Savoir repérer les signes d’une attaque par ingénierie sociale peut aider à prévenir ce type d’attaques et à protéger les données et les systèmes sensibles de votre organisation.

Pourquoi se donner la peine de défoncer une porte quand vous pouvez demander à quelqu’un de vous donner la clé ? Ce scénario est l’analogie qui explique pourquoi l’ingénierie sociale est devenue la technique de cyberattaque la plus utilisée.

Le 2021 Verizon Data Breach Investigation Report a noté une tendance à la hausse de l’utilisation de l’ingénierie sociale depuis 2017. Un autre rapport a identifié une augmentation de 270% des cyberattaques basées sur l’ingénierie sociale en 2021.

Il est très difficile de repérer les signes de l’ingénierie sociale, car elle fonctionne en manipulant le comportement quotidien de nos vies. Comment un employé peut-il savoir s’il est la cible d’une escroquerie par ingénierie sociale ?

Qu’est-ce que l’ingénierie sociale ?

Comprendre les différents éléments utilisés lors de l’ingénierie sociale permet de repérer les signes d’une attaque d’ingénierie sociale.

Les cybercriminels sont toujours à la recherche de moyens d’accéder à des informations sensibles ou de manipuler un processus d’entreprise de manière préjudiciable. Ces préjudices sont variés, notamment les escroqueries de type « Business Email Compromise » (BEC) et les infections par des logiciels malveillants.

Ces deux types de cyberattaques sont en augmentation : Les escroqueries BEC ont coûté aux entreprises mondiales plus de 43 milliards de dollars au cours des cinq années précédant 2021, avec une augmentation de 65 % des pertes entre juillet 2019 et décembre 2021 ; la recherche a révélé que 71 % des entreprises ont été victimes d’ une attaque par logiciel malveillant en 2021. Des escroqueries d’ingénierie sociale sophistiquées et complexes sont à l’origine de ces augmentations.

L’ingénierie sociale exploite le comportement humain, de sorte que les individus effectuent des actions qui profitent au fraudeur. En d’autres termes, les fraudeurs amènent les individus à faire leur sale boulot à leur insu. Les tactiques utilisées par les escrocs lors d’une attaque d’ingénierie sociale sont basées sur la manipulation du comportement, la tromperie et les astuces psychologiques. Cette manipulation est facilitée par un manque de connaissances de la part de la cible individuelle.

L’ingénierie sociale est une méthode d’attaque subtile, basée sur le renseignement. Les chercheurs Abid et al. ont identifié les étapes typiques du cycle de vie d’une attaque par ingénierie sociale:

  1. Collecte d’informations: reconnaissance pour identifier les modèles de comportement, les applications utilisées et les processus d’entreprise qui peuvent être exploités. Cela permet d’établir un niveau de confiance avec la cible et de disposer de renseignements pour exploiter cette confiance.

  2. Développement des relations: cette confiance est utilisée pour développer les relations en vue de l’étape suivante.

  3. Exploitation: la tâche malveillante est exécutée, par exemple en cliquant sur un lien dans un courriel d’hameçonnage ou en activant un transfert bancaire d’argent.

  4. Exécution: dernière étape au cours de laquelle le pirate reçoit de l’argent ou accède aux identifiants de connexion pour installer un ransomware ou accéder à des informations sensibles.

En gardant à l’esprit les étapes d’une attaque par ingénierie sociale, comment pouvez-vous repérer une telle attaque avant qu’il ne soit trop tard ?

Cinq signes de l’ingénierie sociale dont vous faites l’objet

Certains des signes les plus évidents sont également les plus difficiles à repérer, car ils se font passer pour des événements réguliers. Cependant, l’art de repérer l’inattendu ou le moment où quelque chose ne va pas est une chose que la formation régulière à la sensibilisation à la sécurité aide à établir.

Voici cinq signes typiques de l’ingénierie sociale :

Une pièce jointe ou un lien inattendu

Les attaques de phishing et de smishing (hameçonnage mobile) contiennent souvent une pièce jointe ou un lien vers un site web malveillant. Le courriel lui-même contient des motivations comportementales typiques, telles que l’urgence, la pression émotionnelle, la curiosité, la peur et les menaces, ainsi que d’autres déclarations inquiétantes, telles qu’une menace pour la sécurité. L’attaque de phishing incite le destinataire à ouvrir une pièce jointe ou à cliquer sur un lien en utilisant ces pressions émotionnelles.

Réfléchissez avant de cliquer, avant d’ouvrir une pièce jointe. Le message semble-t-il légitime ? Vérifiez les signes d’hameçonnage, par exemple : « L’adresse électronique de l’expéditeur correspond-elle au nom de domaine attendu ? La langue et la grammaire de l’e-mail sont-elles un peu inappropriées ?

Consultez le MetaCompliance Ultimate Guide to Phishing pour plus d’informations sur les signes révélateurs de l’hameçonnage.

Une demande inhabituelle

Les fraudeurs peuvent se trahir en demandant quelque chose d’un peu inattendu. Cela est particulièrement visible si le fraudeur se fait passer pour une autre personne de l’entreprise, par exemple un directeur financier ou un PDG.

Les escroqueries de type BEC, par exemple, peuvent impliquer que des employés du service de comptabilité reçoivent un courriel de spear phishing semblant provenir d’un cadre de haut niveau et demandant d’effectuer un transfert d’argent immédiat et urgent. D’autres courriels de phishing peuvent demander au destinataire d’ouvrir une pièce jointe contenant un enregistrement vocal, etc.

Si une demande vous semble inhabituelle, arrêtez-vous et demandez-vous s’il ne s’agit pas d’une escroquerie. Ensuite, procédez à une vérification simple : appelez la personne qui est censée avoir envoyé la demande et demandez-lui si elle est légitime.

Une requête ou une demande urgente

L’urgence est un excellent exemple de tactique utilisée pour manipuler les émotions humaines. Si une demande urgente semble également provenir de la haute direction ou du niveau C, prenez le temps de vérifier la légitimité de la demande.

Le Business Email Compromise (BEC) implique souvent la manipulation émotionnelle d’employés travaillant dans le département financier. Par exemple, un fraudeur BEC tentera de faire pression sur un employé pour qu’il vire de l’argent en le menaçant de perdre son activité s’il n’agit pas rapidement.

Revérifiez la demande et appelez la personne qui est censée avoir fait la demande.

Une offre trop belle pour être vraie

Les cybercriminels ont parfois recours au chantage ou à la coercition pour obtenir des informations, en particulier lors de la phase de collecte d’informations d’une attaque d’ingénierie sociale.

Réfléchissez à deux fois si vous recevez une offre d’argent ou de prix pour partager des informations sur votre entreprise ou des informations personnelles, car il pourrait s’agir d’une tentative de piratage de votre compte.

Une demande sur les médias sociaux de la part d’une personne que vous ne reconnaissez pas

Au cours des six mois précédant juin 2021, LinkedIn a supprimé plus de 66 millions de spams et d’escroqueries sur la plateforme, dont 232 000 après qu’un utilisateur se soit plaint. Les pirates créent de faux comptes sur les médias sociaux et cherchent ensuite à établir des contacts. Les fraudeurs utilisent les médias sociaux pour collecter des informations et établir des relations avec des cibles et les contacts de ces dernières.

Si vous recevez une demande de mise en relation sur une plateforme de médias sociaux, vérifiez le profil de l’auteur de la demande et recherchez des signes indiquant qu’il s’agit d’une fausse demande. Par exemple, son profil et ses antécédents professionnels sont-ils complets, ses recommandations sont-elles légitimes, etc.

L’ingénierie sociale fonctionne et continuera à fonctionner tant que nous n’aurons pas appris à en repérer les signes. Une formation de sensibilisation à la sécurité qui intègre une formation aux tactiques d’ingénierie sociale permet aux employés d’acquérir les connaissances nécessaires pour empêcher les escrocs d’exploiter leur comportement.

Guide ultime de l'hameçonnage