Le "pretexting" est une technique d'ingénierie sociale utilisée en cybersécurité pour inciter des personnes à divulguer des informations sensibles ou à effectuer des actions qu'elles ne feraient pas normalement. L'attaquant crée généralement un faux prétexte, ou une histoire fabriquée, afin de gagner la confiance de la victime et de la convaincre d'effectuer l'action souhaitée.
Les attaques par prétextage peuvent prendre de nombreuses formes, comme se faire passer pour une autorité de confiance (comme un représentant de banque), un agent d'assistance technique ou un vendeur ayant besoin d'informations sensibles pour exécuter une commande. L'attaquant peut utiliser diverses tactiques pour persuader la victime, par exemple en feignant l'urgence, en créant un sentiment d'importance ou en se faisant passer pour une personne que la victime connaît ou en qui elle a confiance.
Une fois la victime convaincue, elle peut divulguer des informations sensibles, telles que des mots de passe ou des numéros de compte, ou effectuer des actions telles que le téléchargement et l'installation d'un logiciel malveillant sur son ordinateur, l'ouverture d'une pièce jointe d'un courriel malveillant ou la visite d'un site Web de phishing.
Plus de 71 millions de personnes sont victimes de la cybercriminalité chaque année.~Comparitech.
Les attaques par prétexte peuvent être difficiles à détecter car elles exploitent souvent les vulnérabilités humaines, telles que la confiance et les normes sociales, plutôt que les vulnérabilités techniques des logiciels ou du matériel. Il est donc important que les personnes et les organisations soient vigilantes et prudentes lorsqu'elles partagent des informations sensibles ou effectuent des actions en réponse à des demandes inattendues ou à des circonstances inhabituelles.
Prétextage dans le domaine de la cybersécurité -Définitions et vue d'ensemble
La fraude par prétexte est un type de fraude qui consiste à utiliser des prétextes pour avoir accès aux informations personnelles d'une autre personne. Le faux-semblant peut également être appelé usurpation d'identité, vol d'identité ou fraude d'identité.
Les attaquants vont utiliser le prétexte, l'ingénierie socialepour obtenir ce qu'ils veulent de vous en vous convainquant qu'ils ont une raison légitime de les croire.
Les criminels qui se livrent au "pretexting" combinent parfois diverses formes d'ingénierie sociale, telles que l'usurpation d'identité ou le phishing, avec leur tactique caractéristique, un prétexte ou une histoire inventée à l'apparence plausible.
Le "pretexting" est une tactique utilisée par les attaquants pour obtenir l'accès à des informations sensibles ou vous amener à leur donner de l'argent. Toute communication électronique ou verbale, y compris, mais sans s'y limiter, les messages texte, les courriels, les appels téléphoniques et les réunions en personne, peut servir de prétexte.
L'attaquant doit élaborer une histoire convaincante qui vous fait croire que le message provient d'une personne de confiance.
Techniques d'attaque par prétextage
Les pirates informatiques utilisent couramment le prétexte pour tenter de vous soutirer des informations financières ou personnelles. Ils utilisent les astuces suivantes :
Attaques de phishing
Le phishing est une méthode de fraude qui utilise le courrier électronique pour inciter les victimes à révéler des informations personnelles, telles que des mots de passe et des données de carte de crédit. Les courriels sont conçus pour ressembler à une entreprise légitime, telle qu'une banque ou une boutique en ligne, qui les a envoyés. L'objectif est d'inciter la victime à cliquer sur les liens contenus dans l'e-mail, qui l'amènent ensuite sur un faux site web mis en place par l'escroc.
Lire la suite Phishing vs Spam
Tailgating
Tailgating Il s'agit d'une attaque d'ingénierie sociale au cours de laquelle l'attaquant utilise les informations d'identification d'une autre personne pour obtenir un accès non autorisé à un bâtiment ou à une installation. Pour ce faire, l'attaquant suit de près une personne disposant d'un accès légitime, puis utilise le badge d'identification de cette personne pour entrer par la même porte.
Piggybacking
Le ferroutage Il s'agit d'une attaque par ingénierie sociale au cours de laquelle une personne non autorisée accède à une installation sécurisée en montant sur une autre personne (ou un véhicule) autorisée. Le ferroutage peut être effectué avec ou sans le consentement de la personne concernée. Par exemple, un attaquant peut monter sur la voiture d'une autre personne et entrer dans une installation sécurisée comme s'il y était autorisé.
Scareware
Un scareware est un logiciel malveillant (malware) qui affiche de faux messages et avertissements pour convaincre les utilisateurs que leur ordinateur a été infecté par un virus ou un spyware. Ces messages obligent souvent les utilisateurs à acheter un logiciel antivirus ou à payer des services d'assistance avant de pouvoir accéder à nouveau à leur système.
Usurpation d'identité
L'usurpation d'identité consiste à se faire passer pour quelqu'un d'autre afin d'accéder à des informations confidentielles ou de gagner la confiance d'autrui. Les usurpateurs d'identité peuvent utiliser des tactiques d'ingénierie sociale telles que la création de faux profils sur des sites de médias sociaux ou l'usurpation d'e-mails pour accéder à des informations sensibles.
Appât
Cette technique consiste à utiliser des informations sur des personnes ou des organisations pour obtenir d'elles des données sensibles par courrier électronique ou par téléphone ; par exemple, se faire passer pour un cadre de l'entreprise et demander des informations personnelles à des employés qui pensent aider leur patron pour quelque chose d'important, sans se rendre compte qu'ils exposent leurs données.
Vishing et Smishing
Le vishing (hameçonnage vocal) et le smishing (hameçonnage par SMS) sont d'autres formes de faux-semblants qui consistent à passer des appels téléphoniques ou à envoyer des messages textuels à la cible. L'hameçonnage utilise la technologie des protocoles de voix sur Internet (VOIP ) pour faire croire que l'appelant provient d'une entreprise légitime alors qu'il se trouve ailleurs dans le monde.
Dans le cas du smishing, le contenu textuel est diffusé par le biais de messages courts (SMS) envoyés aux téléphones portables. Ces messages contiennent souvent des liens vers des sites web malveillants ou des pièces jointes qui peuvent être utilisées pour installer des logiciels malveillants sur les ordinateurs des victimes.
Lire aussi : Types d'ingénierie sociale
Protégez votre organisation contre une attaque par prétextage
Si vous pensez que votre organisation a été la cible d'une attaque par prétexte, voici quelques mesures que vous pouvez prendre pour vous protéger :
Utiliser DMARC
Le pretexting implique souvent une usurpation d'identité. Il est donc essentiel d'envoyer un faux courrier électronique qui semble légitime. L'usurpation d'identité est donc un outil essentiel pour communiquer par courrier électronique. La méthode de défense la plus répandue contre l'usurpation d'adresse électronique est l'authentification, le signalement et la conformité des messages basés sur le domaine, l'authentification, le signalement et la conformité des messages basés sur le domaine (DMARC), est limitée car elle nécessite une maintenance constante et complexe.
En outre, DMARC empêche l'usurpation de domaine précis, mais pas l'usurpation de nom ou l'usurpation de domaines cousins, qui sont beaucoup plus courantes dans les attaques de spear-phishing. Étant donné que DMARC fonctionne si bien, les attaquants ont commencé à utiliser des méthodes plus avancées.
S'informer
Étant donné que de nombreuses personnes doivent comprendre comment fonctionne le prétraitement, il se peut qu'elles ne réalisent que leur organisation a été ciblée qu'une fois qu'il est trop tard. Informez-vous, ainsi que vos employés, afin qu'ils sachent à quoi ressemble le faux-semblant et comment réagir s'ils en soupçonnent l'existence.
Toujours voir l'identification
Lorsque quelqu'un vient dans votre bureau pour demander des informations sur un employé, demandez toujours à voir une pièce d'identité avant de fournir toute information. Demandez à une autre personne de vérifier l'identité de la personne qui demande les informations.
Examinez attentivement le prétexte
Avant de donner suite à une demande ou à une instruction, demandez-vous si elle a un sens. Par exemple, si quelqu'un vous demande d'envoyer des données sensibles par courrier électronique ou par SMS, méfiez-vous - il pourrait s'agir d'un stratagème destiné à voler vos informations. Ne croyez pas automatiquement que ce que l'on vous demande de faire est légitime ou sûr simplement parce que cela ressemble à ce que votre patron ferait. Vérifiez plutôt directement auprès de lui avant d'accomplir toute tâche impliquant des données sensibles ou de l'argent.
Surveillez l'environnement pour détecter toute activité malveillante
Utilisez un logiciel de sécurité qui surveille toute l'activité sur votre réseau et vous alerte en cas d'activité suspecte. Surveillez l'activité en temps réel afin d'avoir le temps de réagir si une attaque se déclenche.
Le mot de la fin
Le prétexte est une excellente stratégie à avoir dans sa manche en cas de besoin, mais il peut aussi se retourner contre vous si vous ne faites pas attention. Assurez-vous simplement que vous avez l'intention d'aller jusqu'au bout de ce que vous entreprenez et que vous accordez aux autres le bénéfice du doute jusqu'à ce qu'ils prouvent le contraire.
