Des rapports tels que le Data Breach Investigations Report (DBIR) de Verizon (2022 ) placent les êtres humains au cœur de 82 % des cyberattaques. Les escrocs utilisent des techniques basées sur l’ingénierie sociale pour inciter les gens à effectuer des actions qui profitent aux pirates.

L’ingénierie sociale est un terme générique qui recouvre de nombreuses tactiques utilisées pour manipuler les employés et les autres utilisateurs. Voici six des types d’ingénierie sociale les plus courants et la manière d’empêcher les pirates de les exploiter avec succès dans votre organisation.

Six des attaques d’ingénierie sociale les plus courantes

1. Phishing et ingénierie sociale

Le spear-phishing, une forme ciblée d’hameçonnage, est impliqué dans 93 % des cyberattaques, selon le DBIR 2018. La forme moins ciblée du phishing reste la deuxième forme la plus courante de tactique de cyberattaque, selon Cisco.

Le phishing est le moyen idéal pour permettre aux pirates de manipuler les êtres humains et relève donc de l’ingénierie sociale. L’hameçonnage se manifeste sous plusieurs formes. Nous avons déjà mentionné le phishing et le spear phishing, mais les pirates utiliseront tous les moyens de communication, y compris les messages textuels et les appels téléphoniques (SMShing et Vishing), pour encourager les gens à cliquer sur un lien vers un site web malveillant, à fournir des informations personnelles ou à télécharger une pièce jointe infectée.

2. Les médias sociaux au service de l’ingénierie sociale

Les médias sociaux constituent une mine d’or d’informations que les cybercriminels peuvent utiliser pour attaquer des personnes, des applications, des réseaux et des données : les escrocs ont besoin de données pour alimenter les cyberattaques, y compris la compromission des courriels d’entreprise (BEC).

Lorsque des employés ou d’autres personnes partagent des informations sur les médias sociaux, les fraudeurs les surveillent. Selon un document de recherche, les entreprises sont confrontées aux problèmes suivants lorsque les employés partagent des informations sur les médias sociaux :

    • partager trop d’informations

    • la perte d’informations confidentielles

    • l’exposition accrue aux litiges

Le document conclut que les médias sociaux constituent un moyen ouvert de partage qui complique les défis de l’ingénierie sociale.

3. Tailgating et Piggybacking

Le « tailgating » est l’une des plus anciennes escroqueries d’ingénierie sociale. Le tailgating, ou piggybacking, est souvent considéré comme une escroquerie physique, mais il peut aussi être numérique. Dans le monde physique, le tailgating est illustré par le fraudeur qui se glisse dans les bureaux d’une entreprise sans se faire remarquer. Les fraudeurs savent comment passer inaperçus, ce qui leur permet d’accéder à un bâtiment sans autorisation ou de se glisser dans la peau d’une personne qui entre dans un bâtiment.

Une fois à l’intérieur, ils peuvent inciter les employés à partager leurs identifiants de compte, tels que les mots de passe, ou utiliser des outils de piratage pour voler des données directement sur les ordinateurs. Ils peuvent même utiliser la vieille astuce consistant à regarder par-dessus l’épaule d’une personne connectée à une zone sensible du réseau.

4. Prétextat

Les escrocs ont souvent besoin de données pour assurer le succès d’une escroquerie par ingénierie sociale. Comme indiqué plus haut, le pirate peut recueillir des informations pour tromper une personne en utilisant les médias sociaux, le phishing et le tailgating. Le pretexting utilise l’ingénierie sociale pour faire croire que l’escroc est une personne d’autorité ou autorisée à se trouver à un endroit particulier : en d’autres termes, le fraudeur se fait passer pour quelqu’un d’autre.

Par exemple, il peut se faire passer pour un entrepreneur ou un cadre de niveau C. Cela peut sembler improbable, mais un fraudeur confiant peut y parvenir dans une grande organisation disposant de plusieurs bureaux.

5. Appât

Les gens aiment ce qui est gratuit et l’appât utilise ce comportement pour inciter les employés à fournir des informations telles que des données sensibles ou des détails financiers. Par exemple, le fraudeur choisira un employé ou enverra un courriel de masse offrant un produit gratuit, comme le téléchargement d’un film. Si l’employé appuie sur le bouton de téléchargement, il se retrouve avec un appareil infecté.

Il s’agit d’un moyen efficace d’installer des logiciels malveillants. La version piratée de Game of Thrones, qui est devenue l’émission de télévision la plus infectée par des logiciels malveillants de tous les temps en 2018, en est un exemple. Au total, 126 340 utilisateurs ont été infectés par des logiciels malveillants lorsqu’ils ont téléchargé la version pirate de l’émission de télévision.

6. Quid Pro Quo

Quid Pro Quo est une expression latine (ceci pour cela) utilisée pour décrire un échange de quelque chose contre des biens ou des services. Les cybercriminels veulent des données, et le Quid Pro Quo est un moyen d’obtenir ces données.

Une attaque Quid Pro Quo typique se déroule comme suit : un employé reçoit un appel du « support technique » qui lui annonce qu’une attaque par ransomware est en cours et qu’il doit supprimer le virus avant qu’il n’endommage son travail. Pour ce faire, le pirate doit disposer du nom d’utilisateur et du mot de passe de l’employé. Si l’employé tombe dans le panneau, le pirate aura accès au réseau de l’entreprise, ce qui lui permettra d’escalader ses privilèges pour accéder à des zones plus sensibles.

Trois façons de protéger vos employés contre les attaques d’ingénierie sociale

1. Mettre en place des processus et des politiques

Souvent, les ingénieurs sociaux doivent s’appuyer sur des processus médiocres qui leur permettent d’exploiter les failles de sécurité. Par exemple, dans le cas de la filature, l’intrus peut s’appuyer sur l’absence de contrôle des personnes entrant dans un bâtiment. Les ingénieurs sociaux s’appuient souvent sur la confiance dans les figures d’autorité pour encourager un employé à agir, par exemple à transférer de l’argent, comme c’est le cas dans une escroquerie de type BEC.

La plupart des escroqueries par ingénierie sociale nécessitent des données. Les escrocs se tournent donc vers les médias sociaux ou le phishing pour obtenir les informations dont ils ont besoin pour mener à bien une cyberattaque. Des processus robustes qui ajoutent des contrôles et des bilans chaque fois qu’une action telle qu’un transfert d’argent ou de données a lieu peuvent aider à prévenir une attaque d’ingénierie sociale. Les politiques qui garantissent que les employés ne partagent pas trop d’informations sur les plateformes de médias sociaux contribuent à éviter cette forme de collecte de données.

2. Former les employés aux tactiques d’ingénierie sociale

L’ingénierie sociale prend de nombreuses formes, et les cybercriminels à l’origine des attaques d’ingénierie sociale adaptent ces escroqueries pour éviter d’être détectés. C’est pourquoi les programmes de sensibilisation à la sécurité devraient inclure une formation aux astuces de l’ingénierie sociale, y compris les six escroqueries décrites ci-dessus.

La formation doit être attrayante et utiliser des modules de formation intéressants, amusants et instructifs.

La plateforme de sensibilisation à la sécurité doit également permettre de connaître le taux de réussite d’un programme de formation afin que votre organisation puisse mettre à jour et ajuster la formation pour obtenir les meilleurs résultats possibles. La formation des employés à l’identification des attaques d’ingénierie sociale doit être effectuée régulièrement pour tenir compte des changements dans les modèles de menace.

3. Utilisez des programmes d’hameçonnage simulés

Le phishing est une technique de base sur laquelle s’appuient de nombreuses attaques d’ingénierie sociale. Repérer les signes révélateurs d’un courriel ou d’un message d’hameçonnage est une première ligne de défense vitale contre les attaques d’ingénierie sociale.

Les logiciels de simulation d’hameçonnage fournissent des modèles qui peuvent être adaptés pour refléter les astuces actuelles d’ingénierie sociale. Ces modèles sont ensuite envoyés comme d’habitude aux employés et autres partenaires commerciaux. Si un utilisateur clique sur un lien malveillant ou télécharge une pièce jointe, la plateforme de simulation d’hameçonnage interviendra en lui donnant une leçon sur ce qui se passerait s’il continuait à agir de la sorte.