L’ingénierie sociale est un terme que nous entendons constamment dans les nouvelles concernant les cyber-attaques, mais qu’est-ce que cela signifie exactement ?

L’ingénierie sociale est l’art de manipuler les gens pour qu’ils accomplissent certaines actions ou divulguent des informations confidentielles.

Plutôt que d’utiliser des attaques de piratage traditionnelles, les cybercriminels profitent de notre confiance en la nature humaine pour nous inciter à enfreindre les pratiques de sécurité habituelles.

Ces types d’attaques sont de plus en plus fréquents et sophistiqués, et s’avèrent être un moyen très efficace pour les escrocs d’obtenir un accès non autorisé aux réseaux informatiques et aux données sensibles.

Les attaques par ingénierie sociale se présentent sous différentes formes, mais le point commun entre toutes est l’exploitation du comportement humain. Les exemples suivants sont les formes d’attaques les plus courantes.

Hameçonnage

Le phishing reste l’attaque d’ingénierie sociale la plus populaire en raison de son taux de réussite élevé. La majorité des cyberattaques peuvent être attribuées à un courriel d’hameçonnage et l’escroquerie en ligne fonctionne en incitant les gens à donner des informations sensibles ou à télécharger des logiciels malveillants.

Les courriels de phishing sont conçus pour paraître authentiques et semblent provenir d’une source légitime. Le courriel contient un lien ou une pièce jointe qui, une fois cliqué, infecte l’ordinateur avec un logiciel malveillant.

Vishing

L’hameçonnage est une combinaison des mots « voice » (voix) et « phishing » (hameçonnage) et fait référence aux escroqueries par hameçonnage qui ont lieu par téléphone. De toutes les attaques d’ingénierie sociale, c’est celle qui comporte le plus d’interaction humaine, mais elle suit le même schéma de tromperie. Les escrocs créent souvent un sentiment d’urgence pour convaincre la victime de divulguer des informations sensibles.

L’appel est souvent effectué par le biais d’un identifiant usurpé, de sorte qu’il semble provenir d’une source digne de confiance. Dans un scénario typique, l’escroc se fait passer pour un employé de banque afin de signaler un comportement suspect sur un compte. Une fois qu’il a gagné la confiance de la victime, il lui demande des informations personnelles telles que les identifiants, les mots de passe et le code PIN. Ces informations peuvent ensuite être utilisées pour vider des comptes bancaires ou commettre une usurpation d’identité.

Pêche au saumon

Le smishing est un type d’hameçonnage qui utilise des messages SMS plutôt que des courriels pour cibler les individus. Il est utilisé par les criminels pour encourager les individus à divulguer des informations personnelles telles que les détails d’un compte, les détails d’une carte de crédit ou les noms d’utilisateur et les mots de passe. Le fraudeur envoie un message texte au numéro de téléphone d’une personne et inclut généralement un appel à l’action qui nécessite une réponse immédiate. Les messages prétendent souvent provenir de banques, de services fiscaux ou même de vos propres amis. Ils peuvent vous demander de cliquer sur un lien, d’appeler un numéro ou même de vous informer que vous êtes sur le point de recevoir un appel téléphonique d’un membre de l’assistance.

Spear – Hameçonnage

Le Spear-Phishing est une tentative plus ciblée de vol d’informations sensibles et se concentre généralement sur une personne ou une organisation spécifique. Ces types d’attaques utilisent des informations personnelles propres à l’individu afin de paraître légitimes.  En savoir plus sur le spear phishing.

Les escrocs se tournent souvent vers les médias sociaux pour rechercher leurs victimes. Une fois qu’ils ont mieux compris leur cible, ils commencent à envoyer des courriels personnalisés contenant des liens qui, une fois cliqués, infectent l’ordinateur avec des logiciels malveillants.

Chasse à la baleine

Ce qui distingue cette catégorie d’hameçonnage des autres, c’est le choix d’une cible de haut niveau. Une attaque de type « whaling » est une tentative de vol d’informations sensibles et vise souvent des cadres supérieurs ou d’autres cibles de haut niveau telles que des politiciens ou des célébrités. Le terme « whaling » est utilisé pour indiquer que la cible poursuivie est un gros poisson à capturer.

Les courriels d’hameçonnage sont beaucoup plus sophistiqués que les courriels d’hameçonnage ordinaires et beaucoup plus difficiles à repérer. En règle générale, ils contiennent des informations personnalisées sur la cible ou l’organisation et le langage utilisé est celui d’une entreprise. L’élaboration de ces courriels demande beaucoup plus d’efforts et de réflexion, car les escrocs en tirent un grand profit.

Appât

L’appât, comme son nom l’indique, consiste à attirer quelqu’un dans un piège afin de voler ses informations personnelles ou d’infecter son ordinateur avec des logiciels malveillants.

Pour inciter les victimes à tomber dans leur piège, les appâteurs proposent souvent de télécharger gratuitement de la musique ou des films si les utilisateurs fournissent leurs identifiants de connexion. Une autre astuce populaire consiste à laisser un dispositif infecté par un logiciel malveillant, tel qu’une clé USB, dans un endroit où quelqu’un peut le trouver.

Les escrocs comptent sur la curiosité humaine pour mener à bien l’escroquerie. En insérant l’appareil dans leur ordinateur pour voir ce qu’il contient, ils installent à leur tour un logiciel malveillant.

Tailgating

Le « tailgating » consiste à suivre un employé dans une zone restreinte. Ces attaques sont souvent menées hors ligne, mais peuvent conduire à de futures attaques en ligne.

Un exemple courant de ce type d’attaque est celui d’une personne qui se fait passer pour un livreur et attend qu’un employé s’approche du bâtiment. L’attaquant lui demande alors de lui tenir la porte pour qu’il puisse accéder au bâtiment. Une fois à l’intérieur, le pirate peut accéder à des informations sensibles de l’entreprise.

Pour éviter d’être victime de ce type d’attaques, il existe un certain nombre de mesures à prendre. N’ouvrez jamais de courriels provenant de sources inconnues, ne cliquez pas sur des liens suspects, installez un logiciel antivirus et lisez la politique de confidentialité de votre entreprise.

Pour savoir comment MetaCompliance peut vous aider à vous protéger contre ces types d’attaques d’ingénierie sociale, cliquez ici.