrocs l’ont bien compris.
C’est pourquoi de nombreuses arnaques misent sur notre cupidité pour nous attirer avec des récompenses en argent, des iPhones gratuits et d’autres prix.
Avez-vous déjà entendu parler de l’arnaque de l’ « héritage inattendu » ? Il s’agit d’un hameçonnage classique qui vous promet une importante somme d’argent provenant d’un parent éloigné ou d’un riche bienfaiteur. L’argent est soi-disant bloqué pour une raison obscure… Il vous suffit de payer les frais administratifs pour obtenir l’argent.
Cela vous semble trop beau pour être vrai ? En effet, c’est le cas ! Il s’agit d’un exemple parfait d’arnaque utilisant notre attirance pour l’argent, les cadeaux ou les récompenses faciles.
La générosité
Enfin, notre générosité est souvent exploitée dans les attaques d’ingénierie sociale.
Les attaquants exploitent la générosité en recherchant dans les médias sociaux ce qui vous tient à cœur et en se faisant passer pour des organisations liées à vos causes. Par exemple, ils peuvent se faire passer pour une organisation caritative que vous soutenez afin de solliciter des dons.
Attaques d’Ingénierie Sociale : À quoi ressemblent-elles ?
Il existe de nombreux types d’attaques d’ingénierie sociale, avec des variantes subtiles. Voici quelques-unes des plus courantes.
Les escroqueries par hameçonnage sont les types d’attaques d’ingénierie sociale les plus courants aujourd’hui. Les escroqueries par hameçonnage s’appuient sur les courriels pour établir une connexion avec la cible. Il existe d’autres types spécifiques d’attaques par hameçonnage, comme par exemple :
- le smishing, une attaque par hameçonnage qui s’appuie sur les SMS ;
- vishing qui s’appuie sur des conversations téléphoniques réelles ;
- l’hameçonnage (spear phishing ) qui cible des personnes spécifiques en leur communiquant des informations personnelles pour les faire passer pour des personnes légitimes ;
- les attaques de type « whaling », qui sont des attaques de phishing ciblant des cadres de haut niveau.
Le pretexting est une autre forme d’ingénierie sociale dans laquelle les attaquants s’efforcent de créer un prétexte plausible, ou un scénario fabriqué, qu’ils peuvent utiliser pour voler les informations personnelles de leurs victimes.
L’appât est, à bien des égards, similaire aux attaques par hameçonnage. Cependant, ce qui les distingue des autres types d’ingénierie sociale, c’est la promesse d’un objet ou d’un bien que les pirates utilisent pour attirer les victimes, tout comme le cheval de Troie.
De même, les attaques de type « quid pro quo » promettent un avantage en échange d’informations. Cet avantage prend généralement la forme d’un service, alors que l’appât prend souvent la forme d’un bien.
Les scareware visent à faire croire à leurs victimes qu’un virus a infecté leur appareil et qu’elles doivent acheter ou télécharger un logiciel spécifique pour le réparer.
Les attaques par trou d’eau se produisent lorsque des attaquants compromettent un site web fréquenté par un groupe spécifique d’utilisateurs. Lorsque ces utilisateurs visitent le site, leurs appareils sont infectés par des logiciels malveillants.
On parle également de piège à miel lorsque des attaquants créent de faux profils de réseaux sociaux pour se lier d’amitié avec des cibles et leur soutirer des informations confidentielles par le biais de relations trompeuses.
Enfin, l’ingénierie sociale inversée crée une situation dans laquelle la victime demande de l’aide, ce qui permet à l’attaquant de se faire passer pour un assistant et d’extraire des informations sensibles.
Attaques d’ingénierie social physiques
Les attaques par hameçonnage peuvent également se produire dans le monde « réel », physique.
La forme la plus courante est appelée« shoulder surfing« . Il s’agit d’une personne qui observe directement par-dessus votre épaule pour obtenir des informations telles que des mots de passe ou des codes PIN, après avoir incité la personne à effectuer une action nécessitant des informations d’identification.
Un autre type d’attaque par ingénierie sociale est le » tailgating », où une personne cherche à entrer physiquement dans une zone restreinte où elle n’est pas autorisée à se trouver.
Caractéristiques communes des attaques d’ingénierie sociale
La plupart de ces attaques d’ingénierie sociale présentent les caractéristiques suivantes :
- Informations personnelles : les attaquants recherchent des informations telles que les noms, les adresses et les numéros de sécurité sociale.
- Raccourcisseurs de liens ou liens intégrés : ces liens redirigent en fait les utilisateurs vers des sites web suspects dans des URL qui semblent légitimes.
- Logiciels malveillants : l’ingénierie sociale peut également être utilisée pour mettre en place des logiciels malveillants, soit en plus du vol des informations d’identification de la victime, soit dans le seul but de compromettre l’appareil de la victime.
Attaques d’Ingénierie Sociale : Comment s’en Protéger?
Maintenant que nous avons identifié les différentes formes d’ingénierie sociale et leurs caractéristiques, voyons comment les éviter !
Vous trouverez ci-dessous différentes mesures à prendre pour identifier les attaques d’ingénierie sociale et vous protéger.
#1 : Prenez le temps d’évaluer la situation
Prenez le temps de considérer la situation dans son ensemble et d’examiner attentivement le message, même s’il est assez inquiétant.
- Ce message est-il inattendu ?
- Est-il originaire de l’endroit où il est censé l’être ?
- Assurez-vous que vous interagissez avec des contacts de confiance en confirmant leur identité. Dans la mesure du possible, contactez directement l’expéditeur pour vous assurer qu’il a bien envoyé ce que vous avez reçu.
- Vérifiez également s’il y a des fautes d’orthographe, des irrégularités dans le logo ou d’autres détails révélateurs. Cette organisation a-t-elle l’habitude de communiquer de cette manière ?
- Là encore, en cas de doute, prenez votre téléphone et appelez le numéro que vous avez l’habitude d’appeler (et non le numéro fourni) pour obtenir plus d’informations.
#2 : Vérifiez l’URL ou le fichier avant de cliquer
Ne cliquez jamais, jamais, sur une pièce jointe ou un lien dans un courriel sans avoir vérifié à deux fois.
Toute pièce jointe à un message peut cacher un virus ou un autre type de logiciel malveillant, tel qu’un rançongiciel.
Un lien dans un message peut vous conduire à un site web mis en scène pour voler vos données ou infecter votre appareil avec des logiciels malveillants.
Avant de cliquer dessus, inspectez-les attentivement :
- Y a-t-il un message indiquant que le fichier joint contient des macros ? Si c’est le cas, assurez-vous que vous n’activez pas les macros pour visualiser le fichier.
- Vous attendiez-vous à recevoir ce fichier ou ce lien ?
- En cas de doute, n’hésitez pas à vérifier et à demander directement à l’expéditeur s’il s’agit bien de lui (contactez-le par votre moyen de communication habituel).
- En cas de doute, ne cliquez pas ! Demandez à un collègue, à un ami ou à un membre de votre famille. Vous pouvez également faire appel à un expert en informatique si vous ne vous sentez pas à l’aise pour évaluer la situation.
#3 : Faites attention à vos objets de valeur
Même si vous n’êtes pas millionnaire, vous possédez de nombreux biens susceptibles d’éveiller la convoitise des cybercriminels :
- vos données (qui peuvent être vendues sur le dark net) ;
- l’accès au logiciel dont vous disposez dans l’entreprise pour laquelle vous travaillez ;
- des comptes détaillés sur les réseaux sociaux, avec de nombreuses photos, et des commentaires révélant ce que vous aimez, ce que vous soutenez, etc. Cela signifie qu’il sera facile d’établir votre profil et de déterminer la stratégie appropriée pour vous cibler. Faites donc attention à ce que vous partagez sur les médias sociaux.
Prenez le temps d’examiner vos privilèges, vos communications sur le net et essayez de comprendre le potentiel que vous offrez à tout escroc. En étant plus conscient de cela, vous pouvez améliorer votre capacité à détecter les attaques d’ingénierie sociale.
#4 : Apprenez à reconnaître les arnaques d’ingénierie sociale
Félicitations ! En lisant ce guide, vous vous êtes déjà rendu moins vulnérable aux attaques d’ingénierie sociale.
L’éducation est essentielle pour éviter les attaques d’ingénierie sociale.
Nous sommes dans la plupart des cas à l’origine d’une attaque potentielle en raison de notre manque de sensibilisation et de connaissances.
Si vous souhaitez en savoir plus, vous pouvez consulter ce guide sur les 7 plus grandes erreurs à éviter en matière de sécurité des e-mails. Vous pouvez également consulter ce guide sur les conseils pour protéger votre ordinateur ou suivre notre cours gratuit de sensibilisation à la sécurité du courrier électronique et à la protection de la vie privée.
#5 : Utilisez un logiciel de sécurité pour éviter les spams et les courriels d’hameçonnage
Pour protéger votre appareil et vos données contre les cybermenaces et les tentatives d’intrusion, vous devez utiliser un antivirus et effectuer des sauvegardes périodiques.
Mais vous devez également utiliser une solution de messagerie sécurisée pour vous assurer que les messages qui arrivent dans votre boîte de réception ne contiennent pas de logiciels malveillants ou de parties malveillantes, et pour les bloquer si c’est le cas.
Les courriels sont l’une des portes d’entrée les plus courantes pour les pirates informatiques. Assurez-vous donc d’avoir activé le MFA et habituez-vous à envoyer des courriels chiffrés et signés numériquement.
#6 : Éviter les points de défaillance uniques
Un point de défaillance unique est un terme communément utilisé pour décrire le fait d’avoir tous ses œufs dans le même panier. Si ce point est violé, toutes vos données sont compromises. C’est pourquoi vous devez éviter de connecter tous vos comptes à Facebook ou Gmail.
Plus vos comptes sont imbriqués et dépendants les uns des autres, plus vous risquez d’être victime d’une faille de sécurité.
#7 : Identifiants uniques et mots de passe sécurisés
En lien avec le point 6, utilisez des identifiants différents pour chaque service et des mots de passe forts et uniques. Pensez à utiliser des alias de courrier électronique et des gestionnaires de mots de passe pour gérer vos informations d’identification.
#8 : Soyez créatif avec les questions de sécurité
Ce point peut sembler anodin. Mais les questions de sécurité supplémentaires que les sites web vous posent constituent une ligne de défense supplémentaire.
Soyez donc créatif et évitez les réponses faciles à deviner telles que votre date ou votre lieu de naissance.
Un pirate informatique les trouvera en quelques minutes. Ne confondez pas non plus le 2SV avec l’authentification multifactorielle (MFA) ou TFA, que nous vous conseillons vivement de mettre en place.
#9 : Utilisez les cartes de crédit à bon escient
Si vous utilisez une carte de débit et qu’un pirate informatique accède au numéro, l’ensemble de votre compte bancaire peut être vidé. Vous pouvez sécuriser davantage votre carte de crédit en évitant de stocker les numéros de carte sur des sites web ou en utilisant des numéros de carte jetables ou virtuels (proposés par Citibank, Bank of America et Discover).
#10 : Contrôlez fréquemment vos comptes
Méfiez-vous des usurpations d’identité et des fraudes à la carte de crédit. Vérifiez régulièrement le solde de vos comptes et votre cote de crédit.
Attaques d’Ingénierie Sociale: Conclusion
Ceci conclut notre guide sur les attaques d’ingénierie sociale. Nous espérons que vous avez maintenant une meilleure compréhension de ce qu’est l’ingénierie sociale et de la manière de la détecter.
N’oubliez pas d’envoyer ce guide à vos amis et à votre famille ! Plus les gens seront conscients des tactiques d’ingénierie sociale, moins il y aura de victimes. Enfin, si vous avez des questions, n’hésitez pas à nous contacter à l’adresse suivante : support@mailfence.com