Selon une étude de Beaming, en 2021, les entreprises britanniques ont dû faire face à une tentative de violation de données toutes les 47 secondes. Le rapport souligne ensuite que le travail à distance a été l'occasion d'intensifier les cyberattaques. Ceci est remarquable, car selon le rapport Verizon Data Breach Investigation Report (DBIR) de 2021, 85 % des violations de données nécessitent l'intervention d'un être humain.
Cette tempête parfaite est alimentée par l'ingénierie sociale ; cette tactique couvre un large éventail d'activités qui manipulent le comportement humain. Les cybercriminels vont littéralement utiliser tous les angles possibles pour exploiter les employés, en utilisant des astuces psychologiques connues pour nous faire cliquer avant de réfléchir ou télécharger des logiciels malveillants.
Un rapport récent montre que les cyberattaques basées sur l'ingénierie sociale ont augmenté de 270 % en 2021. Il existe plusieurs raisons à cela, mais l'essentiel est que les techniques d'ingénierie sociale fonctionnent et que nous devons trouver des moyens de protéger nos employés.
Une façon d'empêcher les ingénieurs sociaux de manipuler notre personnel, et finalement nos données et nos réseaux d'entreprise, est de comprendre comment fonctionnent les attaques d'ingénierie sociale.
Voici quelques-uns des derniers types d'attaques par ingénierie sociale dont il faut se méfier.
Ingénierie sociale et cybersécurité
Les menaces de cybersécurité sont rarement de nature purement technique. Au contraire, les cybercriminels ont rapidement compris que l'utilisation d'employés, de non-employés et de l'écosystème élargi des fournisseurs pour mener à bien leurs desseins néfastes est un bon moyen de pénétrer dans un réseau protégé.
Uneétude récente sur l'utilisation des courriers électroniques professionnels pour lancer une cyberattaque a révélé que dans 30 % des organisations, plus de 50 % des liens reçus par courrier électronique aboutissaient sur un site web malveillant. Il s'agit d'une avalanche de points d'entrée malveillants dans le système d'une entreprise et ses opérations commerciales.
Les attaques d'ingénierie sociale utilisent des tactiques communes qui fonctionnent, encore et encore. Mais les pirates peuvent les modifier en fonction de l'évolution des événements. La pandémie de Covid-19 est l'un de ces événements.
Voici quelques exemples d'attaques d'ingénierie sociale à surveiller cette année :
Compromission des e-mails des entreprises (et des fournisseurs)
Le 2021 Verizon Data Breach Investigation Report (DBIR) a noté que le Business Email Compromise (BEC) était la deuxième forme la plus courante d'attaques par ingénierie sociale. Les BEC et VEC représentent l'ingénierie sociale dans sa forme la plus complexe et multipartite.
Les fraudeurs utilisent la surveillance pour comprendre leur cible et créer des courriels personnalisés, d'apparence légitime, mais usurpés. Souvent, une attaque BEC commence par un compte de messagerie compromis. Les fraudeurs disposent ainsi des informations nécessaires pour mettre en œuvre des stratagèmes sophistiqués.
Les comptes et les mots de passe compromis peuvent également être redirigés pour permettre au pirate de surveiller les opérations et les communications de l'entreprise afin de recueillir toutes les informations nécessaires pour manipuler les employés afin qu'ils créent de nouvelles factures ou modifient des factures existantes pour envoyer l'argent de l'entreprise au fraudeur.
Le rapport 2021 sur le paysage de la sécurité des e-mails d'entreprise fournit des informations importantes pour aider à atténuer le succès de ces types d'attaques :
- 72% des personnes interrogées ont subi une attaque BEC au cours des 12 derniers mois.
- Près de 50 % des attaques BEC utilisent une identité usurpée présentée dans l'affichage du nom de l'e-mail.
- Les e-mails de spear phishing ciblent les personnes ayant le pouvoir de déplacer de l'argent. Ces courriels de phishing ciblés utilisent des noms d'entreprises (68 %), des noms de cibles individuelles (66 %) et des noms de patrons ou de cadres (53 %) pour adapter l'attaque.
Une nouvelle variante de BEC est le Vendor Email Compromise (VEC). Ce type de BEC se concentre sur les fournisseurs pour détourner de l'argent. Les attaques VEC utilisent un effet de chaîne, le phishing se propageant dans tout l'écosystème des fournisseurs s'il n'est pas contrôlé.
Les attaques VEC sont généralement menées par des cybercriminels professionnels bien financés, car elles impliquent une surveillance et une reconnaissance approfondies afin de comprendre suffisamment leurs cibles pour créer des communications fictives crédibles. Les techniques d'ingénierie sociale sont au cœur de la VEC, tout comme elles le sont pour la BEC, à la seule différence que les cybercriminels se concentrent sur un écosystème entier.
Comme pour les BEC, l'objectif du fraudeur VEC est de frauder une entreprise et de voler des fonds. Le timing est un élément clé de l'attaque VEC, et l'ingénierie sociale est utilisée pour inciter les employés à modifier les détails d'une facture au bon moment afin de ne pas éveiller les soupçons.
Le phishing sous toutes ses formes
Les BEC font partie des nombreux types de cyberattaques qui utilisent le phishing ou le spear-phishing pour lancer une attaque. Le phishing est l'un des outils préférés des ingénieurs sociaux et était présent dans 36 % des brèches selon le DBIR. Le phishing est l'outil ultime de l'arsenal de l'ingénieur social, car son contenu et son contexte peuvent conduire au contrôle d'un réseau d'entreprise.
Les courriels d'hameçonnage utilisent une variété d'astuces psychologiques et de déclencheurs pour inciter les destinataires à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée. Ces astuces comprennent l'usurpation de marques connues, l'utilisation de l'urgence et de la peur pour encourager le clic, et le déclenchement d'émotions telles que la peur de manquer quelque chose (FOMO). Pour en savoir plus sur les types de tactiques utilisées pour tromper les employés, consultez le "Ultimate Guide to Phishing" de MetaCompliance.
Le phishing suit souvent des événements ou cible les utilisateurs à des fins spécifiques.
Manipulation émotionnelle et phishing événementiel : Les événements peuvent souvent être un déclencheur émotionnel pour une personne. Les fraudeurs utilisent ces émotions pour manipuler les utilisateurs et leur faire croire qu'ils manquent quelque chose ou qu'ils doivent agir de toute urgence pour profiter d'un événement.
Pendant la pandémie de Covid, de nombreux courriels d'hameçonnage reprenaient la marque "Organisation mondiale de la santé" et jouaient sur les préoccupations sanitaires des destinataires des courriels. À un moment donné pendant la pandémie, Google bloquait environ 17 millions d'e-mails frauduleux par jour. De nombreux fraudeurs ont utilisé la pandémie pour jouer sur les émotions et les craintes des gens. Un seul courriel frauduleux qui se retrouve dans la boîte de réception d'un employé peut entraîner une violation catastrophique des données.
Attaques de ransomware utilisant le hameçonnage de suivi : Le hameçonnage mène au ransomware et maintenant il peut aussi mener au hameçonnage de suivi : c'était le cas dans la récente attaque Lapsus$ contre le plus grand conglomérat de médias du Portugal, Impresa. Le groupe possède la plus grande chaîne de télévision et le plus grand journal du pays, SIC et Expresso. L'attaque aurait commencé par un courriel de spear-phishing qui a conduit à la prise de contrôle du compte Amazon Web Services (AWS) du groupe. Cela a conduit à la défiguration du site Web du groupe, à la prise de contrôle du compte Twitter d'Expresso et à l'utilisation d'un compte de newsletter pour envoyer des courriels de phishing aux abonnés du groupe.
Une fois qu'un cybercriminel a accès à un réseau, généralement par le biais d'informations d'identification volées dans le cadre d'un hameçonnage ou d'un harponnage, il peut utiliser ce point d'entrée pour élever ses privilèges et lancer d'autres attaques, comme dans le cas de l'attaque Lapsus$. Il est fort probable que ces types d'attaques à facettes multiples se généralisent.
Le phishing continuera d'être utilisé pour lancer des cyberattaques, car c'est un moyen pour les cybercriminels de "communiquer" avec des personnes qui font partie d'une entreprise cible. L'utilisation de cette méthode de communication est un moyen parfait d'ingénierie sociale, ce qui signifie que le cybercriminel n'a pas besoin de "pirater" une technologie qui pourrait bien être protégée, mais qu'il pirate l'humain.
Ingénierie sociale et Deep Fakes
Les fausses identités sont le nec plus ultra des attaques d'ingénierie sociale et les organisations doivent s'attendre à ce que cette technologie soit utilisée pour des raisons néfastes dans les années à venir. Le FBI a déjà publié une mise en garde à ce sujet :
"Le FBI prévoit qu'il sera de plus en plus utilisé par des cyberacteurs étrangers et criminels pour le spearphishing et l'ingénierie sociale, dans le cadre d'une évolution des techniques opérationnelles cybernétiques."
Le FBI suggère des tactiques qui peuvent être employées pour réduire le risque d'ingénierie sociale par le biais de fakes profonds, notamment "former les utilisateurs à identifier et à signaler les tentatives d'ingénierie sociale et de spearphishing qui peuvent compromettre les comptes personnels et d'entreprise"."
Combattre l'ingénierie sociale à la source
L'ingénierie sociale a fourni aux pirates informatiques des moyens d'accéder à des ressources depuis que les êtres humains existent. Le fait que ces criminels travaillent dans un domaine numérique ne change rien au fait que la cible du cybercriminel est le comportement humain.
Pour empêcher les ingénieurs sociaux de manipuler nos employés et le réseau plus large de nos partenaires commerciaux, nous devons former ces personnes aux méthodes des ingénieurs sociaux. La connaissance est le pouvoir, et l'équilibre du pouvoir doit passer du cybercriminel à l'entreprise grâce à l'éducation des employés et à la saisie des tentatives à l'aide de systèmes de signalement.
