Blog sur la cybersécurité en entreprise

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Cinq exemples de techniques d’attaques utilisant l’ingénierie sociale

Techniques d'attaques utilisant l'ingénierie sociale | Qu'est-ce qu'une violation de données ?

AU SUJET DE L'AUTEUR

James MacKay

Les êtres humains sont des animaux sociaux. Nous aimons nous mélanger, communiquer, travailler et nous amuser ensemble. Cette socialisation basée sur des relations de confiance permet aux groupes humains de coopérer et de coexister. Cependant, il est important de noter que cette ouverture peut également rendre les individus vulnérables aux techniques d'attaques utilisant l'ingénierie sociale.

En effet, ce sont également ces aspects sociaux du comportement humain que les cybercriminels, désireux de nuire, peuvent exploiter. Les attaques d'ingénierie sociale font appel à la ruse et à l'usurpation d'identité pour inciter les gens à effectuer une action qui profite à l'escroc.

C'est ce que confirme le Verizon Data Breach Investigations Report (DBIR) de 2022, qui révèle que 82 % des violations impliquent un élément humain.

Voici un aperçu de la manière dont les attaques par ingénierie sociale se produisent. Nous vous proposons également des conseils pratiques pour sensibiliser votre personnel et les protéger contre ces techniques de social engineering.

Comment se produisent les attaques d'ingénierie sociale ?

Selon ce rapport, une organisation moyenne subit 700 attaques d'ingénierie sociale par an. Les attaques d'ingénierie sociale prennent de nombreuses formes et évoluent constamment pour échapper à la détection. Des exemples courants incluent l'hameçonnage, le spear phishing, le pretexting, le talonnage (tailgating) et l'appâtage (baiting). Il est crucial de rester informé des nouvelles techniques d'attaques utilisant l'ingénierie sociale pour mieux protéger votre organisation.

Le but d'une attaque par ingénierie sociale est d'amener une personne à faire quelque chose qui profite à un cybercriminel. Par exemple, amener une personne à révéler des informations financières qui seront ensuite utilisées pour commettre une fraude.

L'ingénierie sociale ne s'effectue pas uniquement par des méthodes numériques. Les ingénieurs sociaux recourent à n'importe quelle tactique pour construire les structures nécessaires pour tromper les gens. Ils peuvent par exemple utiliser le téléphone ou entrer dans un bureau et discuter avec le personnel.

Les astuces d'ingénierie sociale préférées du moment sont les suivantes :

Prétexte (pretexting) et talonnage (tailgating)

Les attaquants se font passer pour des collègues de travail ou des personnes en autorité, comme des policiers, pour établir la confiance avec leur cible via divers moyens tels que les communications numériques, téléphoniques ou en personne. Une fois la confiance établie, l'escroc cherchera à obtenir des informations confidentielles telles que des données personnelles ou des informations financières.

De plus, les escrocs mènent souvent des attaques physiques contre les entreprises en trouvant des moyens d'entrer dans un bâtiment, en se faufilant discrètement ou en étant même invités. Une fois à l'intérieur, ils peuvent utiliser des outils facilement accessibles, tels qu'une clé USB Rubber Ducky, utilisés par des testeurs de pénétration légitimes, pour voler des données sensibles, notamment des identifiants de connexion.

Hameçonnage (phishing)

L'hameçonnage prend diverses formes telles que les courriels, appels téléphoniques, messages sur les réseaux sociaux et SMS. Les messages d'hameçonnage utilisent des tactiques d'ingénierie sociale pour tromper les destinataires en leur faisant croire qu'ils proviennent d'une source fiable et inciter à divulguer des informations confidentielles, telles que des mots de passe ou des données de carte de crédit, en jouant sur leur prétention, leur confiance et leur envie de cliquer.

Une étude du gouvernement britannique sur la cybersécurité a révélé que la grande majorité (83 %) des entreprises qui ont identifié une cyberattaque ont déclaré que le phishing était le principal vecteur de l'attaque.

Le spear phishing (hameçonnage par harponnage) est une forme hautement ciblée d'ingénierie sociale qui peut atteindre un taux élevé de réussite. Les e-mails de spear phishing sont difficiles à distinguer des e-mails légitimes, car les fraudeurs prennent soin de leur donner une apparence réaliste et établissent souvent une relation de confiance avec leur cible. En fait, l'hameçonnage par harponnage est à l'origine de 93 % des cyberattaques, selon le rapport DBIR 2018.

Appâtage (baiting)

Cette attaque d'ingénierie sociale utilise l'incitation ou la peur de manquer (FOMO) pour encourager certains comportements. Par exemple, un employé peut se voir offrir des cadeaux ou des récompenses s'il fournit des informations personnelles ou relatives à l'entreprise, ou encore des mots de passe.

En savoir plus : Six façons dont les cybercriminels utilisent l’ingénierie social

Pourquoi les attaques par ingénierie sociale sont-elles efficaces ?

Les êtres humains ont évolué pour agir et se comporter d'une certaine manière afin d'établir des structures sociales fortes et cohérentes. Des éléments tels que la confiance sont des composantes essentielles des sociétés cohérentes, car sans elle, les relations échouent.

Les escrocs comprennent le comportement humain et la nécessité d'établir des relations de confiance. Ils savent également comment manipuler les gens en se faisant passer pour une personne de confiance ou en instaurant un climat de confiance.

D'autres comportements humains, tels que l'envie de faire du bon travail, de ne pas s'attirer d'ennuis ou de ne pas manquer une bonne opportunité, sont également exploités par les cybercriminels. Toutes ces actions naturelles que nous accomplissons quotidiennement dans nos vies privées et professionnelles peuvent être exploitées par des cybercriminels qui ont l'intention de voler des données et d'accéder à des réseaux pour mener des actions malveillantes.

Cinq exemples de techniques d'attaques utilisant l'ingénierie sociale

La presse rapporte régulièrement des exemples d'ingénierie sociale, en voici cinq qui vous donneront une idée de son fonctionnement.

Hôtel Marriott : un groupe de pirates a employé des tactiques d'ingénierie sociale pour s'emparer de 20 Go de données personnelles et financières dans un hôtel Marriott. Les pirates ont trompé un associé de l'hôtel Marriott en vue d'obtenir l'accès à l'ordinateur de cet associé.

Département américain du travail (DoL) : le Département américain du travail (DoL) a été victime d'une attaque par ingénierie sociale visant à dérober les identifiants de connexion à Office 365. L'attaque a utilisé une technique sophistiquée d'hameçonnage, en se basant sur des domaines habilement usurpés qui ressemblaient au domaine légitime du DoL. Les e-mails semblaient provenir d'un employé supérieur du ministère de l'Intérieur et invitaient les destinataires à soumettre une offre pour un projet gouvernemental. En cliquant sur le bouton de soumission d'offre, l'employé était dirigé vers un site de phishing conçu pour voler des informations d'identification.

Utilisateurs de Zoom : une campagne de phishing ciblant les employés a touché au moins 50 000 utilisateurs. Les pirates ont utilisé des techniques d'ingénierie sociale pour créer la peur du licenciement chez les employés et les inciter à cliquer sur un lien pour une réunion avec les RH via Zoom. Cependant, en cliquant sur ce lien, l'employé était redirigé vers un faux site de connexion Zoom qui avait été spécialement conçu pour voler les mots de passe des utilisateurs.

FACC : FACC (un constructeur aéronautique autrichien) a subi une perte d'environ 42 millions d'euros en raison d'une escroquerie sophistiquée de type "Business Email Compromise" (BEC). Les escrocs ont réussi à usurper le compte de messagerie du PDG de l'entreprise pour envoyer un courriel "urgent" demandant un transfert de fonds. Malheureusement, un employé en charge du paiement des comptes a été trompé par cet e-mail et a transféré l'argent sur le compte des escrocs.

Crowdstrike : les fournisseurs de sécurité eux-mêmes peuvent être vulnérables à l'ingénierie sociale. Crowdstrike, un fournisseur de sécurité, a été involontairement la cible d'une attaque sophistiquée d'ingénierie sociale. Les escrocs ont exploité la réputation de confiance de Crowdstrike et d'autres fournisseurs de sécurité pour envoyer des e-mails de phishing aux employés. Ces e-mails prétendaient que l'ordinateur de l'employé était infecté par un logiciel malveillant et fournissaient un numéro de téléphone à appeler pour le supprimer. Si l'employé appelait le numéro de téléphone fourni, l'attaquant pouvait alors accéder à l'ordinateur de l'employé et prendre le contrôle de celui-ci.

En savoir plus : Terminologie de cybersécurité et de cybercriminalité

Comment se protéger contre les attaques d'ingénierie sociale

L'ingénierie sociale réussit en manipulant nos actions quotidiennes, ce qui la rend difficile à détecter pour les employés qui peuvent ne pas réaliser qu'ils sont victimes d'une attaque d'ingénierie sociale.

Il est important d'inclure l'ingénierie sociale dans les discussions de sensibilisation à la cybersécurité et de prendre en compte cette menace dans les politiques de sécurité. Cependant, il existe des moyens pratiques pour sensibiliser les employés aux astuces des escrocs de l'ingénierie sociale :

Intégrez efficacement l'ingénierie sociale dans votre culture de sécurité :

  1. Faites participer le personnel à des mises à jour régulières sur l'ingénierie sociale et son fonctionnement.
  2. Veillez à ce que l'ingénierie sociale fasse partie de votre formation régulière de sensibilisation à la cybersécurité.
  3. Incluez l'ingénierie sociale dans les bulletins d'information et les affiches de sensibilisation à la cybersécurité destinés au personnel, afin de mettre en évidence les problèmes liés à cette pratique. Cela peut aider à sensibiliser les employés aux différentes techniques d'ingénierie sociale et aux risques qu'elles présentent, ainsi qu'à les inciter à adopter des comportements de sécurité plus responsables et vigilants.

Déployez des simulations d'hameçonnage : utilisez une plateforme de simulation d'hameçonnage avancée pour former le personnel à reconnaître les courriels de phishing et pour tester leur réaction face à ces derniers. Adaptez ces e-mails aux différents rôles présents dans votre organisation et basez les simulations sur les tactiques connues utilisées par les escrocs.

Testez la sécurité et la réactivité de votre personnel : mettez en place différents scénarios de test pour évaluer la capacité de votre personnel à faire face à d'éventuelles tentatives d'ingénierie sociale. Cela peut inclure des tests visant à déterminer la facilité (ou la difficulté) d'infiltrer votre bâtiment.

En outre, testez la vigilance de votre personnel face aux individus inconnus. Par exemple, vous pouvez faire passer des testeurs pour des nettoyeurs ou des entrepreneurs et voir jusqu'où ils peuvent aller pour obtenir des informations sur votre entreprise ou demander l'accès à un ordinateur. Ces tests peuvent aider à identifier les points faibles de votre organisation et à renforcer la sécurité en conséquence.

En savoir plus : Formation cybersécurité pour les employés