Posts

Qu'est-ce que l'ingénierie sociale ? Il s'agit d'une forme de cyberattaque qui consiste à utiliser la manipulation et la tromperie pour accéder à des données ou à des informations. L'objectif de l'ingénierie sociale est de pousser les gens à divulguer des informations sensibles, telles que des mots de passe et des détails sur le réseau, en leur faisant croire qu'ils interagissent avec une personne de confiance. 

Dans certains cas, les ingénieurs sociaux tenteront également de vous faire télécharger des logiciels malveillants sur votre ordinateur sans que vous vous en rendiez compte.

Qu'est-ce que l'ingénierie sociale ? Définition

L'ingénierie sociale consiste à manipuler les gens pour qu'ils effectuent des actions ou divulguent des informations confidentielles. Il s'agit d'une forme de piratage, mais au lieu de pénétrer dans les ordinateurs, les ingénieurs sociaux essaient d'y accéder en incitant les employés à donner des informations ou à télécharger des logiciels malveillants.

Techniques d'ingénierie sociale : Comment fonctionne l'ingénierie sociale ?

  • L'ingénierie sociale peut se faire par téléphone, par e-mail ou par SMS. Un ingénieur social peut appeler une entreprise et demander l'accès à une zone restreinte, ou se faire passer pour quelqu'un d'autre afin de lui faire ouvrir un compte de messagerie en son nom.
  • Les ingénieurs sociaux utilisent de nombreuses tactiques différentes pour atteindre leurs objectifs. Par exemple, ils peuvent prétendre qu'ils appellent du service d'assistance d'une entreprise et demander un accès à distance afin de pouvoir réparer quelque chose sur votre ordinateur ou votre réseau. Ils peuvent aussi prétendre qu'ils ont besoin de votre mot de passe ou d'autres informations personnelles, comme des données bancaires, pour résoudre un problème sur votre compte bancaire.
  • Dans certains cas, les ingénieurs sociaux se font même passer pour des agents de la force publique et vous menacent de poursuites judiciaires si vous refusez d'accéder à leurs demandes d'informations. S'il est important que les entreprises prennent ces menaces au sérieux, n'oubliez pas que la police n'appellera jamais quelqu'un pour lui demander ses mots de passe par téléphone !

Objectif de l'ingénierie sociale

L'ingénierie sociale est souvent utilisée dans les attaques de phishing, c'est-à-dire des courriels qui semblent provenir d'une source fiable mais qui visent en fait à voler vos informations personnelles. Ces courriels contiennent généralement une pièce jointe contenant un logiciel malveillant (souvent appelé "malware") qui infectera votre ordinateur s'il est ouvert.

L'objectif de l'ingénierie sociale est toujours le même : obtenir l'accès à quelque chose de précieux sans avoir à travailler pour l'obtenir. 

1. Vol d'informations sensibles

Ainsi, les ingénieurs sociaux peuvent essayer de vous inciter à donner votre mot de passe et vos identifiants de connexion (comme votre nom d'utilisateur/adresse e-mail) afin d'accéder à votre compte e-mail ou à votre profil de médias sociaux où ils peuvent voler des informations personnelles comme les numéros de carte de crédit et les informations de compte bancaire des transactions précédentes. Vous savez peut-être comment vendre sur Instagram, mais disposez-vous de suffisamment de connaissances pour protéger votre petite entreprise et votre compte des ingénieurs sociaux ?

2. Le vol d'identité

Ils peuvent également utiliser ces informations pour usurper l'identité de la victime et mener des activités malveillantes en se faisant passer pour elle si elle choisit de ne pas les détruire immédiatement.

Apprenez pourquoi les cyber-attaquants utilisent couramment l'ingénierie sociale.

Comment identifier une attaque d'ingénierie sociale ?

1. Faites confiance à votre instinct

Si vous recevez des courriels ou des appels téléphoniques qui vous semblent suspects, ne donnez aucune information avant d'avoir vérifié votre identité. Vous pouvez le faire en appelant directement votre entreprise ou en vous renseignant auprès de la personne qui est censée avoir envoyé l'e-mail ou laissé un message sur votre boîte vocale.

2. Ne soumettez pas vos informations personnelles

Si quelqu'un vous demande votre numéro de sécurité sociale ou d'autres détails privés, c'est un signe qu'il essaie de profiter de votre confiance et de l'utiliser contre vous plus tard. Il est conseillé de ne donner aucune information à moins que cela ne soit absolument nécessaire. 

3. Demandes inhabituelles sans contexte

Les ingénieurs sociaux font généralement des demandes importantes sans donner de contexte. Si quelqu'un demande de l'argent ou d'autres ressources sans expliquer pourquoi il en a besoin, il y a probablement quelque chose de louche. Il est préférable d'être prudent lorsque quelqu'un fait une demande importante de ce type : on ne sait jamais quels dommages peuvent être causés par l'accès à votre compte bancaire !

Voici quelques moyens de repérer les attaques d'ingénierie sociale:

  • Réception d'un courriel de quelqu'un qui prétend appartenir à votre service informatique et qui vous demande de réinitialiser votre mot de passe et de le fournir dans un courriel ou un SMS
  • Réception d'un courriel d'une personne prétendant appartenir à votre banque et demandant des informations personnelles, telles que votre numéro de compte ou votre code PIN.
  • Réception d'un courriel d'une personne prétendant appartenir à votre banque et demandant des informations personnelles, telles que votre numéro de compte ou votre code PIN.
  • Une personne prétendant appartenir au service des ressources humaines de l'entreprise vous demande des informations sur cette dernière.

Attaques d'ingénierie sociale par courriel

Les courriels d'hameçonnage - Ils semblent provenir d'une source légitime mais tentent en fait de vous inciter à ouvrir une pièce jointe ou à visiter un site web malveillant.

Spear phishing - Le spear phishing sont plus ciblées que les courriels de phishing et utilisent des informations vous concernant pour les rendre plus crédibles.

Fraude des PDG - La fraude au PDG est un type d'escroquerie par phishing qui consiste à se faire passer pour un PDG ou un cadre de haut niveau afin d'accéder à des informations sensibles. Il peut s'agir de numéros de comptes bancaires, de détails de virements bancaires ou même d'informations sur la paie des employés.

Apprenez-en plus sur les autres types d'attaques d'ingénierie sociale d'ingénierie sociale.

Comment prévenir l'ingénierie sociale ?

Nous vous proposons quelques conseils pour prévenir les attaques d'ingénierie sociale et vous en protéger.

  1. Assurez-vous d'avoir un bon logiciel antivirus installé sur vos appareils et ordinateurs.
  2. N'ouvrez pas les courriels ou pièces jointes suspects provenant de personnes qui ne font pas partie de votre cercle de confiance (y compris les courriels provenant de personnes prétendant être votre banque ou votre société de carte de crédit).
  3. Ne cliquez pas sur les liens contenus dans les courriels si vous n'êtes pas sûr qu'ils sont sûrs, même s'ils proviennent d'une personne que vous connaissez ! En cas de doute sur la légitimité d'un courriel, appelez directement l'expéditeur par téléphone ou par message texte au lieu de chercher d'abord à obtenir plus d'informations en ligne.
  4. Méfiez-vous des appels téléphoniques ou des SMS non sollicités proposant quelque chose de "trop beau pour être vrai" (il peut s'agir de prix gratuits ou d'autres offres pour s'inscrire à des essais gratuits, par exemple). 
  5. Utilisez authentification à deux facteurs dans la mesure du possible. Cela signifie que même si quelqu'un a votre mot de passe, il aura besoin d'une autre information (comme un code à usage unique) pour accéder à votre compte.
  6. Configurez les protocoles d'authentification du courrier électronique comme DMARC pour sécuriser vos canaux de messagerie contre les attaques de phishing, l'ingénierie sociale et l'abus de domaine.

Pour résumer

Il est important de se protéger contre l'ingénierie sociale, car elle peut entraîner la perte d'argent et d'autres informations personnelles, ainsi que la compromission des systèmes de sécurité et la violation des données. 

Quelle que soit l'efficacité de votre équipe informatique à protéger votre entreprise contre les cyberattaques, vous ne pourrez jamais éliminer complètement le risque que quelqu'un tente de pénétrer dans votre système par des méthodes d'ingénierie sociale. C'est pourquoi il est si important de former les employés sur l'identification des courriels de phishing et d'autres types d'attaques d'ingénierie sociale.

Avant de nous plonger dans les types d'attaques d'ingénierie sociale dont les victimes sont la proie au quotidien, ainsi que dans les attaques à venir qui ont pris l'internet d'assaut, voyons d'abord brièvement ce qu'est l'ingénierie sociale. 

Pour l'expliquer en termes simples, l'ingénierie sociale désigne une tactique de déploiement de cyberattaques dans laquelle les acteurs de la menace utilisent la manipulation psychologique pour exploiter leurs victimes et les escroquer.

Ingénierie sociale : Définition et exemples

Qu'est-ce qu'une attaque d'ingénierie sociale ?

Contrairement aux cybercriminels qui piratent votre ordinateur ou votre système de messagerie, les attaques par ingénierie sociale sont orchestrées en essayant d'influencer l'opinion d'une victime pour la pousser à exposer des informations sensibles. Les analystes de la sécurité ont confirmé que plus de 70 % des cyberattaques qui ont lieu chaque année sur l'internet sont des attaques par ingénierie sociale.

Exemples d'ingénierie sociale

Regardez l'exemple ci-dessous :

 

Ici, nous pouvons observer une publicité en ligne qui attire la victime en lui promettant de gagner 1000 $ par heure. Cette publicité contient un lien malveillant qui peut déclencher l'installation d'un logiciel malveillant sur son système. 

Ce type d'attaque, communément appelé "appât en ligne" ou simplement "appât", est une forme d'attaque par ingénierie sociale. 

Voici un autre exemple :

Comme nous l'avons vu plus haut, les attaques d'ingénierie sociale peuvent également être perpétrées en utilisant le courrier électronique comme moyen de communication. Le phishing en est un exemple courant. Nous aborderons ces attaques plus en détail dans la section suivante.

Types d'attaques d'ingénierie sociale

1. Vishing et Smishing

Supposons que vous receviez aujourd'hui un SMS de votre banque (supposée) vous demandant de vérifier votre identité en cliquant sur un lien, faute de quoi votre compte sera désactivé. Il s'agit d'un message très courant, souvent diffusé par les cybercriminels pour tromper les personnes peu méfiantes. Une fois que vous avez cliqué sur le lien, vous êtes redirigé vers une page d'usurpation qui vous demande vos informations bancaires. Soyez assuré que si vous finissez par fournir vos coordonnées bancaires aux attaquants, ils videront votre compte. 

De même, le Vishing ou Voice phishing est initié par des appels téléphoniques au lieu de SMS.

2. Appât en ligne / Baiting 

Nous rencontrons chaque jour toute une série de publicités en ligne lorsque nous naviguons sur des sites web. Bien que la plupart d'entre elles soient inoffensives et authentiques, il peut y avoir quelques pommes pourries qui se cachent dans le lot. Il est facile de les identifier en repérant les publicités qui semblent trop belles pour être vraies. Elles comportent généralement des allégations et des attraits ridicules, comme la possibilité de gagner le jackpot ou de bénéficier d'une réduction considérable.

N'oubliez pas que cela peut être un piège (alias a appât). Si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Il est donc préférable de se tenir à l'écart des publicités suspectes sur Internet et de ne pas cliquer dessus.

3. Hameçonnage

Les attaques d'ingénierie sociale sont le plus souvent menées par le biais d'e-mails et sont appelées hameçonnage. Les attaques de phishing font des ravages à l'échelle mondiale depuis presque aussi longtemps que le courrier électronique lui-même existe. Depuis 2020, en raison d'un pic dans les communications par courrier électronique, le taux de phishing a également grimpé en flèche, escroquant les organisations, grandes et petites, et faisant les gros titres chaque jour. 

Les attaques de phishing peuvent être classées en trois catégories : Spear phishing, whaling et CEO fraud, qui consistent à usurper l'identité d'employés spécifiques au sein d'une organisation, de décideurs de l'entreprise et du CEO, respectivement.

4. Les escroqueries à la romance

Le Federal Bureau of Investigation (FBI) définit les arnaques à la romance sur Internet comme "des escroqueries qui se produisent lorsqu'un criminel adopte une fausse identité en ligne pour gagner l'affection et la confiance d'une victime. L'escroc utilise ensuite l'illusion d'une relation romantique ou proche pour manipuler et/ou voler la victime." 

Les escroqueries à la romance relèvent des types d'attaques d'ingénierie sociale, car les attaquants utilisent des tactiques de manipulation pour nouer une relation amoureuse étroite avec leurs victimes avant de passer à l'action, c'est-à-dire de les escroquer. En 2021, les arnaques à la romance ont pris la première place des cyberattaques les plus dommageables financièrement de l'année, suivies de près par les ransomwares.

5. Usurpation d'identité

L'usurpation de domaine est une forme très évoluée d'attaque par ingénierie sociale. Il s'agit d'un attaquant qui falsifie le domaine d'une entreprise légitime pour envoyer des courriels à des clients au nom de l'organisation expéditrice. L'attaquant manipule les victimes en leur faisant croire que ledit courriel provient d'une source authentique, c'est-à-dire d'une entreprise dont elles font confiance aux services. 

Les attaques par usurpation d'identité sont difficiles à repérer car les courriels sont envoyés à partir du propre domaine de l'entreprise. Cependant, il existe des moyens de les résoudre. L'une des méthodes les plus utilisées et recommandées par les experts du secteur consiste à minimiser l'usurpation d'identité à l'aide d'un protocole DMARC .

6. Prétextage

Le prétextage peut être considéré comme le prédécesseur d'une attaque d'ingénierie sociale. Il s'agit du cas où un attaquant tisse une histoire hypothétique pour étayer sa demande d'informations sensibles sur l'entreprise. Dans la plupart des cas, le prétextage s'effectue par le biais d'appels téléphoniques, dans lesquels l'attaquant se fait passer pour un client ou un employé et demande des informations sensibles à l'entreprise.

Quelle est une méthode courante utilisée dans l'ingénierie sociale ?

La méthode la plus courante utilisée en ingénierie sociale est le phishing. Jetons un coup d'œil à quelques statistiques pour mieux comprendre comment le phishing est une menace mondiale croissante :

  • Le rapport 2021 Cybersecurity Threat Trends de CISCO souligne que 90 % des violations de données sont dues à l'hameçonnage.
  • Dans son rapport Cost of a Data Breach Report de 2021, IBM a attribué au phishing le titre de vecteur d'attaque le plus coûteux financièrement.
  • Chaque année, le taux d'attaques par hameçonnage augmente de 400 %, comme l'indique le FBI.

Comment se protéger des attaques d'ingénierie sociale ?

Protocoles et outils que vous pouvez configurer : 

  • Déployez des protocoles d'authentification des e-mails au sein de votre organisation, tels que SPF, DKIM et DMARC. Commencez par créer un enregistrement DMARC gratuit dès aujourd'hui avec notre générateur d'enregistrements DMARC.
  • Appliquez votre politique DMARC à p=reject pour minimiser l'usurpation de domaine direct et les attaques de phishing par e-mail
  • Assurez-vous que votre système informatique est protégé à l'aide d'un logiciel antivirus.

Les mesures personnelles que vous pouvez prendre :

  • Sensibiliser votre organisation aux types courants d'attaques d'ingénierie sociale, aux vecteurs d'attaque et aux signes avant-coureurs.
  • Renseignez-vous sur les vecteurs et les types d'attaque. Visitez notre base de connaissances, saisissez "phishing" dans la barre de recherche, appuyez sur la touche Entrée et commencez à apprendre dès aujourd'hui !  
  • Ne soumettez jamais d'informations confidentielles sur des sites web externes
  • Activer les applications d'identification de l'appelant sur votre appareil mobile
  • N'oubliez jamais que votre banque ne vous demandera jamais de communiquer vos informations de compte et votre mot de passe par courrier électronique, par SMS ou par téléphone.
  • Vérifiez toujours l'adresse de départ et l'adresse de retour de vos courriels pour vous assurer qu'elles correspondent. 
  • Ne cliquez jamais sur des pièces jointes ou des liens suspects avant d'être sûr à 100% de l'authenticité de leur source.
  • Réfléchissez à deux fois avant de faire confiance aux personnes avec lesquelles vous interagissez en ligne et que vous ne connaissez pas dans la vie réelle.
  • Ne naviguez pas sur les sites Web qui ne sont pas sécurisés par une connexion HTTPS (par exemple, http://domain.com).