Posts

Les cyberattaquants utilisent les attaques d'ingénierie sociale, qui sont un type d'attaque visant l'élément humain, plutôt que le système informatique et ses logiciels. L'attaquant tente d'amener une personne à effectuer une action qui lui permet d'accéder à l'ordinateur de la victime.

L'un des types les plus courants de ce type d'attaque est l'attaque de type "man-in-the-middle". Une attaque de type man-in-the-middle se produit lorsqu'un attaquant se fait passer pour quelqu'un d'autre afin de tromper les victimes en leur faisant croire qu'elles parlent directement entre elles via des protocoles de normalisation tels que la réponse vocale interactive, le courrier électronique, la messagerie instantanée et la conférence Web.

Le piratage par manipulation humaine est plus facile à exécuter que le piratage direct à partir d'une source externe. Cet article explique pourquoi les attaques SE sont en augmentation et pourquoi les cyberattaquants utilisent couramment ces tactiques.

Pourquoi les cyber-attaquants utilisent-ils les attaques d'ingénierie sociale : causes et raisons probables ?

Les attaques d'ingénierie sociale sont l'une des méthodes les plus populaires et les plus efficaces utilisées par les pirates informatiques aujourd'hui. Ces attaques exploitent souvent les relations interhumaines, telles que la confiance et la familiarité des employés, ou la proximité physique entre les employés et les clients.

a. L'élément humain est le maillon le plus faible de la sécurité traditionnelle.

Les attaques ont tendance à être plus efficaces lorsqu'elles reposent sur une interaction humaine, ce qui signifie que la technologie n'a aucun moyen de nous en protéger.

Tout ce dont un attaquant a besoin, c'est d'un peu d'informations sur les habitudes ou les préférences de sa cible et d'un peu de créativité dans la façon dont il se présente à la victime.

Les attaquants obtiennent ainsi ce qu'ils veulent sans avoir à recourir à des techniques plus compliquées, comme le piratage du réseau d'une organisation ou l'intrusion dans les systèmes d'une entreprise.

b. Les techniques de piratage avancées ne sont pas nécessaires

Les attaques par ingénierie sociale utilisent la confiance des gens pour accéder à un système ou à un réseau. Ces attaques sont efficaces car il est facile pour un attaquant d'y accéder, plutôt que d'utiliser des techniques de piratage avancées pour s'introduire par force brute dans un réseau.

Pour ce faire, l'attaquant utilise généralement des techniques de manipulation psychologique telles que le phishing, le spear phishing et le pretexting.

➜ On parle d'hameçonnage lorsqu'un attaquant envoie des courriels qui semblent légitimes mais qui sont conçus pour inciter les utilisateurs à donner leurs informations personnelles, comme des mots de passe ou des détails de cartes de crédit.

➜ Le spear phishing, c'est lorsqu'un attaquant utilise les mêmes méthodes que le phishing mais avec des techniques plus avancées, comme se faire passer pour quelqu'un d'autre pour vous tromper et vous amener à donner vos informations.

➜ On parle de prétextage lorsqu'un attaquant utilise des faux-semblants pour gagner la confiance de ses victimes avant de tenter de les voler.

Une fois que les attaquants ont obtenu l'accès à votre système ou à votre réseau, ils peuvent y faire tout ce qu'ils veulent, y compris installer des programmes, modifier des fichiers ou même les supprimer, sans se faire prendre par un système de sécurité ou un administrateur qui pourrait les en empêcher s'ils savaient ce qui se passe dans leur réseau !

c. Le Dumpster Diving est plus facile que le Brute Forcing dans un réseau

La fouille de poubelles consiste à récupérer des informations à partir de matériaux mis au rebut pour mener des attaques d'ingénierie sociale. Cette technique consiste à fouiller les poubelles à la recherche de trésors tels que des codes d'accès ou des mots de passe écrits sur des notes autocollantes. La fouille de poubelles facilite ce type d'activités car elle permet au pirate d'accéder au réseau sans avoir à s'y introduire.

Les informations découvertes par les fouilleurs de poubelles peuvent être banales, comme une liste de téléphones ou un calendrier, ou plus innocentes, comme un organigramme. Mais ces informations apparemment innocentes peuvent aider un attaquant à utiliser des techniques d'ingénierie sociale pour accéder au réseau.

En outre, si un ordinateur a été mis au rebut, il peut être une mine d'or pour les cyberattaquants. Il est possible de récupérer des informations sur des supports de stockage, y compris des disques qui ont été effacés ou mal formatés. Les mots de passe et les certificats de confiance sont souvent stockés sur l'ordinateur et sont vulnérables aux attaques.

L'équipement mis au rebut peut contenir des données sensibles sur le Trusted Platform Module (TPM). Ces données sont importantes pour une organisation car elles lui permettent de stocker en toute sécurité des informations sensibles, telles que des clés cryptographiques. Un ingénieur social pourrait exploiter les identifiants du matériel auxquels une organisation fait confiance pour élaborer des exploits potentiels contre ses utilisateurs.

d. Utilise la peur, la cupidité et le sentiment d'urgence des gens.

Les attaques par ingénierie sociale sont faciles à réaliser car elles reposent sur l'élément humain. Le cyber-attaquant peut utiliser le charme, la persuasion ou l'intimidation pour manipuler la perception de la personne ou exploiter son émotion pour obtenir des détails importants sur son entreprise.

Par exemple, un cyber-attaquant peut parler avec un employé mécontent d'une entreprise pour obtenir des informations cachées, qui peuvent ensuite être utilisées pour s'introduire dans le réseau.

Le salarié mécontent peut fournir des informations sur l'entreprise à un agresseur s'il a le sentiment d'être traité injustement ou maltraité par son employeur actuel. L'employé mécontent peut également fournir des informations sur l'entreprise s'il n'a pas d'autre emploi et qu'il sera bientôt au chômage.

Les méthodes de piratage les plus avancées impliquent de s'introduire dans un réseau en utilisant des techniques plus avancées telles que les logiciels malveillants, les enregistreurs de frappe et les chevaux de Troie. Ces techniques avancées nécessitent beaucoup plus de temps et d'efforts que de simplement parler avec un employé mécontent pour obtenir des informations cachées qui peuvent être utilisées pour pénétrer dans un réseau.

Les six grands principes de l'influence

Les escroqueries d'ingénierie sociale exploitent six vulnérabilités spécifiques de la psyché humaine. Ces vulnérabilités sont identifiées par le psychologue Robert Cialdini dans son livre "Influence : The Psychology of Persuasion" et sont les suivantes :

Réciprocité - La réciprocité est le désir de rendre des faveurs en nature. Nous avons tendance à nous sentir redevables envers les personnes qui nous ont aidés ; nous pensons qu'il est de notre responsabilité de les aider. Ainsi, lorsque quelqu'un nous demande quelque chose - un mot de passe, l'accès à des dossiers financiers ou autre - nous sommes plus susceptibles d'obtempérer s'il nous a déjà aidé auparavant.

Engagement et cohérence - Nous avons tendance à faire les choses sur la durée plutôt qu'une seule fois. Nous sommes plus susceptibles d'accepter une demande si nous avons déjà accepté l'une de ses parties - ou même plusieurs. Si quelqu'un a déjà demandé l'accès à vos dossiers financiers, peut-être que le fait de le demander à nouveau n'est pas si grave après tout !

Preuve sociale - Il s'agit d'une technique de tromperie qui s'appuie sur le fait que nous avons tendance à suivre l'exemple des personnes qui nous entourent (également connu sous le nom d'"effet bandwagon"). Par exemple, les employés pourraient être influencés par un acteur de la menace qui présente de fausses preuves qu'un autre employé s'est conformé à une demande.

Aimer - Nous aimons les gens qui ont l'air d'être aux commandes ; ainsi, un pirate pourrait envoyer un message à votre adresse électronique qui semble provenir de votre patron ou d'un de vos amis, ou même d'un expert dans un domaine qui vous intéresse. Le message pourrait dire quelque chose comme : "Hé ! Je sais que tu travailles sur ce projet et nous avons besoin d'aide. Pouvons-nous nous rencontrer bientôt ?" Il demande généralement votre aide - et en acceptant, vous donnez des informations sensibles.

Autorité - Les gens se soumettent généralement aux figures d'autorité parce que nous les considérons comme les "bons" que nous devons suivre et auxquels nous devons obéir. Ainsi, les tactiques d'ingénierie sociale peuvent exploiter notre tendance à faire confiance à ceux qui semblent faire autorité pour obtenir ce qu'ils veulent de nous.

Pénurie - Le manque est un instinct humain qui est câblé dans notre cerveau. C'est le sentiment de "J'ai besoin de ça maintenant" ou "Je devrais avoir ça". Ainsi, lorsque les gens se font arnaquer par des ingénieurs sociaux, ils vont ressentir un sentiment d'urgence pour donner leur argent ou leurs informations le plus rapidement possible.

Les personnalités qui sont vulnérables à l'ingénierie sociale et pourquoi ?

Selon le Dr Margaret Cunningham, principale chercheuse en comportement humain chez Forcepoint X-Labs, une société de cybersécurité, l'agréabilité et l'extraversion sont les traits de personnalité les plus vulnérables aux exploits d'ingénierie sociale.

Les personnes agréables ont tendance à faire confiance, à être amicales et à suivre les instructions sans poser de questions. Elles sont de bons candidats pour les attaques de phishing car elles sont plus susceptibles de cliquer sur des liens ou d'ouvrir des pièces jointes dans des e-mails qui semblent authentiques.

Les extravertis sont également plus susceptibles de subir des attaques d'ingénierie sociale parce qu'ils préfèrent souvent être entourés d'autres personnes et qu'ils sont plus enclins à faire confiance aux autres. Elles sont plus susceptibles de se méfier des motivations des autres que les personnes introverties, ce qui peut les amener à être trompées ou manipulées par un ingénieur social.

Les personnalités qui résistent à l'ingénierie sociale et pourquoi ?

Les personnes qui résistent aux attaques de l'ingénierie sociale ont tendance à être consciencieuses, introverties et à avoir un haut niveau d'auto-efficacité.

Les personnes consciencieuses sont les plus susceptibles de résister aux arnaques d'ingénierie sociale en se concentrant sur leurs propres besoins et désirs. Elles sont également moins susceptibles de se conformer aux exigences des autres.

Les introvertis ont tendance à être moins sensibles aux manipulations extérieures, car ils prennent du temps pour eux et apprécient la solitude, ce qui signifie qu'ils sont moins susceptibles d'être influencés par des signaux sociaux ou des personnes insistantes qui tentent de les influencer.

L'auto-efficacité est importante car elle nous aide à croire en nous-mêmes, de sorte que nous sommes plus confiants dans notre capacité à résister à la pression des autres ou aux influences extérieures.

Protégez votre organisation des escroqueries par ingénierie sociale avec PowerDMARC

L'ingénierie sociale est une pratique qui consiste à manipuler les employés et les clients pour qu'ils divulguent des informations sensibles qui peuvent être utilisées pour voler ou détruire des données. Dans le passé, ces informations étaient obtenues en envoyant des courriels qui semblaient provenir de sources légitimes, comme votre banque ou votre employeur. Aujourd'hui, il est beaucoup plus facile d'usurper des adresses électroniques.

PowerDMARC aide à se protéger contre ce type d'attaque en déployant des protocoles d'authentification du courrier électronique tels que SPF, DKIM et DMARC p=reject dans votre environnement afin de minimiser le risque d'usurpation de domaine direct et les attaques de phishing par email.

Si vous souhaitez vous protéger, ainsi que votre entreprise et vos clients, contre les attaques d'ingénierie sociale, inscrivez-vous pour notre essai DMARC gratuit dès aujourd'hui !

Avant de nous plonger dans les types d'attaques d'ingénierie sociale dont les victimes sont la proie au quotidien, ainsi que dans les attaques à venir qui ont pris l'internet d'assaut, voyons d'abord brièvement ce qu'est l'ingénierie sociale. 

Pour l'expliquer en termes simples, l'ingénierie sociale désigne une tactique de déploiement de cyberattaques dans laquelle les acteurs de la menace utilisent la manipulation psychologique pour exploiter leurs victimes et les escroquer.

Ingénierie sociale : Définition et exemples

Qu'est-ce qu'une attaque d'ingénierie sociale ?

Contrairement aux cybercriminels qui piratent votre ordinateur ou votre système de messagerie, les attaques par ingénierie sociale sont orchestrées en essayant d'influencer l'opinion d'une victime pour la pousser à exposer des informations sensibles. Les analystes de la sécurité ont confirmé que plus de 70 % des cyberattaques qui ont lieu chaque année sur l'internet sont des attaques par ingénierie sociale.

Exemples d'ingénierie sociale

Regardez l'exemple ci-dessous :

 

Ici, nous pouvons observer une publicité en ligne qui attire la victime en lui promettant de gagner 1000 $ par heure. Cette publicité contient un lien malveillant qui peut déclencher l'installation d'un logiciel malveillant sur son système. 

Ce type d'attaque, communément appelé "appât en ligne" ou simplement "appât", est une forme d'attaque par ingénierie sociale. 

Voici un autre exemple :

Comme nous l'avons vu plus haut, les attaques d'ingénierie sociale peuvent également être perpétrées en utilisant le courrier électronique comme moyen de communication. Le phishing en est un exemple courant. Nous aborderons ces attaques plus en détail dans la section suivante.

Types d'attaques d'ingénierie sociale

1. Vishing et Smishing

Supposons que vous receviez aujourd'hui un SMS de votre banque (supposée) vous demandant de vérifier votre identité en cliquant sur un lien, faute de quoi votre compte sera désactivé. Il s'agit d'un message très courant, souvent diffusé par les cybercriminels pour tromper les personnes peu méfiantes. Une fois que vous avez cliqué sur le lien, vous êtes redirigé vers une page d'usurpation qui vous demande vos informations bancaires. Soyez assuré que si vous finissez par fournir vos coordonnées bancaires aux attaquants, ils videront votre compte. 

De même, le Vishing ou Voice phishing est initié par des appels téléphoniques au lieu de SMS.

2. Appât en ligne / Baiting 

Nous rencontrons chaque jour toute une série de publicités en ligne lorsque nous naviguons sur des sites web. Bien que la plupart d'entre elles soient inoffensives et authentiques, il peut y avoir quelques pommes pourries qui se cachent dans le lot. Il est facile de les identifier en repérant les publicités qui semblent trop belles pour être vraies. Elles comportent généralement des allégations et des attraits ridicules, comme la possibilité de gagner le jackpot ou de bénéficier d'une réduction considérable.

N'oubliez pas que cela peut être un piège (alias a appât). Si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Il est donc préférable de se tenir à l'écart des publicités suspectes sur Internet et de ne pas cliquer dessus.

3. Hameçonnage

Les attaques d'ingénierie sociale sont le plus souvent menées par le biais d'e-mails et sont appelées hameçonnage. Les attaques de phishing font des ravages à l'échelle mondiale depuis presque aussi longtemps que le courrier électronique lui-même existe. Depuis 2020, en raison d'un pic dans les communications par courrier électronique, le taux de phishing a également grimpé en flèche, escroquant les organisations, grandes et petites, et faisant les gros titres chaque jour. 

Les attaques de phishing peuvent être classées en trois catégories : Spear phishing, whaling et CEO fraud, qui consistent à usurper l'identité d'employés spécifiques au sein d'une organisation, de décideurs de l'entreprise et du CEO, respectivement.

4. Les escroqueries à la romance

Le Federal Bureau of Investigation (FBI) définit les arnaques à la romance sur Internet comme "des escroqueries qui se produisent lorsqu'un criminel adopte une fausse identité en ligne pour gagner l'affection et la confiance d'une victime. L'escroc utilise ensuite l'illusion d'une relation romantique ou proche pour manipuler et/ou voler la victime." 

Les escroqueries à la romance relèvent des types d'attaques d'ingénierie sociale, car les attaquants utilisent des tactiques de manipulation pour nouer une relation amoureuse étroite avec leurs victimes avant de passer à l'action, c'est-à-dire de les escroquer. En 2021, les arnaques à la romance ont pris la première place des cyberattaques les plus dommageables financièrement de l'année, suivies de près par les ransomwares.

5. Usurpation d'identité

L'usurpation de domaine est une forme très évoluée d'attaque par ingénierie sociale. Il s'agit d'un attaquant qui falsifie le domaine d'une entreprise légitime pour envoyer des courriels à des clients au nom de l'organisation expéditrice. L'attaquant manipule les victimes en leur faisant croire que ledit courriel provient d'une source authentique, c'est-à-dire d'une entreprise dont elles font confiance aux services. 

Les attaques par usurpation d'identité sont difficiles à repérer car les courriels sont envoyés à partir du propre domaine de l'entreprise. Cependant, il existe des moyens de les résoudre. L'une des méthodes les plus utilisées et recommandées par les experts du secteur consiste à minimiser l'usurpation d'identité à l'aide d'un protocole DMARC .

6. Prétextage

Le prétextage peut être considéré comme le prédécesseur d'une attaque d'ingénierie sociale. Il s'agit du cas où un attaquant tisse une histoire hypothétique pour étayer sa demande d'informations sensibles sur l'entreprise. Dans la plupart des cas, le prétextage s'effectue par le biais d'appels téléphoniques, dans lesquels l'attaquant se fait passer pour un client ou un employé et demande des informations sensibles à l'entreprise.

Quelle est une méthode courante utilisée dans l'ingénierie sociale ?

La méthode la plus courante utilisée en ingénierie sociale est le phishing. Jetons un coup d'œil à quelques statistiques pour mieux comprendre comment le phishing est une menace mondiale croissante :

  • Le rapport 2021 Cybersecurity Threat Trends de CISCO souligne que 90 % des violations de données sont dues à l'hameçonnage.
  • Dans son rapport Cost of a Data Breach Report de 2021, IBM a attribué au phishing le titre de vecteur d'attaque le plus coûteux financièrement.
  • Chaque année, le taux d'attaques par hameçonnage augmente de 400 %, comme l'indique le FBI.

Comment se protéger des attaques d'ingénierie sociale ?

Protocoles et outils que vous pouvez configurer : 

  • Déployez des protocoles d'authentification des e-mails au sein de votre organisation, tels que SPF, DKIM et DMARC. Commencez par créer un enregistrement DMARC gratuit dès aujourd'hui avec notre générateur d'enregistrements DMARC.
  • Appliquez votre politique DMARC à p=reject pour minimiser l'usurpation de domaine direct et les attaques de phishing par e-mail
  • Assurez-vous que votre système informatique est protégé à l'aide d'un logiciel antivirus.

Les mesures personnelles que vous pouvez prendre :

  • Sensibiliser votre organisation aux types courants d'attaques d'ingénierie sociale, aux vecteurs d'attaque et aux signes avant-coureurs.
  • Renseignez-vous sur les vecteurs et les types d'attaque. Visitez notre base de connaissances, saisissez "phishing" dans la barre de recherche, appuyez sur la touche Entrée et commencez à apprendre dès aujourd'hui !  
  • Ne soumettez jamais d'informations confidentielles sur des sites web externes
  • Activer les applications d'identification de l'appelant sur votre appareil mobile
  • N'oubliez jamais que votre banque ne vous demandera jamais de communiquer vos informations de compte et votre mot de passe par courrier électronique, par SMS ou par téléphone.
  • Vérifiez toujours l'adresse de départ et l'adresse de retour de vos courriels pour vous assurer qu'elles correspondent. 
  • Ne cliquez jamais sur des pièces jointes ou des liens suspects avant d'être sûr à 100% de l'authenticité de leur source.
  • Réfléchissez à deux fois avant de faire confiance aux personnes avec lesquelles vous interagissez en ligne et que vous ne connaissez pas dans la vie réelle.
  • Ne naviguez pas sur les sites Web qui ne sont pas sécurisés par une connexion HTTPS (par exemple, http://domain.com).