L’ingénierie sociale n’a rien de nouveau. Bien avant que les ordinateurs n’entrent dans nos vies, les êtres humains étaient escroqués à l’aide d’astuces psychologiques. En 1947, un livre intitulé« Illustrated Circular of Confidence Tricksters and Expert Criminals »(Circulaire illustrée des escrocs et des criminels experts) a été publié. Ce livre était un « Who’s who des escrocs internationaux ». En 2021, les bandes criminelles internationales adoptent une approche plus numérique pour escroquer de l’argent, des données et des identifiants de connexion d’entreprises. Bien que des décennies, voire des siècles, séparent les campagnes d’escroquerie des fraudeurs, elles ont toutes un point commun : les fraudeurs d’hier et d’aujourd’hui utilisent l’ingénierie sociale pour obtenir ce qu’ils veulent.

Ingénierie sociale : Les astuces de l’hameçonnage

Il suffit d’un seul clic pour se retrouver avec un appareil infecté. Cette infection peut se répandre comme une traînée de poudre sur le réseau de l’entreprise et sur tous les appareils connectés. L’infection peut finir par coûter à l’entreprise des sommes considérables en temps d’arrêt, en perte de données et en atteinte à sa réputation.

L’expérience d’un seul clic est ce à quoi aspirent les spécialistes du marketing et les cybercriminels. En créant une situation où les gens n’ont pas besoin de réfléchir trop longtemps avant d’agir, vous pouvez mieux capter un public.

Les spécialistes du marketing veulent susciter une réponse émotionnelle à une campagne de marketing, en engageant l’individu avec un produit jusqu’à ce qu’il clique pour obtenir plus d’informations ou, mieux encore, qu’il clique pour acheter.

Les cybercriminels veulent eux aussi obtenir cette « réaction spontanée » et utilisent donc des tactiques similaires pour inciter l’humain à cliquer.

Les criminels numériques ont des avantages par rapport à leurs homologues non numériques. La portée, par exemple, est plus large, avec une approche « spray and pay » des cybercriminels qui utilisent des campagnes de phishing de masse pour atteindre des millions de cibles. Les fraudeurs peuvent aussi devenir plus personnels et utiliser un spear-phishing ciblé qui se concentre sur un individu.

Les attaques par hameçonnage s’appuient sur le comportement humain – ce qui nous fait tiquer, nous fait cliquer. Cela s’explique en grande partie par la formation silencieuse que nous avons tous reçue dans l’utilisation de l’internet. Les concepteurs de sites web et d’applications se concentrent sur la création d’une « interface utilisateur transparente », c’est-à-dire une expérience utilisateur facile qui repose sur une interaction transparente entre la technologie et l’homme. Il en résulte que nous sommes tous habitués à suivre certains modèles de comportement dans le domaine numérique. Ce sont ces modèles que les cybercriminels utilisent pour nous inciter à cliquer.

Repérer les signes d’ingénierie sociale

Les techniques utilisées par les cybercriminels pour inciter le cerveau humain à agir sur un déclencheur sont typiques de la façon dont nous développons normalement les relations humaines :

La confiance: L’utilisation d’une marque connue comme base d’un courriel d’hameçonnage permet à l’escroc d’utiliser la confiance pour pirater un être humain. Les marques les plus populaires pour les campagnes de phishing à grande échelle sont Office 365, Facebook, Google et eBay. Toutefois, des campagnes plus ciblées peuvent choisir une marque plus étroitement liée à une entreprise, par exemple une application web spécifique ou un portail de fournisseur. Ces campagnes peuvent rendre les courriels de phishing encore plus difficiles à détecter et ajouter un élément de confiance supplémentaire à l’attaque si la marque usurpée est étroitement liée à la cible et très reconnaissable. Même les fournisseurs de sécurité peuvent être victimes de l’usurpation de marque dans les campagnes de phishing : Check Point Software, un fournisseur de sécurité de confiance, a vu sa marque utilisée sur un site web de phishing.

Curiosité et urgence : Ce sont des éléments typiques d’une campagne de phishing. Les fraudeurs incitent les utilisateurs à faire leur travail en leur donnant l’impression qu’ils ont affaire à une entité de confiance et que la tâche est urgente. La campagne de phishing d’Office 365 de 2020 en est un exemple. Les chercheurs ont identifié une campagne qui commençait par la réception par un employé d’un courriel indiquant un « message vocal manqué ». Les utilisateurs étaient invités à cliquer sur un bouton pour accéder à leur compte Office 365 afin de consulter le message manqué. Le message affichait également une notification « Message provenant d’un serveur de confiance » en haut de l’e-mail, afin de renforcer l’élément de « confiance ». Si l’utilisateur cliquait sur le bouton et entrait ses données d’identification sur le faux site Office 365, ces données étaient volées.

La voix persuasive: La persuasion joue un rôle majeur dans le succès du phishing. Selon la recherche en marketing de Cialdini, il existe six principes de base utilisés pour influencer le comportement des clients. Ces principes, ainsi que des recherches similaires sur la persuasion et l’influence, ont été utilisés par une équipe de recherche qui s’est penchée sur le fonctionnement de l’ingénierie sociale dans le cadre du phishing. Les chercheurs ont défini cinq éléments clés des campagnes d’hameçonnage les plus persuasives, et donc les plus réussies :

  1. Autorité: Utilisation d’un nom faisant autorité, par exemple le PDG d’une entreprise.

  2. Preuve sociale : Mettez en place une campagne qui utilise la pression des pairs pour encourager les comportements.

  3. Affinité, similitude, tromperie: La persuasion est efficace lorsque les personnes ou les sujets sont familiers.

  4. Engagement, réciprocité et cohérence: Les gens aiment être cohérents et croient volontiers ce que les autres disent et font : rembourser une faveur, par exemple.

  5. Distraction: En créant un sentiment d’urgence (par exemple, un article sera plus cher si vous n’agissez pas maintenant), un escroc peut détourner l’attention d’une personne des signes d’une escroquerie.

Les émotions de l’ingénierie sociale

Les réponses émotionnelles sont celles qui sont profondément ancrées en chacun de nous. L’utilisation de la persuasion et de la manipulation émotionnelle dans les campagnes de phishing a été étudiée dans une étude de 2018 publiée par l’American Psychological Society. Les chercheurs se sont penchés sur « l’éveil émotionnel en tant que tactique de fraude ». L’étude a révélé que des personnes de tous âges réagissaient à des messages de persuasion positifs et négatifs et qu’elles prenaient de mauvaises décisions lorsqu’elles réagissaient. L’étude indique que « l‘excitation émotionnelle peut influencer la susceptibilité aux informations trompeuses et que cet effet se produit à la fois chez les adultes plus âgés et plus jeunes« . Ce comportement fait parfaitement l’affaire des fraudeurs et les messages d’hameçonnage contiennent souvent un élément qui suscite une réaction émotionnelle, comme le montrent les exemples ci-dessus.

Comment se protéger de l’ingénierie sociale

L’ingénierie sociale est dangereuse car elle utilise notre comportement naturel pour nous inciter à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée. Mais les fraudeurs qui pratiquent le phishing adaptent également leurs techniques et leurs outils pour s’assurer un succès continu. Les schémas changeants du phishing, associés à une manipulation sophistiquée des cibles, font de ce type de cybercriminalité insidieuse l’un des plus difficiles à combattre. Il n’existe pas de solution unique pour empêcher le succès de l’hameçonnage. Au lieu de cela, une combinaison de formation de sensibilisation à la sécurité et de solutions techniques est nécessaire pour détecter et empêcher une tentative de phishing.

Le guide ultime de l'hameçonnage