MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

5 exemples d'attaques d'ingénierie sociale

Attaques d'ingénierie sociale

sur l auteur

Partager sur linkedin
Partager sur Twitter
Partager sur facebook

Voici un aperçu de la manière dont les attaques par ingénierie sociale se produisent et de ce que vous pouvez faire pour empêcher votre personnel d'être victime d'ingénierie sociale.

Les êtres humains sont des animaux sociaux ; nous aimons nous mélanger, communiquer, travailler et nous amuser ensemble. Ce comportement socialisé, fondé sur des relations de confiance, permet aux groupes humains de coopérer et de coexister.

Malheureusement, ce sont également ces aspects sociaux du comportement humain que les cybercriminels, désireux de nuire, peuvent exploiter. Les attaques d'ingénierie sociale font appel à la ruse et à l'usurpation d'identité pour inciter les gens à effectuer une action qui profite à l'escroc.

C'est ce que confirme le rapport 2022 Verizon Data Breach Investigations Report (DBIR), qui révèle que 82 % des violations impliquent un élément humain.

Comment se produisent les attaques d'ingénierie sociale ?

Selon un rapport, une organisation moyenne subit 700 attaques d'ingénierie sociale par an. Les attaques d'ingénierie sociale se présentent sous de nombreuses formes et évoluent vers de nouvelles formes pour échapper à la détection.

Le but d'une attaque par ingénierie sociale est d'amener une personne à faire quelque chose qui profite à un cybercriminel. Par exemple, amener une personne à révéler des informations financières qui seront ensuite utilisées pour commettre une fraude.

L'ingénierie sociale ne s'effectue pas uniquement par des méthodes numériques. Les ingénieurs sociaux recourent à n'importe quelle tactique pour construire les structures nécessaires pour tromper les gens. Ils peuvent par exemple utiliser le téléphone ou entrer dans un bureau et discuter avec le personnel.

Les astuces d'ingénierie sociale préférées du moment sont les suivantes :

Prétextage et filature: les agresseurs se font passer pour un collègue de travail ou une personne en autorité, par exemple un policier. Ils utilisent cette apparence pour établir la confiance avec une cible par une méthode numérique, par téléphone ou en personne. Une fois la confiance établie, l'escroc tentera d'obtenir des informations, telles que des données personnelles ou des détails financiers.

En outre, les filous mènent souvent des attaques physiques contre des entreprises, en trouvant des moyens de pénétrer dans un bâtiment, en s'y glissant de manière inaperçue ou même en y étant invités. Une fois à l'intérieur d'un bâtiment, ils peuvent utiliser des outils facilement disponibles, tels que RubberDucky, utilisé par des testeurs de pénétration légitimes, pour voler des données, notamment des identifiants de connexion.

Hameçonnage: l'hameçonnage se décline sous différentes formes : courrier électronique, appels téléphoniques, messages sur les médias sociaux et SMS. Les messages de hameçonnage sont des tactiques d'ingénierie sociale, qui font appel à la prétention, à la confiance et à l'envie de cliquer pour encourager les destinataires à divulguer des informations personnelles, telles que des mots de passe et des données de carte de crédit.

Une étude du gouvernement britannique sur la cybersécurité a révélé que la grande majorité (83 %) des entreprises qui ont identifié une cyberattaque ont déclaré que le phishing était le principal vecteur de l'attaque.

Le spearphishing est la forme ciblée de phishing qui porte l'ingénierie sociale au plus haut degré de réussite. Les courriels de spear-phishing sont difficiles à différencier des courriels légitimes, car les escrocs se donnent beaucoup de mal pour leur donner une apparence réaliste, en nouant souvent des relations de confiance avec leur cible. Le spearphishing est à l'origine de 93 % des cyberattaques, selon le DBIR 2018.

Appâtage: cette attaque d'ingénierie sociale utilise l'incitation ou la peur de manquer (FOMO) pour encourager certains comportements. Par exemple, un employé peut se voir offrir des cadeaux s'il fournit des informations personnelles ou relatives à l'entreprise ou des mots de passe.

Pourquoi l'ingénierie sociale est-elle efficace ?

Les êtres humains ont évolué pour agir et se comporter de certaines manières afin d'établir des structures sociales fortes et cohérentes. Des éléments tels que la confiance sont des composantes essentielles des sociétés cohérentes. Sans confiance, les relations échouent.

Les escrocs comprennent le comportement humain et la nécessité d'établir des relations de confiance. Ils savent également comment manipuler les gens en se faisant passer pour une personne de confiance ou en instaurant un climat de confiance.

D'autres comportements humains, tels que l'envie de faire du bon travail, de ne pas s'attirer d'ennuis ou de ne pas manquer une bonne chose, sont également exploités par les cybercriminels. Toutes ces actions naturelles que nous accomplissons quotidiennement dans nos vies privées et professionnelles peuvent être exploitées par des cybercriminels qui ont l'intention de voler des données et d'accéder à des réseaux pour mener des actions malveillantes.

5 exemples d'attaques d'ingénierie sociale

Des exemples d'ingénierie sociale sont régulièrement cités dans la presse, mais en voici cinq pour vous donner une idée de la manière dont fonctionne l'ingénierie sociale :

Hôtel Marriott : un groupe de pirates a utilisé des tactiques d'ingénierie sociale pour voler 20 Go de données personnelles et financières dans un hôtel Marriott. Les pirates ont trompé un associé de l'hôtel Marriott pour qu'il leur donne accès à l'ordinateur de l'associé.

Département américain du travail (DoL): il s'agissait d'une attaque par ingénierie sociale visant à voler les identifiants de connexion à Office 365. L'attaque a utilisé un hameçonnage sophistiqué basé sur des domaines habilement usurpés qui ressemblaient au domaine légitime du DoL. Les e-mails semblaient provenir d'un employé senior du ministère de l'Intérieur et l'invitaient à soumettre une offre pour un projet gouvernemental. En cliquant sur le bouton d'offre, l'employé était dirigé vers un site de phishing utilisé pour voler des informations d'identification.

Utilisateurs de Zoom: une campagne de phishing ciblant les employés a touché au moins 50 000 utilisateurs. Les ingénieurs sociaux ont utilisé la peur du licenciement pour encourager les employés à cliquer sur un lien pour rencontrer les RH via Zoom. En cliquant sur le lien, l'employé accédait à un faux site de connexion Zoom conçu pour voler les mots de passe.

FACC (constructeur aéronautique autrichien) : FACC a perdu environ 42 millions d'euros lorsque l'entreprise a été victime d'une escroquerie sophistiquée de type "Business Email Compromise" (BEC). Le PDG de l'entreprise a vu son compte de messagerie usurpé, puis utilisé pour envoyer un courriel "urgent" demandant un transfert de fonds. Cet e-mail a trompé un employé chargé du paiement des comptes qui a accédé à la demande, versant l'argent sur le compte de l'escroc.

Rappel de CrowdstrikeLes fournisseurs de sécurité eux-mêmes ressentent la force de l'ingénierie sociale. Crowdstrike est devenu un pion involontaire dans le jeu de l'ingénieur social. Les escrocs utilisent la marque de confiance de Crowdstrike et d'autres fournisseurs de sécurité pour envoyer des e-mails de phishing aux employés. L'e-mail contient des informations sur une éventuelle infection par un logiciel malveillant et un numéro de téléphone à composer pour supprimer le logiciel malveillant installé. Si l'employé compose le numéro, il est amené à donner à l'attaquant l'accès à son ordinateur.

Comment se protéger contre les attaques d'ingénierie sociale

L'ingénierie sociale réussit parce que la technique manipule nos actions quotidiennes. Il est donc difficile pour les employés de se rendre compte qu'ils font partie d'une attaque d'ingénierie sociale.

L'ingénierie sociale doit faire partie du débat sur la sensibilisation à la sécurité, et les politiques de sécurité doivent en tenir compte. Cependant, il existe des moyens pratiques de s'assurer que les employés sont au fait des astuces des escrocs de l'ingénierie sociale :

Intégrez l'ingénierie sociale dans votre culture de la sécurité :

  1. Faites participer le personnel à des mises à jour régulières sur l'ingénierie sociale et son fonctionnement.
  2. Veillez à ce que l'ingénierie sociale fasse partie de votre formation régulière de sensibilisation à la sécurité.
  3. Incluez l'ingénierie sociale dans les affiches du mois de sensibilisation à la sécurité et envoyez des bulletins d'information au personnel sur les problèmes causés par l'ingénierie sociale.

Déployez des simulations d'hameçonnage: utilisez une plateforme avancée de simulation d'hameçonnage pour former le personnel à ce à quoi ressemblent les courriels d'hameçonnage et pour tester leur réponse à un courriel d'hameçonnage. Adaptez ces e-mails aux différents rôles de votre organisation et fondez les simulations sur les tactiques connues utilisées par les escrocs.

Testez la pénétration de votre entreprise et de votre personnel : mettez en place divers scénarios de test pour voir comment le personnel réagit à d'éventuelles tentatives d'ingénierie sociale. Il peut s'agir de tests visant à déterminer s'il est facile (ou difficile) de pénétrer dans le bâtiment.

Testez également le personnel et sa réaction face à des individus inconnus. Par exemple, faites passer les testeurs pour des nettoyeurs ou des entrepreneurs et voyez jusqu'où ils peuvent aller pour extraire des informations sur votre entreprise ou demander l'accès à un ordinateur.

5 exemples d'attaques d'ingénierie sociale

vous pourriez apprécier de lire ces