Comment reconnaître les attaques d’ingénierie sociale ?

Si vous êtes comme la plupart des gens, vous ne savez probablement pas grand-chose de l’ingénierie sociale. Ou bien vous pensez qu’elle ne vise qu’à tromper des victimes peu méfiantes pour leur voler de l’argent. Mais ce que vous ne savez peut-être pas, c’est que les techniques d’ingénierie sociale peuvent prendre de nombreuses formes. Le vol d’argent n’est pas toujours leur objectif premier. En fait, les techniques d’ingénierie sociale peuvent être employées pour voler des informations sensibles ou même semer la discorde et le chaos. Par conséquent, les attaques d’ingénierie sociale sont parfois difficiles à identifier et à éviter. Cependant, il existe généralement des signes révélateurs qui peuvent vous mettre la puce à l’oreille. Voyons donc comment reconnaître les attaques d’ingénierie sociale pour les éviter.
Qu’est-ce que l’ingénierie sociale ?
- Les escrocs tentent d’obtenir des informations sensibles ou de l’argent ;
- Ils exploitent la confiance et le comportement humain pour manipuler leurs victimes et atteindre leurs objectifs ;
- Ils exploitent le manque de connaissances de leurs victimes et leur incapacité à mettre en place des mesures de sécurité pour se protéger ;
- Leurs stratagèmes impliquent souvent l’utilisation d’informations personnelles (vol d’identité) pour paraître plus authentiques.
Vous vous souvenez du cheval “cadeau” des Grecs de l’Antiquité à la ville de Troie ? C’est un excellent exemple concret.
La manipulation est cruciale
Si la faiblesse humaine est la clé des pirates, comprendre l’ingénierie sociale est le moyen de l’éviter.
Comment fonctionne l’ingénierie sociale ?
La confiance
Le pirate enverra un message imitant les codes de communication d’une organisation, tels que son logo et d’autres caractéristiques de la marque (polices, style d’écriture, etc.). Il veut amener la victime à faire des choses qu’elle ferait habituellement avec cette organisation spécifique (cliquer sur un lien fourni, télécharger un fichier, etc.), car elle lui fait confiance et ne remet pas en question l’origine du message.
L’obéissance à l’autorité
Le sens de l’urgence, la peur
- comme les fausses alertes de découvert,
- des avertissements de virus,
- ou en exploitant la FOMO (peur de rater quelque chose).
La victime paniquée est incitée à agir sans prendre le temps de réfléchir aux conséquences ou de vérifier la légitimité de la demande. Cela peut être désastreux pour une entreprise (lien en anglais) ou même sur le plan personnel. De plus, quand on sait que les pirates informatiques ciblent spécifiquement les PME, il faut vraiment se protéger.
La cupidité
La générosité
Ils peuvent ensuite se faire passer pour une organisation liée à l’une de ces causes pour vous contacter et vous demander de faire un don. Au cours du processus, ils demanderont vos informations bancaires, afin de pouvoir se servir de votre argent.
Les différents types d’attaques d’ingénierie sociale
Il existe de nombreux types d’attaques d’ingénierie sociale, avec des variantes subtiles.
Les escroqueries par phishing (ou hameçonnage) sont les types les plus courants d’attaques d’ingénierie sociale utilisées aujourd’hui. Les escroqueries par phishing s’appuient sur les emails pour établir une connexion avec la cible, tandis que le smishing s’appuie sur les SMS et le vishing sur les conversations téléphoniques.
Le spear phishing cible des individus spécifiques avec des informations personnelles pour les faire paraître légitimes. Les attaques de whaling ciblent les cadres de haut rang.
Le pretexting est une autre forme d’ingénierie sociale dans laquelle les hackers s’attachent à créer un prétexte plausible, ou un scénario inventé, qu’ils peuvent utiliser pour voler les informations personnelles de leurs victimes.
L’appâtage (baiting) est similaire aux attaques de phishing à plus d’un titre. Toutefois, ce qui le distingue des autres types d’ingénierie sociale, c’est la promesse d’un objet ou d’un bien que les pirates utilisent pour attirer les victimes, tout comme le cheval de Troie.
De même, les attaques de type “quid pro quo” promettent un avantage en échange d’informations. Cet avantage prend généralement la forme d’un service, alors que l’appât prend fréquemment la forme d’un bien.
Un autre type d’attaque d’ingénierie sociale est le “tailgating“, où quelqu’un cherche à entrer physiquement dans une zone restreinte où il n’est pas autorisé à se trouver.
Le scareware vise à faire croire à ses victimes qu’un virus a infecté leur appareil et qu’elles doivent acheter ou télécharger un logiciel spécifique pour y remédier.
La plupart de ces attaques partagent les caractéristiques suivantes :
- Elles cherchent à obtenir des renseignements personnels tels que des noms, des adresses ou des numéros de sécurité sociale.
- Elles peuvent mettre en oeuvre des raccourcis de liens ou intégrer des liens pour rediriger les utilisateurs vers des sites Web suspects au moyen d’URL qui paraissent légitimes.
- Elles sont souvent associées à des logiciels malveillants (malware) pour créer une combinaison dabolique, visant à obtenir une fuite de données personnelles de la machine de la victime tout en compromettant au passage cette même machine.
- Elles peuvent inclure des menaces, de la peur et d’autres moyens d’inspirer un sentiment d’urgence afin de manipuler l’utilisateur et de le pousser à agir rapidement.
Comment reconnaître les attaques d’ingénierie sociale pour les éviter ?
Prenez le temps d’évaluer la situation
Prenez le temps d’analyser l’ensemble de la situation et examinez attentivement le message, même s’il est assez inquiétant.
- Ce message est-il totalement inattendu ?
- Vient-il vraiment d’où il est censé venir ?
- Assurez-vous que vous interagissez avec des contacts de confiance en confirmant leur identité. Dans la mesure du possible, contactez directement l’expéditeur pour vous assurer que c’est bien lui qui vous a envoyé ce que vous avez reçu.
- Vérifiez également les fautes d’orthographe, les détails bizarres dans le logo ou tout autre élément révélant qu’il s’agit d’un faux. Cette organisation communique-t-elle de cette manière d’habitude ?
- Encore une fois, en cas de doute, prenez votre téléphone et appelez le numéro que vous avez l’habitude d’appeler (et non le numéro fourni) pour obtenir plus d’informations.
Vérifiez l’URL ou le fichier avant de cliquer
Toute pièce jointe dans un message peut en fait cacher un virus ou un autre type de logiciel malveillant, comme un rançongiciel (ransomware). Un lien dans un message peut vous conduire à un site web créé de toutes pièces pour voler vos données ou infecter votre appareil avec un logiciel malveillant.
Avant de cliquer dessus, inspectez-les attentivement :
- Y a-t-il un message indiquant qu’il contient des macros ?
- Vous attendiez-vous à ce fichier ou à ce lien ?
- En cas de doute, n’hésitez pas à vérifier et à demander directement à l’expéditeur si cela vient bien de lui (contactez-le avec vos moyens de contact habituels, et non avec les moyens de contact fournis dans le message suspect).
- Et si vous ne connaissez pas l’expéditeur, ne cliquez pas, surtout si le titre du fichier est particulièrement attrayant pour une raison quelconque.
Soyez conscient de la valeur de certaines de vos données ou de vos prérogatives
Même si vous n’êtes pas millionnaire, vous possédez de nombreuses choses qui pourraient susciter la convoitise des cybercriminels :
- Vos données (qui peuvent être vendues sur le dark net),
- Certains accès logiciels que vous avez dans l’entreprise pour laquelle vous travaillez,
- Des comptes de réseaux sociaux très détaillés, avec de nombreuses photos, et des commentaires révélant ce que vous aimez, ce que vous soutenez, etc. Cela signifie qu’il sera facile de vous profiler et de déterminer la stratégie appropriée pour vous cibler. Par conséquent, faites attention à ce que vous partagez sur les médias sociaux.
Prenez le temps d’examiner vos privilèges, vos communications sur le net, et essayez d’évaluer le potentiel que vous offrez à tout scammeur. En étant plus conscient de cela, vous pourrez améliorer votre capacité à reconnaître l’ingénierie sociale.
Apprenez à connaître les stratégies d’ingénierie sociale
L’ingénierie sociale exploite les faiblesses humaines. La sensibilisation est donc primordiale pour éviter les attaques d’ingénierie sociale. Consultez ces articles pour en savoir encore plus sur la manière d’éviter les arnaques d’ingénierie sociale :
- 11 astuces pour éviter les machinations d’ingénierie sociale
- Les 7 plus grandes erreurs à éviter en matière de sécurité des emails
- Notre cours de sensibilisation à la sécurité et à la confidentialité des emails est probablement le meilleur choix pour apprendre la cybersécurité.
Utilisez des logiciels de sécurité pour éviter les spams et les emails de phishing
Pour protéger votre appareil et vos données des cybermenaces et des tentatives d’intrusion, vous devez utiliser un antivirus et effectuer des sauvegardes régulières.
Mais vous devez également utiliser une solution d’email sécurisée pour vous assurer que les messages arrivant dans votre boîte de réception ne comportent pas de malware ou de partie malveillante, et les bloquer si c’est le cas.
En outre, les emails sont la porte d’entrée idéale pour les pirates. Pourquoi ne pas renforcer la sécurité de votre compte email avec le chiffrement des données, les signatures numériques et l’authentification à deux facteurs (2FA) ?
Et que diriez-vous d’ouvrir là, maintenant, un compte gratuit de la suite Mailfence pour découvrir sa facilité d’utilisation ?
Partager Cet Article
Salman travaille comme analyste de la sécurité de l’information pour Mailfence. Ses domaines d’intérêt incluent la cryptographie, l’architecture et la conception de la sécurité, le contrôle d’accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem