Qu'est-ce que l'ingénierie sociale?

Découvrez des stratégies efficaces pour protéger vos informations personnelles et vous défendre contre l'ingénierie sociale, une tactique astucieuse utilisée par les cybercriminels pour manipuler les individus.

TÉLÉCHARGER UN ANTIVIRUS ET UN SCAN VIRUS GRATUITS

Quelles sont les attaques d'ingénierie sociale?

Les attaques d'ingénierie sociale en informatique sont des méthodes sophistiquées utilisées par les cybercriminels pour manipuler les individus et compromettre leur sécurité. Ces attaques conduisent souvent les victimes à envoyer de l'argent sans le savoir, à divulguer des informations personnelles ou organisationnelles sensibles, ou à enfreindre les protocoles de sécurité.

L'efficacité de l'ingénierie sociale réside dans sa capacité à exploiter les émotions humaines telles que la peur, la curiosité ou l'empathie, poussant les individus à agir impulsivement, souvent contre leur meilleur jugement. En comprenant et en jouant sur ces déclencheurs émotionnels, les attaquants persuadent les victimes de prendre des décisions qui peuvent sembler irrationnelles a posteriori, comme télécharger des logiciels nuisibles, visiter des sites dangereux, ou partager des données confidentielles.

Comment fonctionne l'ingénierie sociale?

L'ingénierie sociale implique des tactiques psychologiques pour manipuler les gens afin de révéler des informations sensibles, essentielles pour l'accès aux systèmes ou le vol d'identité. Elle exploite les erreurs humaines, souvent par la tromperie ou l'usurpation, menant à des violations de sécurité et à des compromissions de données, sans recourir à des méthodes de piratage techniques.

Les assauts d'ingénierie sociale sont généralement des processus en plusieurs étapes. Initialement, l'attaquant recherche la cible pour collecter suffisamment d'informations et de détails de fond essentiels, identifiant les vulnérabilités et les mesures de sécurité faibles cruciales pour le succès de l'attaque. Ensuite, l'attaquant utilise des tactiques comme la prétension ou l'usurpation de figures d'autorité pour gagner la confiance de la victime. Cette manipulation est destinée à susciter des actions compromettant la sécurité, comme divulguer des informations confidentielles ou fournir l'accès à des systèmes vitaux.

Les attaques d'ingénierie sociale manipulent la psychologie humaine pour contourner les mesures de sécurité techniques. Elles choisissent soigneusement leur victime désignée en fonction de divers facteurs. Les tactiques clés incluent:

  1. Usurpation d'identité: Les attaquants se font souvent passer pour des entités réputées—grandes marques, agences gouvernementales, ou figures d'autorité—pour gagner la confiance. Par exemple, ils peuvent créer des sites Web frauduleux imitant les grandes marques pour tromper les utilisateurs et les amener à révéler des informations sensibles.
  2. Exploitation des émotions: Ces attaques tirent souvent parti des émotions comme la peur, l'urgence ou la cupidité. Les escrocs peuvent envoyer des messages alarmants sur un compte bancaire compromis ou attirer les victimes avec des promesses frauduleuses de gain financier, comme le célèbre message électronique du « Prince nigérian ».
  3. Exploiter la bienveillance ou la curiosité: Les ingénieurs sociaux exploitent aussi l'inclination naturelle d'une personne à aider ou sa curiosité. Ils peuvent envoyer des e-mails semblant provenir d'amis ou de réseaux sociaux, demandant des informations de contact, de l'aide ou incitant les utilisateurs à cliquer sur un lien malveillant sous le couvert d'une histoire intrigante ou d'une ressource utile.

Comprendre ces tactiques est crucial pour reconnaître et contrecarrer les attaques d'ingénierie sociale. Elles s'appuient sur la nature humaine plutôt que sur des failles technologiques, rendant la conscience et la vigilance des défenses clés contre ces menaces.

Comment se protéger contre les attaques d'ingénierie sociale

Les attaques d'ingénierie sociale peuvent prendre de nombreuses formes, des courriels de phishing à la manipulation via des appels téléphoniques ou des messages texte. Comme elles ciblent principalement les vulnérabilités humaines plutôt que les failles technologiques, s'en défendre nécessite une combinaison de sensibilisation, de vigilance et de mesures de protection technologiques.

Les étapes suivantes offrent une approche globale pour renforcer votre défense contre ces attaques de plus en plus fréquentes et sophistiquées:

  1. Utiliser l'authentification à facteurs multiples: Mettre en place une authentification à deux facteurs ou multi-facteurs est essentiel. Cela ajoute une couche de sécurité supplémentaire, garantissant que même si des identifiants de connexion sont compromis, l'accès non autorisé est toujours empêché.
  2. Formation en sensibilisation à la sécurité : Une formation régulière pour tous les employés est essentielle pour reconnaître et réagir aux attaques d'ingénierie sociale. Celle-ci doit inclure l'identification des activités suspectes et l'importance de ne pas partager des informations sensibles.
  3. Installez un bon programme de cybersécurité : Utilisez un logiciel de cybersécurité complet, tel que Malwarebytes, qui peut reconnaître et neutraliser les menaces, y compris les sites web malveillants, la publicité nuisible, les logiciels malveillants, les virus et les ransomwares.
  4. Mettre en œuvre des politiques de contrôle d'accès et des technologies de cybersécurité: Appliquer des politiques strictes de contrôle d'accès, y compris l'authentification adaptative et une approche de sécurité zéro confiance. Utiliser des technologies telles que les filtres anti-spam, les passerelles sécurisées pour courriels, les pare-feu, les logiciels antivirus, et tenir les systèmes à jour avec les derniers correctifs.
  5. Activer les filtres anti-spam: Activez les filtres anti-spam pour bloquer les courriels de phishing et autres formes de spam. Bien que certains courriels légitimes puissent être filtrés, vous pouvez atténuer cela en les marquant comme « pas du spam » et en ajoutant les expéditeurs légitimes à votre liste de contacts.
  6. Apprenez à repérer les courriels de phishing: Éduquez-vous et les autres à identifier les tentatives de phishing. Recherchez des indices comme des adresses d'expéditeur incohérentes, des salutations génériques, des URL inhabituelles, une mauvaise grammaire, et des offres qui semblent trop belles pour être vraies.
  7. Désactiver les macros dans les documents: Désactivez les macros dans votre logiciel. Soyez prudent avec les pièces jointes des courriels qui vous incitent à activer les macros, surtout provenant de sources inconnues. En cas de doute, vérifiez la légitimité de la pièce jointe avec l'expéditeur.
  8. Ne pas répondre aux escroqueries suspectées: Évitez de répondre aux escroqueries potentielles, que ce soit par courriel, SMS, ou appels téléphoniques. Répondre confirme aux escrocs que vos coordonnées sont valides, encourageant plus de tentatives. Transférez les textos suspects au 7726 (SPAM) pour aider votre opérateur à filtrer le spam.

En mettant en œuvre ces stratégies, vous pouvez créer un système de défense robuste contre les attaques d'ingénierie sociale, protégeant à la fois vos données personnelles et les informations sensibles de votre organisation. Souvenez-vous, rester informé et prudent constitue votre première ligne de défense dans le paysage toujours en évolution des menaces de la cybersécurité.

Types d'attaques d'ingénierie sociale

Les attaques d'ingénierie sociale se produisent principalement par différents [types de phishing]( https://www.malwarebytes.com/phishing). Ces attaques exploitent la psychologie humaine et la confiance plutôt que de s'appuyer sur des méthodes de piratage techniques. L'efficacité et la prévalence du phishing en font une préoccupation cruciale pour les individus et les organisations. Voici une explication plus détaillée de chaque type :

  1. Phishing par courriel: Les attaquants se font passer pour des entités légitimes par courriel, trompant les destinataires pour qu'ils divulguent des données personnelles ou des identifiants. Ces courriels contiennent souvent des liens vers des sites trompeurs ou des pièces jointes malveillantes.
  2. Phishing massif: Cette méthode implique l'envoi du même courriel de phishing à des millions de personnes. Les courriels semblent provenir d'organisations reconnues et demandent souvent des informations personnelles sous de faux prétextes.
  3. Spear Phishing: Une forme de phishing plus ciblée, où les attaquants personnalisent leurs messages pour des individus spécifiques en utilisant des informations provenant des réseaux sociaux ou professionnels.
  4. Whale Phishing: Une tactique de spear phishing de haut niveau ciblant les cadres supérieurs ou les individus de haut profil. Ces attaques sont hautement personnalisées et impliquent souvent des tromperies complexes.
  5. Phishing vocal (Vishing): Cette technique utilise des appels téléphoniques pour tromper les individus et les inciter à divulguer des informations sensibles. Les attaquants peuvent se faire passer pour des organisations légitimes ou des figures d'autorité.
  6. SMS Phishing (Smishing) : Une variante du phishing effectuée par SMS. Ces messages incitent les destinataires à cliquer sur des liens malveillants ou à divulguer des informations sensibles.
  7. Phishing via moteur de recherche: Dans cette approche, les attaquants créent de faux sites Web qui apparaissent en haut des résultats des moteurs de recherche. Lorsque les utilisateurs visitent ces sites, ils risquent de se faire voler des informations.
  8. Phishing sur les réseaux sociaux: Cette forme exploite les plateformes de médias sociaux, où les attaquants créent de faux comptes de service client pour interagir avec les victimes, les menant souvent à des sites de phishing.

Après le phishing, les autres méthodes d'ingénierie sociale sont:

  1. Appâtage: Tente les victimes avec une fausse promesse de biens ou de services pour voler des informations ou installer des malwares.
  2. Portillon/Piggybacking: Implique un accès non autorisé à des zones restreintes en suivant physiquement une personne autorisée ou en exploitant numériquement la session active de quelqu'un d'autre.
  3. Prétextage: Les attaquants fabriquent des scénarios pour extraire des informations sensibles ou obtenir un accès, souvent en se faisant passer pour quelqu'un en position d'autorité ou ayant besoin de vérifier une identité.
  4. Tactique du Quid Pro Quo: Offre un service ou un avantage en échange d'informations sensibles, exploitant le désir de la victime pour une bonne affaire ou une récompense.
  5. Scareware: Utilise des tactiques de peur pour inciter les victimes à installer des malwares ou à révéler des informations confidentielles.
  6. Attaque du point d'eau: Cible des groupes spécifiques en infectant les sites Web qu'ils visitent souvent, menant au vol de données ou à l'installation de malwares.
  7. Attaques de chevaux de Troie: Malwares déguisés en logiciels légitimes, souvent diffusés par des pièces jointes dans des courriels provenant de sources apparemment fiables.
  8. Arnaques de support technique: Trompent les victimes en leur faisant croire que leur appareil est compromis et leur font payer pour des « réparations » inutiles.
  9. Appels frauduleux: Implique l'utilisation d'appels téléphoniques (y compris des robocalls) pour escroquer les victimes, souvent en se faisant passer pour des organisations légitimes ou des autorités.

Comprendre ces méthodes de phishing et autres tactiques d'ingénierie sociale est crucial pour se protéger contre ces menaces courantes et en constante évolution.

Exemples d'attaques d'ingénierie sociale

Voici quelques exemples réels d'ingénierie sociale que nous avons signalés sur Malwarebytes Labs. Dans chaque cas, les escrocs d'ingénierie sociale cherchent la bonne cible et le bon déclencheur émotionnel. Parfois, la combinaison de la cible et du déclencheur peut être hyper-spécifique (comme avec une attaque de spear phishing). D'autres fois, les escrocs peuvent viser un groupe beaucoup plus large.

L'escroquerie à la sextorsion: Dans ce premier exemple, les escrocs jettent un large filet. La cible? Toute personne regardant du porno. La victime est notifiée par courriel que sa caméra web a soi-disant été piratée et utilisée pour enregistrer son visionnage de vidéos pour adultes. L'escroc prétend également avoir piraté le compte de messagerie du destinataire, en utilisant un ancien mot de passe comme preuve. Si la victime ne paie pas en Bitcoins, l'escroc menace de diffuser la vidéo à tous les contacts de la victime. En général, l'escroc ne dispose pas de vidéo de vous et votre ancien mot de passe provient d'une violation de données précédemment divulguée.

L'arnaque aux grands-parents: Cette escroquerie circule depuis des années et cible quiconque ayant une famille vivante, généralement les personnes âgées. Les parents ou grands-parents reçoivent un appel ou un SMS de l'escroc, se faisant passer pour un avocat ou un agent de la loi. L'escroc prétend qu'un parent de la victime a été arrêté ou blessé et a besoin d'argent pour couvrir la caution, les frais juridiques ou les frais d'hôpital. Dans le cas de la version du SMS, simplement répondre coûte à la victime de l'argent.

L'arnaque au numéro de sécurité sociale : Dans cette escroquerie, les choses commencent à se resserrer car elle ne concerne que les citoyens américains. La victime reçoit un appel vocal préenregistré censé provenir de l'administration de la sécurité sociale. Le message affirme que le numéro de sécurité sociale de la victime a été "suspendu" pour "traces suspectes d'informations". Peu importe le fait que votre numéro de sécurité sociale ne peut pas être suspendu, si la victime tombe dans le piège et rappelle, il lui sera demandé de payer une amende pour tout arranger.

L'arnaque John Wick 3: Voici un bon exemple de spear phishing. Dans ce cas, les escrocs visent une cible très spécifique : un fan de John Wick qui aime les bandes dessinées, mais préfère les lire sur Amazon Kindle. En cherchant des bandes dessinées John Wick, la cible se voit offrir un téléchargement gratuit du troisième film John Wick—au moment de l'arnaque, le film n'était pas encore sorti en salles. Suivre le lien inséré dans la description du film entraîne la victime dans un labyrinthe de sites illégaux de streaming de films piratés.

Arnaques liées au coronavirus: Les escrocs ont pris note du manque d'informations sur le virus, surtout dans les premiers jours et mois de l'épidémie. Alors que les responsables de la santé peinaient à comprendre le virus et comment il se propageait d'une personne à l'autre, les escrocs ont comblé les vides avec de faux sites Web et des courriels de spam.

Nous avons signalé des emails spam se faisant passer pour des informations virales de l'Organisation mondiale de la santé. Les emails contenaient en fait des pièces jointes remplies de logiciels malveillants. Dans un autre exemple, Labs a signalé un site de suivi COVID-19 affichant en temps réel les infections à travers le monde. En arrière-plan, ce site chargeait un cheval de Troie voleur d'informations sur les ordinateurs des victimes.

Qu'est-ce que le phishing ?

Qu'est-ce que le spear phishing ?

Qu'est-ce qu'une attaque de vishing?

Qu'est-ce que l'arnaque au catfishing ?

Qu'est-ce que le vol d'identité?

FAQ

Quelle est la différence entre l'ingénierie sociale et l'ingénierie sociale inversée ?

Dans l'ingénierie sociale, les attaquants approchent les cibles pour les manipuler et les amener à partager des informations. Dans le cas de l'ingénierie sociale inversée, les victimes entrent à leur insu en contact avec des attaquants trompeurs.