MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Qu'est-ce que l'ingénierie sociale ?

ingénierie sociale de l'en-tête

sur l auteur

Partager sur linkedin
Partager sur Twitter
Partager sur facebook

L'ingénierie sociale est un terme que nous entendons constamment dans les nouvelles concernant les cyber-attaques, mais qu'est-ce que cela signifie exactement ?

L'ingénierie sociale est l'art de manipuler les gens pour qu'ils effectuent certaines actions ou divulguent des informations confidentielles.

Plutôt que de recourir aux attaques de piratage traditionnelles, les cybercriminels profitent de notre nature humaine confiante pour nous inciter à enfreindre les pratiques de sécurité normales.

Ces types d'attaques ont gagné en fréquence et en sophistication, et s'avèrent être un moyen très efficace pour les escrocs d'obtenir un accès non autorisé aux réseaux informatiques et aux données sensibles.

Les attaques par ingénierie sociale se présentent sous de nombreuses formes différentes, mais leur point commun est l'exploitation du comportement humain. Les exemples suivants sont les formes d'attaque les plus couramment utilisées.

Phishing

Qu'est-ce que l'ingénierie sociale ?

Le phishing reste l'attaque d'ingénierie sociale la plus populaire en raison de son taux de réussite élevé. La majorité des cyberattaques peuvent être attribuées à un courriel de phishing. L'escroquerie en ligne consiste à inciter les gens à donner des informations sensibles ou à télécharger des logiciels malveillants.

Les courriels d'hameçonnage sont conçus pour paraître authentiques et semblent provenir d'une source légitime. L'e-mail contient un lien ou une pièce jointe qui, une fois cliqué, infecte l'ordinateur avec un logiciel malveillant.

Vishing

Qu'est-ce que l'ingénierie sociale ?

Le hameçonnage vocal est une combinaison des mots "voix" et "hameçonnage" et désigne les arnaques au hameçonnage qui ont lieu par téléphone. De toutes les attaques d'ingénierie sociale, c'est celle qui présente le plus d'interaction humaine, mais elle suit le même schéma de tromperie. Les escrocs créent souvent un sentiment d'urgence pour convaincre la victime de divulguer des informations sensibles.

L'appel est souvent effectué par le biais d'un identifiant usurpé, afin de donner l'impression qu'il provient d'une source digne de confiance. Dans un scénario typique, l'escroc se fait passer pour un employé de banque afin de signaler un comportement suspect sur un compte. Une fois qu'il a gagné la confiance de la victime, il lui demande des informations personnelles telles que ses identifiants, ses mots de passe et son code PIN. Ces informations peuvent ensuite être utilisées pour vider des comptes bancaires ou commettre une usurpation d'identité.

Smishing

Qu'est-ce que l'ingénierie sociale ?

Le smishing est un type d'hameçonnage qui utilise des messages SMS plutôt que des courriels pour cibler les personnes. Il est utilisé par les criminels pour encourager les personnes à divulguer des informations personnelles telles que les détails d'un compte, les détails d'une carte de crédit ou les noms d'utilisateur et les mots de passe. Cette méthode implique que le fraudeur envoie un message texte au numéro de téléphone d'une personne et inclut généralement un appel à l'action qui exige une réponse immédiate. Les messages prétendent souvent provenir de banques, de services fiscaux et même de vos propres amis. Ils peuvent vous demander de cliquer sur un lien, d'appeler un numéro ou même vous informer que vous êtes sur le point de recevoir un appel téléphonique d'un membre de l'assistance.

Lance - Phishing

Qu'est-ce que l'ingénierie sociale ?

Le Spear-Phishing est une tentative plus ciblée de voler des informations sensibles et se concentre généralement sur une personne ou une organisation spécifique. Ces types d'attaques utilisent des informations personnelles propres à l'individu afin de paraître légitimes. En savoir plus sur le spear phishing.

Les escrocs se tournent souvent vers les médias sociaux pour rechercher leurs victimes. Une fois qu'ils connaissent mieux leur cible, ils commencent à envoyer des courriels personnalisés contenant des liens qui, une fois cliqués, infectent l'ordinateur avec un logiciel malveillant.

La chasse à la baleine

Qu'est-ce que l'ingénierie sociale ?

Ce qui distingue cette catégorie de phishing des autres est le choix de la cible de haut niveau. Une attaque de type "whaling" est une tentative de vol d'informations sensibles et vise souvent des cadres supérieurs ou d'autres cibles très en vue, comme des politiciens ou des célébrités. Le mot "baleine" est utilisé pour indiquer que la cible poursuivie est un gros poisson à capturer.

Les courriels de baleine sont beaucoup plus sophistiqués que les courriels de phishing ordinaires et beaucoup plus difficiles à repérer. En général, les e-mails contiennent des informations personnalisées sur la cible ou l'organisation et le langage est celui d'une entreprise. Ces courriels sont élaborés avec beaucoup plus d'efforts et de réflexion en raison du rendement élevé pour les escrocs.

Appât

Qu'est-ce que l'ingénierie sociale ?

L'appâtage, comme son nom l'indique, consiste à attirer une personne dans un piège pour lui voler ses informations personnelles ou infecter son ordinateur avec un logiciel malveillant.

Pour inciter les victimes à tomber dans leur piège, les appâteurs proposent souvent de télécharger gratuitement de la musique ou des films si les utilisateurs fournissent leurs données de connexion. Une autre astuce populaire consiste à laisser un dispositif infecté par un logiciel malveillant, comme une clé USB, dans un endroit où quelqu'un peut le trouver.

Les escrocs comptent sur la curiosité humaine pour mener à bien l'arnaque. En insérant l'appareil dans l'ordinateur pour voir ce qu'il contient, un logiciel malveillant est à son tour installé.

Tailgating

Qu'est-ce que l'ingénierie sociale ?

Le "tailgating" consiste à suivre un employé dans une zone restreinte. Ces attaques sont souvent menées hors ligne mais peuvent conduire à de futures attaques en ligne.

Un exemple courant de ce type d'attaque est celui d'une personne se faisant passer pour un livreur et attendant qu'un employé s'approche du bâtiment. L'attaquant lui demandera alors de lui tenir la porte ouverte pour qu'il puisse accéder au bâtiment. Une fois à l'intérieur, l'attaquant peut avoir accès à des informations sensibles de l'entreprise.

Pour éviter d'être victime de ce type d'attaques, vous pouvez suivre un certain nombre de mesures. N'ouvrez jamais d'e-mails provenant de sources inconnues, ne cliquez pas sur des liens suspects, installez un logiciel antivirus et lisez la politique de confidentialité de votre entreprise.

Pour savoir comment MetaCompliance peut vous aider à vous protéger contre ces types d'attaques d'ingénierie sociale, cliquez ici.

vous pourriez apprécier de lire ces