Social engineering : comment repérer les signes d’attaque par ingénierie sociale

Savoir repérer les signes d'une attaque par ingénierie sociale (social engineering attack) peut vous aider à empêcher ce type d'attaques et à protéger vos données sensibles.

Pourquoi se donner la peine de défoncer une porte quand on peut simplement demander à quelqu'un de nous remettre la clé ? Cette analogie décrit pourquoi l'ingénierie sociale est devenue la technique de cyberattaque la plus utilisée.

Selon le rapport 2021 sur les enquêtes sur les violations de données de Verizon, on constate une tendance à la hausse de l'utilisation de l'ingénierie sociale depuis 2017. Un autre rapport a révélé une augmentation de 270 % des cyberattaques basées sur l'ingénierie sociale en 2021.

Il est très difficile de repérer les signes de l'ingénierie sociale, car elle fonctionne en manipulant les comportements quotidiens de notre vie de tous les jours. Alors, comment un employé peut-il savoir s'il est la cible d'une escroquerie d'ingénierie sociale ?

Qu'est-ce que le social engineering (ingénierie sociale) ?

Connaître et reconnaître les signaux d'attaque par social engineering (ingénierie sociale) sont essentiels pour vous aider à prévenir ce type de menaces.

Les cybercriminels sont toujours à la recherche de moyens d'accéder à des informations sensibles ou de manipuler un processus d'entreprise de manière préjudiciable. Ces préjudices sont variés et comprennent, notamment, les escroqueries par courrier électronique (Business Email Compromise - BEC) et les infections par des logiciels malveillants.

Ces deux types de cyberattaques sont en augmentation : les escroqueries BEC ont coûté aux entreprises mondiales plus de 43 milliards de dollars au cours des cinq années précédant 2021, avec une augmentation de 65 % des pertes entre juillet 2019 et décembre 2021 ; la recherche a révélé que 71 % des entreprises ont été victimes d'une attaque par logiciel malveillant en 2021. Des escroqueries d'ingénierie sociale sophistiquées et complexes sont à l'origine de ces augmentations.

L'ingénierie sociale exploite le comportement humain, de sorte que les individus effectuent des actions qui profitent au fraudeur. En d'autres termes, les fraudeurs amènent les individus à les aider à leur insu. Les tactiques utilisées par les escrocs lors d'une attaque d'ingénierie sociale sont basées sur la manipulation du comportement, la tromperie et les astuces psychologiques. Cette manipulation est facilitée par un manque de connaissances de la part de la cible.

Le social engineering est une méthode d'attaque subtile, basée sur le renseignement. Les chercheurs Abid Jamil, Kashif Asif et Zikra Ghulam ont identifié les étapes typiques du cycle de vie d'une attaque par ingénierie sociale :

1. Collecte d'informations : reconnaissance pour identifier les schémas de comportement, les applications utilisées et les processus qui peuvent être exploités. Cela permet d'établir un niveau de confiance avec la cible et d'obtenir des renseignements pour exploiter cette confiance.
2. Développer la relation de confiance : cette confiance est utilisée pour développer les relations en vue de l'étape suivante.
3. Exploitation : la tâche malveillante est exécutée, par exemple, en cliquant sur un lien dans un courriel de phishing ou en activant un virement bancaire.
4. Exécution : dernière étape au cours de laquelle le pirate reçoit de l'argent ou accède aux identifiants de connexion pour installer un ransomware ou accéder à des informations sensibles.

En gardant à l'esprit les étapes d'une attaque par ingénierie sociale, comment pouvez-vous la repérer avant qu'il ne soit trop tard ?

En savoir plus : Cinq exemples de techniques d’attaques utilisant l’ingénierie sociale

Social engineering : cinq signaux que vous êtes en train de vous faire manipuler socialement

Certains des signaux les plus évidents sont aussi les plus difficiles à repérer car ils se font passer pour des événements réguliers. Cependant, l'art de repérer l'inattendu ou le moment où quelque chose n'est pas normal est un élément que la formation régulière à la sensibilisation à la cybersécurité permet d'acquérir.

Voici cinq signes typiques d'ingénierie sociale :

Signe d'une possible attaque par ingénierie sociale : une pièce jointe ou un lien inattendu

Les attaques de phishing (hameçonnage) et de smishing (hameçonnage mobile) contiennent souvent une pièce jointe ou un lien vers un site web malveillant. Le courriel lui-même contient des motivations comportementales typiques, telles que l'urgence, la pression émotionnelle, la curiosité, la peur et les menaces, ainsi que d'autres déclarations inquiétantes, telles qu'une menace pour la sécurité. L'attaque par hameçonnage incite le destinataire à ouvrir une pièce jointe ou à cliquer sur un lien en utilisant ces pressions émotionnelles.

Réfléchissez avant de cliquer, avant d'ouvrir une pièce jointe. Le message semble-t-il légitime ? Vérifiez les signes d'hameçonnage; par exemple, l'adresse électronique de l'expéditeur correspond-elle bien au nom de domaine attendu ? Le langage et la grammaire de l'e-mail sont-ils un peu différents ?

En savoir plus : Consultez l'ultime édition du Guide de sensibilisation au phishing de MetaCompliance pour découvrir d'autres signes révélateurs de l'hameçonnage.

Signal d'une possible menace de social engineering : une demande inhabituelle

Les fraudeurs peuvent se trahir en demandant quelque chose d'un peu inattendu. Cela est particulièrement visible si le fraudeur se fait passer pour une autre personne de l'entreprise, par exemple un directeur financier ou un PDG.

Les escroqueries BEC (Business Email Compromise), par exemple, peuvent impliquer des employés du département administratif qui reçoivent un courriel de spear phishing (hameçonnage par harponnage) qui semble provenir d'un cadre de niveau supérieur demandant d'effectuer un transfert d'argent immédiat et urgent. D'autres courriels d'hameçonnage peuvent demander au destinataire d'ouvrir une pièce jointe contenant un enregistrement vocal, et ainsi de suite.

Si une demande semble hors de l'ordinaire et inhabituelle, arrêtez-vous et demandez-vous s'il ne s'agit pas d'une escroquerie. Ensuite, effectuez une vérification simple : appelez la personne qui est censée avoir envoyé la demande et demandez-lui si elle est légitime.

En savoir plus : Formation sécurité informatique – Élaboration d’un programme de sensibilisation à la cybersécurité destiné aux cadres supérieurs

Possible tentative d'escroquerie par ingénierie sociale : une demande urgente

L'urgence est un excellent exemple de tactique utilisée pour manipuler les émotions humaines. Si vous recevez une demande urgente, même si elle semble provenir de la haute direction, prenez le temps de vérifier la légitimité de cette demande.

Le Business Email Compromise (BEC) implique souvent la manipulation émotionnelle des employés qui travaillent dans le département financier. Par exemple, un fraudeur BEC tentera de faire pression sur un employé pour qu'il vire de l'argent en le menaçant de perdre son emploi s'il n'agit pas rapidement.

Vérifiez doublement une demande urgente et appelez la personne qui est censée l'avoir faite.

Autre signe d'une possible menace de social engineering : une offre trop belle pour être vraie

Les cybercriminels ont parfois recours au chantage ou à la coercition pour obtenir des informations, notamment lors de la phase de collecte d'informations d'une attaque par ingénierie sociale.

Réfléchissez à deux fois si vous recevez une offre d'argent ou de prix pour partager des informations sur votre entreprise ou des informations personnelles, car il pourrait s'agir d'une tentative de piratage de votre compte.

Méfiez-vous aussi de demande sur les médias sociaux provenant d'une personne que vous ne connaissez pas

Au cours des six mois précédant juin 2021, LinkedIn a supprimé plus de 66 millions de spams et d'escroqueries sur la plateforme, dont 232 000 après qu'un utilisateur se soit plaint. Les fraudeurs créent de faux comptes sur les médias sociaux et cherchent ensuite à établir des contacts. Ils utilisent ainsi les médias sociaux pour collecter des informations et établir des relations avec leurs cibles et leurs contacts.

Si vous recevez une demande de mise en relation sur une plateforme de médias sociaux, vérifiez le profil du demandeur et recherchez des signes indiquant qu'il peut s'agir d'un faux. Par exemple, son profil et ses antécédents professionnels sont-ils complets, ses recommandations sont-elles légitimes, etc.

Le social engineering fonctionne et continuera à fonctionner tant que nous n'aurons pas appris à en repérer les signes. Une formation de sensibilisation à la sécurité qui intègre une formation aux tactiques d'ingénierie sociale permet aux employés d'acquérir les connaissances nécessaires pour empêcher les escrocs d'exploiter leur comportement.