Comment reconnaître les attaques d’ingénierie sociale ?

Découvrez nos conseils pour reconnaître les attaques d'ingénierie sociale

Table des matières

Partager cet article

Apprenez à reconnaître les attaques d'ingénierie sociale et à éviter les attaques d'ingénierie sociale grâce nos conseils

 

Si vous êtes comme la plupart des gens, vous ne savez probablement pas grand-chose de l’ingénierie sociale. Ou bien vous pensez qu’elle ne vise qu’à tromper des victimes peu méfiantes pour leur voler de l’argent. Mais ce que vous ne savez peut-être pas, c’est que les techniques d’ingénierie sociale peuvent prendre de nombreuses formes. Le vol d’argent n’est pas toujours leur objectif premier. En fait, les techniques d’ingénierie sociale peuvent être employées pour voler des informations sensibles ou même semer la discorde et le chaos. Par conséquent, les attaques d’ingénierie sociale sont parfois difficiles à identifier et à éviter. Cependant, il existe généralement des signes révélateurs qui peuvent vous mettre la puce à l’oreille. Voyons donc comment reconnaître les attaques d’ingénierie sociale pour les éviter.

Qu’est-ce que l’ingénierie sociale ?

Commençons par le commencement. Qu’est-ce que l’ingénierie sociale ? L’ingénierie sociale regroupe de nombreuses techniques visant à exploiter la nature humaine pour induire des comportements et des erreurs qui conduiront à compromettre ou à affaiblir les mesures de sécurité. Cela permettra aux cybercriminels d’accéder à des informations, à de l’argent ou de contrôler ce qu’ils recherchent. Il ne s’agit pas d’un type d’attaque unique mais plutôt d’un groupe d’escroqueries différentes qui partagent plusieurs similitudes :
 
  • Les escrocs tentent d’obtenir des informations sensibles ou de l’argent ;
  • Ils exploitent la confiance et le comportement humain pour manipuler leurs victimes et atteindre leurs objectifs ;
  • Ils exploitent le manque de connaissances de leurs victimes et leur incapacité à mettre en place des mesures de sécurité pour se protéger ;
  • Leurs stratagèmes impliquent souvent l’utilisation d’informations personnelles (vol d’identité) pour paraître plus authentiques.

Vous vous souvenez du cheval “cadeau” des Grecs de l’Antiquité à la ville de Troie ? C’est un excellent exemple concret.

La manipulation est cruciale

Oubliez les tactiques de force brute. Avec l’ingénierie sociale, les attaquants utilisent des tactiques de manipulation pour amener leurs victimes à se compromettre ou à compromettre les mesures de sécurité sur lesquelles elles comptent. Les escrocs entrent en contact avec leurs victimes pour leur inspirer confiance et influencer leurs actions.
 
À mesure que les attaquants connaissent mieux les motivations de leurs cibles, ils peuvent élaborer des tactiques de persuasion pour les attirer vers un comportement potentiellement destructeur.
 
Et cela fonctionne : de nombreux incidents de cybersécurité sont en fait des schémas d’ingénierie sociale réussis, mis en œuvre par des attaquants externes. Ils jouent avec la faiblesse humaine pour que leurs victimes donnent involontairement accès à des informations sensibles ou à de l’argent.
 
Vous pouvez utiliser des canaux sécurisés pour communiquer et prendre diverses autres mesures pour protéger et sécuriser votre vie privée en ligne – par exemple, si vous utilisez une suite de messagerie électronique telle que Mailfence – et vous faire quand même piéger par une manœuvre d’ingénierie sociale.
 
Un pirate peut obtenir vos informations d’identification et contourner toutes vos barrières de sécurité pour accéder à votre monde en ligne, simplement parce que pendant un bref instant vous lui avez fait confiance et l’avez laissé obtenir des informations cruciales. C’est pourquoi il est essentiel d’apprendre à reconnaître l’ingénierie sociale et les manigances des cybercruiminels.
 

Si la faiblesse humaine est la clé des pirates, comprendre l’ingénierie sociale est le moyen de l’éviter.

Comment fonctionne l’ingénierie sociale ?

Comme nous l’avons déjà mentionné, l’ingénierie sociale implique la manipulation de la victime. Elle peut prendre diverses formes pour faire naître des sentiments ou des caractéristiques humaines spécifiques :

La confiance

Le pirate enverra un message imitant les codes de communication d’une organisation, tels que son logo et d’autres caractéristiques de la marque (polices, style d’écriture, etc.). Il veut amener la victime à faire des choses qu’elle ferait habituellement avec cette organisation spécifique (cliquer sur un lien fourni, télécharger un fichier, etc.), car elle lui fait confiance et ne remet pas en question l’origine du message.

L’obéissance à l’autorité

L’obéissance à l’autorité est un autre trait humain que les tactiques d’ingénierie sociale peuvent exploiter. Les pirates se feront passer pour un individu de haut rang ou une agence gouvernementale pour inciter leur cible obéissante à faire quelque chose.

Le sens de l’urgence, la peur

Les gens peuvent agir sans réfléchir lorsqu’ils sont confrontés à un sentiment soudain de panique ou d’anxiété. Ils sont vulnérables aux escroqueries d’ingénierie sociale qui exploitent de telles émotions. Ces tactiques trompeuses tirent parti de la peur et de l’urgence de diverses manières :
  • comme les fausses alertes de découvert,
  • des avertissements de virus,
  • ou en exploitant la FOMO (peur de rater quelque chose).

La victime paniquée est incitée à agir sans prendre le temps de réfléchir aux conséquences ou de vérifier la légitimité de la demande. Cela peut être désastreux pour une entreprise (lien en anglais) ou même sur le plan personnel. De plus, quand on sait que les pirates informatiques ciblent spécifiquement les PME, il faut vraiment se protéger.

La cupidité

Vous ne refuseriez pas un cadeau, n’est-ce pas ? Les pirates l’ont compris et de nombreuses escroqueries tirent parti de notre avidité pour attirer leurs victimes avec des récompenses en argent, des iPhones et d’autres prix convoités.
 
Il est fort probable que vous ayez reçu au moins une fois une “lettre nigériane”. Il s’agit en fait d’une attaque par phishing. Ce type d’e-mails est prétendument envoyé par un individu qui prétend vouloir que vous récupériez plusieurs millions de dollars auprès de la banque nigériane. Apparemment, l’argent y est bloqué pour une raison obscure… Il vous suffit de payer des frais administratifs pour obtenir l’argent.
 
C’est l’exemple parfait d’une escroquerie utilisant notre attirance pour l’argent, les cadeaux ou les récompenses faciles.

La générosité

La générosité et le désir d’aider nos semblables sont d’autres traits humains que les techniques d’ingénierie sociale peuvent exploiter. Les pirates font des recherches sur les médias sociaux pour savoir ce qui vous tient à cœur et quelles causes vous pourriez soutenir.
 

Ils peuvent ensuite se faire passer pour une organisation liée à l’une de ces causes pour vous contacter et vous demander de faire un don. Au cours du processus, ils demanderont vos informations bancaires, afin de pouvoir se servir de votre argent.

Les différents types d’attaques d’ingénierie sociale

Il existe de nombreux types d’attaques d’ingénierie sociale, avec des variantes subtiles.

Les escroqueries par phishing (ou hameçonnage) sont les types les plus courants d’attaques d’ingénierie sociale utilisées aujourd’hui. Les escroqueries par phishing s’appuient sur les emails pour établir une connexion avec la cible, tandis que le smishing s’appuie sur les SMS et le vishing sur les conversations téléphoniques.

Le spear phishing cible des individus spécifiques avec des informations personnelles pour les faire paraître légitimes. Les attaques de whaling ciblent les cadres de haut rang.

Le pretexting est une autre forme d’ingénierie sociale dans laquelle les hackers s’attachent à créer un prétexte plausible, ou un scénario inventé, qu’ils peuvent utiliser pour voler les informations personnelles de leurs victimes.

L’appâtage (baiting) est similaire aux attaques de phishing à plus d’un titre. Toutefois, ce qui le distingue des autres types d’ingénierie sociale, c’est la promesse d’un objet ou d’un bien que les pirates utilisent pour attirer les victimes, tout comme le cheval de Troie.

De même, les attaques de type “quid pro quo” promettent un avantage en échange d’informations. Cet avantage prend généralement la forme d’un service, alors que l’appât prend fréquemment la forme d’un bien.

Un autre type d’attaque d’ingénierie sociale est le “tailgating“, où quelqu’un cherche à entrer physiquement dans une zone restreinte où il n’est pas autorisé à se trouver.

Le scareware vise à faire croire à ses victimes qu’un virus a infecté leur appareil et qu’elles doivent acheter ou télécharger un logiciel spécifique pour y remédier.

La plupart de ces attaques partagent les caractéristiques suivantes :

  • Elles cherchent à obtenir des renseignements personnels tels que des noms, des adresses ou des numéros de sécurité sociale.
  • Elles peuvent mettre en oeuvre des raccourcis de liens ou intégrer des liens pour rediriger les utilisateurs vers des sites Web suspects au moyen d’URL qui paraissent légitimes.
  • Elles sont souvent associées à des logiciels malveillants (malware) pour créer une combinaison dabolique, visant à obtenir une fuite de données personnelles de la machine de la victime tout en compromettant au passage cette même machine.
  • Elles peuvent inclure des menaces, de la peur et d’autres moyens d’inspirer un sentiment d’urgence afin de manipuler l’utilisateur et de le pousser à agir rapidement.

Comment reconnaître les attaques d’ingénierie sociale pour les éviter ?

Prenez le temps d’évaluer la situation

Prenez le temps d’analyser l’ensemble de la situation et examinez attentivement le message, même s’il est assez inquiétant.

  • Ce message est-il totalement inattendu ?
  • Vient-il vraiment d’où il est censé venir ?
  • Assurez-vous que vous interagissez avec des contacts de confiance en confirmant leur identité. Dans la mesure du possible, contactez directement l’expéditeur pour vous assurer que c’est bien lui qui vous a envoyé ce que vous avez reçu.
  • Vérifiez également les fautes d’orthographe, les détails bizarres dans le logo ou tout autre élément révélant qu’il s’agit d’un faux. Cette organisation communique-t-elle de cette manière d’habitude ?
  • Encore une fois, en cas de doute, prenez votre téléphone et appelez le numéro que vous avez l’habitude d’appeler (et non le numéro fourni) pour obtenir plus d’informations.

Vérifiez l’URL ou le fichier avant de cliquer

Toute pièce jointe dans un message peut en fait cacher un virus ou un autre type de logiciel malveillant, comme un rançongiciel (ransomware). Un lien dans un message peut vous conduire à un site web créé de toutes pièces pour voler vos données ou infecter votre appareil avec un logiciel malveillant.

Avant de cliquer dessus, inspectez-les attentivement :

  • Y a-t-il un message indiquant qu’il contient des macros ?
  • Vous attendiez-vous à ce fichier ou à ce lien ?
  • En cas de doute, n’hésitez pas à vérifier et à demander directement à l’expéditeur si cela vient bien de lui (contactez-le avec vos moyens de contact habituels, et non avec les moyens de contact fournis dans le message suspect).
  • Et si vous ne connaissez pas l’expéditeur, ne cliquez pas, surtout si le titre du fichier est particulièrement attrayant pour une raison quelconque.

Soyez conscient de la valeur de certaines de vos données ou de vos prérogatives

Même si vous n’êtes pas millionnaire, vous possédez de nombreuses choses qui pourraient susciter la convoitise des cybercriminels :

  • Vos données (qui peuvent être vendues sur le dark net),
  • Certains accès logiciels que vous avez dans l’entreprise pour laquelle vous travaillez,
  • Des comptes de réseaux sociaux très détaillés, avec de nombreuses photos, et des commentaires révélant ce que vous aimez, ce que vous soutenez, etc. Cela signifie qu’il sera facile de vous profiler et de déterminer la stratégie appropriée pour vous cibler. Par conséquent, faites attention à ce que vous partagez sur les médias sociaux.

Prenez le temps d’examiner vos privilèges, vos communications sur le net, et essayez d’évaluer le potentiel que vous offrez à tout scammeur. En étant plus conscient de cela, vous pourrez améliorer votre capacité à reconnaître l’ingénierie sociale.

Apprenez à connaître les stratégies d’ingénierie sociale

L’ingénierie sociale exploite les faiblesses humaines. La sensibilisation est donc primordiale pour éviter les attaques d’ingénierie sociale. Consultez ces articles pour en savoir encore plus sur la manière d’éviter les arnaques d’ingénierie sociale :

Utilisez des logiciels de sécurité pour éviter les spams et les emails de phishing

Pour protéger votre appareil et vos données des cybermenaces et des tentatives d’intrusion, vous devez utiliser un antivirus et effectuer des sauvegardes régulières.

Mais vous devez également utiliser une solution d’email sécurisée pour vous assurer que les messages arrivant dans votre boîte de réception ne comportent pas de malware ou de partie malveillante, et les bloquer si c’est le cas.

En outre, les emails sont la porte d’entrée idéale pour les pirates. Pourquoi ne pas renforcer la sécurité de votre compte email avec le chiffrement des données, les signatures numériques et l’authentification à deux facteurs (2FA) ?

Et que diriez-vous d’ouvrir là, maintenant, un compte gratuit de la suite Mailfence pour découvrir sa facilité d’utilisation ?

[maxbutton id=”14″]

Partager Cet Article
Reprenez votre vie privée en main.

Créez votre e-mail gratuit et sécurisé dès aujourd'hui.

M Salman Nadeem

M Salman Nadeem

Salman travaille comme analyste de la sécurité de l'information pour Mailfence. Ses domaines d'intérêt sont la cryptographie, l'architecture et la conception de la sécurité, le contrôle d'accès et la sécurité des opérations. Vous pouvez le suivre sur LinkedIn @mohammadsalmannadeem.

Recommandé pour vous