Avant de nous plonger dans les types d'attaques d'ingénierie sociale dont les victimes sont la proie au quotidien, ainsi que dans les attaques à venir qui ont pris l'internet d'assaut, voyons d'abord brièvement ce qu'est l'ingénierie sociale.
Pour l'expliquer en termes simples, l'ingénierie sociale désigne une tactique de déploiement de cyberattaques dans laquelle les acteurs de la menace utilisent la manipulation psychologique pour exploiter leurs victimes et les escroquer.
Ingénierie sociale : Définition et exemples
Qu'est-ce qu'une attaque d'ingénierie sociale ?
Contrairement aux cybercriminels qui piratent votre ordinateur ou votre système de messagerie, les attaques par ingénierie sociale sont orchestrées en essayant d'influencer l'opinion d'une victime pour la pousser à exposer des informations sensibles. Les analystes de la sécurité ont confirmé que plus de 70 % des cyberattaques qui ont lieu chaque année sur l'internet sont des attaques par ingénierie sociale.
Exemples d'ingénierie sociale
Regardez l'exemple ci-dessous :
Ici, nous pouvons observer une publicité en ligne qui attire la victime en lui promettant de gagner 1000 $ par heure. Cette publicité contient un lien malveillant qui peut déclencher l'installation d'un logiciel malveillant sur son système.
Ce type d'attaque, communément appelé "appât en ligne" ou simplement "appât", est une forme d'attaque par ingénierie sociale.
Voici un autre exemple :
Comme nous l'avons vu plus haut, les attaques d'ingénierie sociale peuvent également être perpétrées en utilisant le courrier électronique comme moyen de communication. Le phishing en est un exemple courant. Nous aborderons ces attaques plus en détail dans la section suivante.
Types d'attaques d'ingénierie sociale
1. Vishing et Smishing
Supposons que vous receviez aujourd'hui un SMS de votre banque (supposée) vous demandant de vérifier votre identité en cliquant sur un lien, faute de quoi votre compte sera désactivé. Il s'agit d'un message très courant, souvent diffusé par les cybercriminels pour tromper les personnes qui ne se doutent de rien. Une fois que vous avez cliqué sur le lien, vous êtes redirigé vers une page falsifiée qui vous demande vos informations bancaires. Soyez assuré que si vous finissez par fournir vos coordonnées bancaires aux attaquants, ils videront votre compte.
De même, le Vishing ou Voice phishing est initié par des appels téléphoniques au lieu de SMS.
2. Appât en ligne / Baiting
Nous rencontrons chaque jour toute une série de publicités en ligne lorsque nous naviguons sur des sites web. Bien que la plupart d'entre elles soient inoffensives et authentiques, il peut y avoir quelques pommes pourries qui se cachent dans le lot. Il est facile de les identifier en repérant les publicités qui semblent trop belles pour être vraies. Elles comportent généralement des allégations et des attraits ridicules, comme la possibilité de gagner le jackpot ou de bénéficier d'une réduction considérable.
N'oubliez pas que cela peut être un piège (alias a appât). Si quelque chose semble trop beau pour être vrai, c'est probablement le cas. Il est donc préférable de se tenir à l'écart des publicités suspectes sur Internet et de ne pas cliquer dessus.
3. Hameçonnage
Les attaques d'ingénierie sociale sont le plus souvent menées par le biais d'e-mails et sont appelées hameçonnage. Les attaques de phishing font des ravages à l'échelle mondiale depuis presque aussi longtemps que le courrier électronique lui-même existe. Depuis 2020, en raison d'un pic dans les communications par courrier électronique, le taux de phishing a également grimpé en flèche, escroquant les organisations, grandes et petites, et faisant les gros titres chaque jour.
Les attaques de phishing peuvent être classées en trois catégories : Spear phishing, whaling et CEO fraud, qui consistent à usurper l'identité d'employés spécifiques au sein d'une organisation, de décideurs de l'entreprise et du CEO, respectivement.
4. Les escroqueries à la romance
Le Federal Bureau of Investigation (FBI) définit les arnaques à la romance sur Internet comme "des escroqueries qui se produisent lorsqu'un criminel adopte une fausse identité en ligne pour gagner l'affection et la confiance d'une victime. L'escroc utilise ensuite l'illusion d'une relation romantique ou proche pour manipuler et/ou voler la victime."
Les escroqueries à la romance relèvent des types d'attaques d'ingénierie sociale, car les attaquants utilisent des tactiques de manipulation pour nouer une relation amoureuse étroite avec leurs victimes avant de passer à l'action, c'est-à-dire de les escroquer. En 2021, les arnaques à la romance ont pris la première place des cyberattaques les plus dommageables financièrement de l'année, suivies de près par les ransomwares.
5. Usurpation d'identité
L'usurpation de domaine est une forme très évoluée d'attaque par ingénierie sociale. Il s'agit d'un attaquant qui falsifie le domaine d'une entreprise légitime pour envoyer des courriels à des clients au nom de l'organisation expéditrice. L'attaquant manipule les victimes en leur faisant croire que ledit courriel provient d'une source authentique, c'est-à-dire d'une entreprise dont elles font confiance aux services.
Les attaques par usurpation d'identité sont difficiles à repérer car les courriels sont envoyés à partir du propre domaine de l'entreprise. Cependant, il existe des moyens de les résoudre. L'une des méthodes les plus utilisées et recommandées par les experts du secteur consiste à minimiser l'usurpation d'identité à l'aide d'un protocole DMARC .
6. Prétextage
Le prétextage peut être considéré comme le prédécesseur d'une attaque d'ingénierie sociale. Il s'agit du cas où un attaquant tisse une histoire hypothétique pour étayer sa demande d'informations sensibles sur l'entreprise. Dans la plupart des cas, le prétextage s'effectue par le biais d'appels téléphoniques, dans lesquels l'attaquant se fait passer pour un client ou un employé et demande des informations sensibles à l'entreprise.
Quelle est une méthode courante utilisée dans l'ingénierie sociale ?
La méthode la plus courante utilisée en ingénierie sociale est le phishing. Jetons un coup d'œil à quelques statistiques pour mieux comprendre comment le phishing est une menace mondiale croissante :
- Le rapport 2021 Cybersecurity Threat Trends de CISCO souligne que 90 % des violations de données sont dues à l'hameçonnage.
- Dans son rapport Cost of a Data Breach Report de 2021, IBM a attribué au phishing le titre de vecteur d'attaque le plus coûteux financièrement.
- Chaque année, le taux d'attaques par hameçonnage augmente de 400 %, comme l'indique le FBI.
Comment se protéger des attaques d'ingénierie sociale ?
Protocoles et outils que vous pouvez configurer :
- Déployez des protocoles d'authentification des e-mails au sein de votre organisation, tels que SPF, DKIM et DMARC. Commencez par créer un enregistrement DMARC gratuit dès aujourd'hui avec notre générateur d'enregistrements DMARC.
- Appliquez votre politique DMARC à p=reject pour minimiser l'usurpation de domaine direct et les attaques de phishing par e-mail
- Assurez-vous que votre système informatique est protégé à l'aide d'un logiciel antivirus.
Les mesures personnelles que vous pouvez prendre :
- Sensibiliser votre organisation aux types courants d'attaques d'ingénierie sociale, aux vecteurs d'attaque et aux signes avant-coureurs.
- Renseignez-vous sur les vecteurs et les types d'attaque. Visitez notre base de connaissances, saisissez "phishing" dans la barre de recherche, appuyez sur la touche Entrée et commencez à apprendre dès aujourd'hui !
- Ne soumettez jamais d'informations confidentielles sur des sites web externes
- Activer les applications d'identification de l'appelant sur votre appareil mobile
- N'oubliez jamais que votre banque ne vous demandera jamais de communiquer vos informations de compte et votre mot de passe par courrier électronique, par SMS ou par téléphone.
- Vérifiez toujours l'adresse de départ et l'adresse de retour de vos courriels pour vous assurer qu'elles correspondent.
- Ne cliquez jamais sur des pièces jointes ou des liens suspects avant d'être sûr à 100% de l'authenticité de leur source.
- Réfléchissez à deux fois avant de faire confiance aux personnes avec lesquelles vous interagissez en ligne et que vous ne connaissez pas dans la vie réelle.
- Ne naviguez pas sur les sites Web qui ne sont pas sécurisés par une connexion HTTPS (par exemple, http://domain.com).
