Qu’est-ce que l’ingénierie sociale ?

Ingénierie sociale

C’est humain de commettre des erreurs. Selon le Cyber Security Intelligence Index d’IBM, 95% des incidents de sécurité informatique sont liés à une erreur humaine. Beaucoup d’entre-eux sont des attaques d’ingénierie sociale couronnées de succès. Des assaillants externes profitent de notre méconnaissance pour attirer les utilisateurs sur des plateformes auxquelles ils fourniront involontairement l’accès à leurs données privées.

De nos jours, les sites internet fiables et légitimes sont de plus en plus piratés car il s’agit justement de plateformes auxquelles les utilisateurs font confiance. Cependant, ces sites compromis sont également utilisés pour s’en prendre aux intérêts d’utilisateurs.

Même si vous utilisez des dispositifs d’anonymat, des canaux privés (chiffrés) pour communiquer et que vous prenez diverses mesures pour protéger et sécuriser votre vie privée en ligne, que se passera-t-il  si vous êtes victime d’ingénierie sociale et que quelqu’un obtient vos identifiants et parvient à contourner les barrières de sécurité pour accéder à votre monde en ligne ?

Source: https://www.veracode.com/blog/2013/03/hacking-the-mind-how-why-social-engineering-works

Rappelez-vous du cheval offert en cadeau par les anciens Grecs à la ville de Troie. Bien que les attaques d’ingénierie sociale ne soient pas nouvelles, elles sont très efficaces pour piéger les victimes à l’aide du phishing, de la soustraction d’informations ou de l’usurpation d’identité.

N’importe qui (même les pros) peut être victime d’une attaque d’ingénierie sociale. « Il est presque impossible de détecter si vous avez été victime d’une attaque d’ingénierie sociale », a déclaré Daniel Cohen, responsable de la gestion des connaissances et du développement des affaires du RSA FraudAction group. Selon lui, l’ingénierie sociale délictueuse est l’un des problèmes les plus importants de sécurité. « Tant qu’il y aura une interface consciente entre l’homme et la machine, l’ingénierie sociale continuera d’exister. »

Il s’agit d’argent facile. Sur le marché noir, un service de spams capable d’envoyer 500.000 courriels vaut seulement 75 dollars. « Parmi ces 500.000 destinataires, certaines personnes vont inévitablement envoyer des bitcoins ou tout ce que vous leur demandez », a expliqué Cohen. « C’est la raison pour laquelle nous assistons à des pertes impressionnantes de l’ordre de centaines de millions de dollars à l’échelle mondiale en ce que concerne le phishing. »

Alors que le phishing cible traditionnellement le secteur financier car il est aisé de commercialiser et de vendre des données d’identification financière, les pirates étendent maintenant leurs activités aux plateformes mobiles et de jeu ainsi qu’aux programmes des compagnies aériennes. Chaque entreprise peut être et sera une cible potentielle.

Un des facteurs de l’expansion des attaques de phishing est la capacité de connexion et de collaboration anonymes qu’offrent aux fraudeurs du monde entier les sites alternatifs du Web profond. Ces fraudeurs font régulièrement appel à des partenaires pourvus de compétences en ingénierie sociale (comme le montre le message ci-dessus) afin de combler les pièces manquantes d’une identité pour ensuite s’en emparer ou la vendre.

Types d’attaques d’ingénierie sociale les plus courantes

LE PHISHING

Les escroqueries par phishing sont probablement les types d’attaques d’ingénierie sociale les plus courantes utilisées de nos jours. La plupart de celles-ci réunissent les caractéristiques suivantes :

  • Elles cherchent à obtenir des renseignements personnels tels que les noms, les adresses et les numéros de sécurité sociale.
  • Des raccourcis de liens ou des liens intégrés sont utilisés pour rediriger les utilisateurs vers des sites internet suspects au moyen d’URL prétendument fiables.
  • Afin de manipuler l’utilisateur et de le pousser à agir rapidement, ces messages utilisent les menaces, la peur et l’urgence. .

Certains emails de phishing sont plus mal conçus que d’autres. Leur message contient souvent des erreurs orthographiques et grammaticales. Néanmoins, ces courriers cherchent à rediriger les victimes vers un faux site internet ou une plateforme où les pirates peuvent dérober leurs identifiants et autres données personnelles. Ces attaques sont souvent couplées avec des logiciels malveillants afin d’être parfaites. Par conséquent, la machine de l’utilisateur ne livre pas seulement des informations d’identité, mais est également compromise.

LE PRETEXTING OU CRÉATION DE PRÉTEXTES

Le pretexting est une autre forme d’ingénierie sociale. Les assaillants cherchent à créer un prétexte adéquat ou à construire un scénario qu’ils peuvent utiliser pour tenter de voler des renseignements personnels à leurs victimes. Ces types d’attaques sont souvent orchestrées par un escroc qui prétend avoir besoin d’informations de la cible pour une confirmation d’identité.

Les attaques de pretexting sont couramment utilisées pour obtenir des informations sensibles et non sensibles. Par exemple, en octobre dernier, un groupe d’escrocs s’est fait passer pour une agence de mannequins et de services d’escortes. Ils ont inventé une fausse trame de fond et des questions d’interviews pour que des femmes, y compris des adolescentes, leur envoient contre de grosses sommes d’argent des photos de nus pour les commercialiser dans le secteur de la pornographie.

L’APPATAGE OU BAITING

L’appâtage ou baiting ressemble à bien des égards au phishing. Cependant, la différence avec d’autres formes d’ingénierie sociale est que ce type d’attaques promet un élément ou un bien. Les pirates l’utilisent pour appâter leurs victimes. Les« baiters » proposent également des téléchargements gratuits de films ou de musique aux utilisateurs en contre la remise de leurs identifiants à un certain site. Ils se concentrent aussi sur l’exploitation de la curiosité humaine via l’utilisation d’un média physique. Les stratégies d’appâtage ne sont donc pas limitées aux modèles en ligne.

ATTAQUES « QUID PRO QUO »

De manière identique, les attaques « quid pro quo » promettent un avantage en échange d’informations. Ces avantages ont souvent la forme d’un service alors que l’appât est souvent un bien. L’une des attaques « quid pro quo » les plus courantes est la suivante. Des fraudeurs se font passer pour des effectifs de services informatiques et passent de faux appels à des numéros directs de toutes les entreprises possibles.  Ils proposent une assistance informatique à chacune de leurs victimes afin d’avoir un accès pour réaliser leurs propres actes malveillants.

TAILGATING OU TALONNAGE

Le tailgating ou piggybacking est un autre type d’attaques d’ingénierie sociale. Cette escroquerie implique que quelqu’un qui n’a pas l’authentification correcte suive un employé dans une zone réglementée.

Colin Greenless, un consultant en sécurité chez Siemens Enterprise Communications, a utilisé ces tactiques pour accéder à plusieurs étages différents et à la salle de données d’une entreprise financière cotée dans l’indice FTSE. Il a même pu s’installer au troisième étage dans une salle de réunion pour y travailler durant plusieurs jours.

Il est fondamental de se battre contre les attaques d’ingénierie sociale mais celle-ci ne disparaîtra pas. Michele Fincher, chief influencing agent chez Social-Engineer, explique :

« Beaucoup des décisions que nous prenons proviennent de la nature du comportement humain de base et nous réagissons comme les humains réagissent. Les bons ingénieurs sociaux comprennent véritablement comment travailler avec cela et c’est quelque chose face auquel la technologie ne peut pas vous protéger. »

Les pirates qui entreprennent des attaques d’ingénierie sociale s’en prennent à leurs proies en utilisant la psychologie humaine et la curiosité afin de compromettre leurs informations. En comprenant cet objectif axé sur l’humain, il revient principalement aux utilisateurs de se préparer contre ces actes malveillants.

Dans notre prochaine publication, vous pourrez trouver plusieurs conseils afin de vous prémunir contre les modèles d’ingénierie sociale.

Vous avez des questions ? N’hésitez pas à laisser un commentaire ci-dessous ou contactez notre support (support at mailfence dot com).

Récupérez votre vie privée !

Suivez-nous sur twitter/reddit et restez informés à tous moments.

L’équipe Mailfence


FAITES PASSER LE MESSAGE !

Vous aimerez aussi...

1 réponse

  1. mai 16, 2017

    […] des aspects les plus importants de l’ingénierie sociale est la confiance. Lorsque cette confiance ne peut pas être instaurée, ces manœuvres échouent. […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *