L’INGÉNIERIE SOCIALE : COMPRENDRE LES TACTIQUES DES CYBERCRIMINELS POUR MIEUX SE DÉFENDRE
Introduction
L’ingénierie sociale est une technique de manipulation psychologique utilisée par les cybercriminels pour obtenir des informations confidentielles ou accéder à des systèmes informatiques. Les attaques d’ingénierie sociale sont de plus en plus courantes et peuvent prendre de nombreuses formes, telles que le phishing, le whaling, le baiting, etc. Le phishing est l’une des attaques d’ingénierie sociale les plus courantes. Il utilise des courriels, des messages texte ou des sites Web frauduleux pour inciter les victimes à divulguer des informations personnelles telles que des mots de passe, des numéros de carte de crédit, etc.
Pour vous défendre contre ces attaques, il est important de suivre les bonnes pratiques de cybersécurité. Dans cet article, nous vous expliquons les tactiques utilisées par les cybercriminels et surtout les mesures à prendre pour les comprendre.
Il existe de nombreuses attaques d’ingénierie sociale notamment :
- Le phishing,
- Le whaling,
- Le baiting,
- Le vol par diversion,
- Le piratage de la messagerie,
- Le smishing/phishing par sms,
- Le quid pro quo,
- Le pretexting, etc
Le Phishing
Les attaques de phishing sont de plus en plus courantes et peuvent prendre de nombreuses formes, telles que le phishing par courrier électronique, le phishing par SMS, le phishing par téléphone, etc. Les attaques de phishing sont souvent conçues pour sembler légitimes et persuader les victimes de divulguer des informations personnelles telles que des mots de passe, des numéros de carte de crédit, etc.
Le Whaling
Le whaling est une technique d’ingénierie sociale utilisée par les cybercriminels pour cibler directement la haute direction ou d’autres membres importants d’une entreprise. Le but étant de voler de l’argent, des informations sensibles ou d’avoir accès à leurs systèmes informatiques, le tout bien sûr à des fins criminelles. Les attaques de whaling sont souvent conçues pour sembler légitimes et persuader les victimes de divulguer des informations personnelles telles que des mots de passe, des numéros de carte de crédit, etc.
Baiting
Le baiting est une technique d’ingénierie sociale qui exploite la curiosité ou l’avidité de la victime. Les pirates utilisent des supports physiques pour inciter les victimes à mordre à l’hameçon. Par exemple, ils peuvent offrir un lecteur audio numérique gratuit qui compromettra tous les ordinateurs auxquels il sera connecté. Les baiters peuvent également proposer aux utilisateurs de télécharger gratuitement de la musique ou des films s’ils communiquent leurs identifiants de connexion à un certain site. Les attaques de baiting ne se limitent pas à Internet. Les assaillants peuvent également concentrer leurs efforts sur l’exploitation de la curiosité humaine en utilisant des supports physiques. Les employés peuvent être ciblés en plaçant stratégiquement des appareils contaminés dont ils pourront se saisir. Les appareils qui comportent des étiquettes intrigantes telles que « Confidentiel » ou « Informations sur le salaire » sont parfois trop tentants pour certains travailleurs. Ces employés peuvent alors mordre à l’hameçon et insérer le dispositif infecté dans l’ordinateur de leur entreprise.
Le vol par diversion
Le vol par diversion est une technique d’ingénierie sociale qui consiste à tromper une personne pour qu’elle effectue une action qui facilite le vol. Les voleurs utilisent souvent des supports physiques pour inciter les victimes à mordre à l’hameçon. Par exemple, ils peuvent persuader un coursier de livrer un colis au mauvais endroit, de livrer un colis incorrect ou de livrer un colis au mauvais destinataire. Les attaquants peuvent également concentrer leurs efforts sur l’exploitation de la curiosité humaine en utilisant des supports physiques. Les employés peuvent être ciblés en plaçant stratégiquement des appareils contaminés dont ils pourront se saisir. Les appareils qui comportent des étiquettes intrigantes telles que « Confidentiel » ou « Informations sur le salaire » sont parfois trop tentants pour certains travailleurs. Ces employés peuvent alors mordre à l’hameçon et insérer le dispositif infecté dans l’ordinateur de leur entreprise.
Piratage de la messagerie en entreprise
Le piratage de la messagerie en entreprise est une menace sérieuse pour les entreprises. Les pirates peuvent utiliser des techniques d’ingénierie sociale telles que le phishing, le whaling ou le baiting pour accéder aux comptes de messagerie des employés. Une fois qu’ils ont accès à ces comptes, ils peuvent voler des informations sensibles, telles que des données personnelles ou financières, ou utiliser les comptes pour envoyer des messages malveillants à d’autres employés ou clients.
Pour protéger votre entreprise contre le piratage de la messagerie, il est important de sensibiliser les employés aux risques de sécurité et de leur fournir une formation sur les meilleures pratiques de sécurité en ligne. Il est également recommandé de mettre en place des mesures de sécurité telles que l’authentification à deux facteurs, la surveillance des comptes de messagerie et la mise à jour régulière des logiciels de sécurité. Enfin, il est important de disposer d’un plan de réponse aux incidents pour pouvoir réagir rapidement en cas de violation de la sécurité.
Smishing/phishing par SMS
Le Smishing, également connu sous le nom de phishing par SMS, est une technique d’ingénierie sociale utilisée par les cybercriminels pour tromper les victimes en usurpant l’identité d’un tiers connu (administrations, banques, services de livraison, services en ligne, etc.) par SMS. Les messages frauduleux sont souvent alarmants et incitent les destinataires à réaliser rapidement une action, comme une connexion, une confirmation, une mise à jour ou un paiement, sous peine de restrictions de service ou de frais à leur charge. Les cybercriminels peuvent également chercher à infecter le téléphone mobile de la victime avec une application malveillante (virus), destinée à dérober des données personnelles et bancaires ou pour prendre le contrôle de l’appareil.
Voici quelques exemples de Smishing :
SMS de phishing avec un lien de téléchargement vers un programme malveillant
Ce grand classique du smishing consiste à envoyer un bref message écrit comme s’il provenait d’un ami. Il doit éveiller la curiosité et demander au destinataire de cliquer sur le lien contenu dans le SMS.
Usurpation d'identité d'une banque
Les cybercriminels envoient des SMS qui semblent provenir d’une banque, demandant aux destinataires de cliquer sur un lien pour confirmer leur identité ou pour effectuer une transaction. Les liens mènent souvent à des sites Web frauduleux qui ressemblent à ceux de la banque, mais qui sont en réalité des sites de phishing.
Faux problèmes de livraison
Les cybercriminels envoient des SMS qui semblent provenir d’un service de livraison, demandant aux destinataires de cliquer sur un lien pour suivre leur colis ou pour résoudre un problème de livraison. Les liens mènent souvent à des sites Web frauduleux qui ressemblent à ceux du service de livraison, mais qui sont en réalité des sites de phishing.
Pour vous protéger contre le SMiShing, il est important de rester vigilant et de ne pas cliquer sur des liens ou de télécharger des fichiers provenant de sources inconnues. Il est également recommandé de ne pas communiquer vos informations personnelles à des tiers, même si cela semble être une offre alléchante.
Quid pro quo
Le quid pro quo est une technique d’ingénierie sociale dans laquelle un pirate promet un bénéfice en échange d’informations qui peuvent ensuite être utilisées pour voler de l’argent, des données ou prendre le contrôle d’un compte utilisateur sur un site web. Les attaques de quid pro quo reposent sur la manipulation et l’abus de confiance. En tant que telles, elles entrent dans la catégorie des techniques d’ingénierie sociale, telles que les attaques de phishing (y compris le spear phishing et les attaques de whaling), l’appâtage ou les attaques de faux-semblant (pretexting).
Une attaque de type quid pro quo est une cybermenace basée sur un échange de bons procédés. Cette notion d’échange est cruciale car en tant qu’êtres humains, nous obéissons à la loi de la réciprocité psychologique. Cela signifie que chaque fois que quelqu’un nous donne quelque chose ou nous fait une faveur, nous nous sentons obligés de lui rendre la pareille. Lors des attaques en quid pro quo, le pirate promet un avantage en échange de l’information. Cet avantage prend généralement la forme d’un service. Imaginons qu’un employé du service informatique vous contacte et vous offre d’effectuer un audit de votre ordinateur afin de supprimer les virus potentiels qui pourraient en diminuer les performances. Mais pour ce faire, il a besoin de votre identifiant et de votre mot de passe. Rien de plus naturel ! Vous lui communiquez ces informations sans discuter : après tout, cela fait des mois que vous vous plaignez du ralentissement de votre ordinateur. Sauf que cet échange de bons procédés n’en est peut-être pas un et que vous venez de tomber dans le piège d’une attaque de type quid pro quo.
Pretexting
Le pretexting est une technique d’ingénierie sociale utilisée par les cybercriminels pour tromper les victimes en créant des scénarios trompeurs qui augmentent le taux de réussite d’une future attaque d’ingénierie sociale. Les attaques de pretexting reposent sur la manipulation et l’abus de confiance. En tant que telles, elles entrent dans la catégorie des techniques d’ingénierie sociale, telles que les attaques de phishing (y compris le spear phishing et les attaques de whaling), le baiting ou les attaques de faux-semblant (pretexting).
Les attaques de pretexting sont souvent menées par téléphone ou par e-mail. Les pirates se font passer pour des personnes de confiance, telles que des employés de banque, des représentants du service clientèle ou des membres de la famille, et demandent aux victimes de divulguer des informations personnelles ou de se connecter à des sites Web malveillants. Les pirates peuvent également utiliser des tactiques de pretexting pour obtenir des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit, en se faisant passer pour des employés de centres d’appels ou des techniciens informatiques.
Voici quelques exemples de pretexting :
Usurpation d'identité d'une banque
Les cybercriminels envoient des e-mails ou des SMS qui semblent provenir d’une banque, demandant aux destinataires de cliquer sur un lien pour confirmer leur identité ou pour effectuer une transaction. Les liens mènent souvent à des sites Web frauduleux qui ressemblent à ceux de la banque, mais qui sont en réalité des sites de phishing.
Faux problèmes de livraison
Les cybercriminels envoient des e-mails ou des SMS qui semblent provenir d’un service de livraison, demandant aux destinataires de cliquer sur un lien pour suivre leur colis ou pour résoudre un problème de livraison. Les liens mènent souvent à des sites Web frauduleux qui ressemblent à ceux du service de livraison, mais qui sont en réalité des sites de phishing.
Usurpation d'identité d'un employé de l'entreprise
Les cybercriminels se font passer pour des employés de l’entreprise et demandent aux destinataires de fournir des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit. Ils peuvent également demander aux destinataires de télécharger des fichiers malveillants ou de se connecter à des sites Web malveillants.
Arnaque sentimentale (honeytrap)
L’arnaque sentimentale, également connue sous le nom de honeytrap, est une technique d’ingénierie sociale dans laquelle un cybercriminel crée une relation de confiance avec une victime dans le but de lui soutirer de l’argent ou des informations personnelles. Les attaques de honeytrap sont souvent menées par des brouteurs, qui se font passer pour des personnes attirantes et sympathiques sur les sites de rencontres en ligne ou les réseaux sociaux. Une fois qu’ils ont établi une relation de confiance avec leur victime, ils peuvent demander de l’argent pour des raisons inventées, telles que des problèmes de santé ou des urgences financières.
Voici quelques exemples d’arnaques sentimentales :
Usurpation d'identité d'une personne attirante
Les cybercriminels créent de faux profils sur les sites de rencontres en ligne ou les réseaux sociaux en utilisant des photos attrayantes et des informations inventées. Ils entament ensuite une conversation avec leur victime et établissent une relation de confiance. Une fois que la victime est suffisamment investie dans la relation, les cybercriminels peuvent demander de l’argent pour des raisons inventées.
Usurpation d'identité d'un ami ou d'un membre de la famille
Les cybercriminels peuvent se faire passer pour un ami ou un membre de la famille de la victime et demander de l’argent pour des raisons inventées, telles que des problèmes de santé ou des urgences financières. Ils peuvent également demander des informations personnelles, telles que des numéros de carte de crédit ou des mots de passe.
Usurpation d'identité d'un employé de l'entreprise
Les cybercriminels peuvent se faire passer pour un employé de l’entreprise de la victime et demander des informations sensibles, telles que des mots de passe ou des numéros de carte de crédit. Ils peuvent également demander aux victimes de télécharger des fichiers malveillants ou de se connecter à des sites Web malveillants.
Tailgating/Piggybacking
Le tailgating, également appelé « talonnage » ou « filature », est une technique d’ingénierie sociale utilisée par les cybercriminels pour accéder à des zones à accès restreint sans passer par un processus d’authentification. Lors d’une attaque de tailgating, un cybercriminel suit un employé autorisé dans une zone sécurisée et lui demande de lui tenir la porte, de manière à pouvoir se glisser à travers les défenses conçues pour protéger le périmètre.
Le piggybacking, quant à lui, est une technique similaire où un employé ou un ancien employé fournit sciemment à une personne non autorisée un accès à un environnement protégé en vue d’une attaque coordonnée.
Les attaques de tailgating et de piggybacking sont souvent négligées, mais elles représentent un risque important pour les entreprises, même les plus modernes d’entre elles. Les menaces liées aux attaques de talonnage gagnent en importance, car les cybercriminels savent que de nombreuses organisations ne mettent pas en œuvre les mesures de sécurité physique adéquates pour protéger les données stockées sur site.
Les attaques de tailgating et de piggybacking sont souvent négligées, mais elles représentent un risque important pour les entreprises, même les plus modernes d’entre elles. Pour se défendre contre ces attaques, il est important de mettre en place des mesures de sécurité physique adéquates pour protéger les données stockées sur site.
Voici quelques mesures que vous pouvez prendre pour vous protéger contre les attaques de tailgating et de piggybacking:
Sensibilisation des employés
Les employés doivent être formés à la reconnaissance des attaques de tailgating et de piggybacking et à la manière de les signaler. Les employés doivent également être encouragés à signaler toute personne suspecte qui se trouve dans les locaux de l’entreprise.
Mise en place de contrôles d'accès physiques
Les entreprises doivent mettre en place des contrôles d’accès physiques pour empêcher les personnes non autorisées d’entrer dans les zones à accès restreint. Les contrôles d’accès physiques peuvent inclure des portes verrouillées, des cartes d’accès, des lecteurs biométriques et des caméras de surveillance.
Surveillance des locaux
Les entreprises doivent surveiller les locaux pour détecter les intrusions et les activités suspectes. Les caméras de surveillance peuvent être utilisées pour surveiller les entrées et les sorties des locaux.
Mise en place de politiques de sécurité
Les entreprises doivent mettre en place des politiques de sécurité pour protéger les données stockées sur site. Les politiques de sécurité peuvent inclure des politiques de mot de passe, des politiques de sécurité physique et des politiques de sécurité des données.
Les mesures à prendre pour se protéger des attaques d’ingénierie sociale
Pour vous protéger contre les attaques de phishing, voici quelques mesures préventives que vous pouvez prendre :
- Soyez vigilant : Apprenez à repérer les signes d’un e-mail de phishing, tels qu’un ton inhabituel, des erreurs de grammaire et d’orthographe, des liens suspects ou des demandes de renseignements personnels.
- Vérifiez l’identité de l’expéditeur : Avant de cliquer sur un lien ou de télécharger une pièce jointe, assurez-vous que l’expéditeur est légitime.
- Méfiez-vous des offres alléchantes : Si une offre semble trop belle pour être vraie, elle l’est probablement.
- Utilisez un logiciel de sécurité : Installez un logiciel de sécurité fiable et maintenez-le à jour pour vous protéger contre les menaces en ligne.
- Créez des mots de passe forts : utilisez des mots de passe forts et uniques pour chaque compte en ligne.
- Soyez prudent lorsque vous partagez des informations personnelles : Évitez de partager des informations personnelles en ligne, sauf si vous êtes sûr que le site Web est légitime.
- Signalez les attaques de phishing : Signalez les attaques de phishing à votre fournisseur de messagerie électronique ou à votre entreprise.
Conclusion
Les attaques d’ingénierie sociale sont souvent négligées, mais elles représentent un risque important pour les entreprises, même les plus modernes d’entre elles. Les cybercriminels utilisent des techniques sophistiquées pour tromper les utilisateurs et accéder à des informations sensibles.
Il est capital de sensibiliser les employés aux risques liés à l’ingénierie sociale et de mettre en place des politiques de sécurité pour protéger les données stockées sur site. Les entreprises doivent également surveiller les locaux pour détecter les intrusions et les activités suspectes. Les caméras de surveillance peuvent être utilisées pour surveiller les entrées et les sorties des locaux.
Enfin, il importe de se rappeler que la sécurité est un processus continu et qu’il est important de rester vigilant face aux menaces potentielles. En suivant les mesures de sécurité appropriées, les entreprises peuvent réduire les risques liés à l’ingénierie sociale et protéger leurs données sensibles.
Nous vous invitons à visiter notre blog pour découvrir d’autres articles éducatifs sur la cybersécurité et à explorer notre catalogue de formations en ligne pour en savoir plus sur nos offres. Pour toute préoccupation, n’hésitez pas à nous contacter par mail ou sur whatsapp. Ensemble, travaillons à sécuriser notre espace numérique.