Qu'est-ce que l'ingénierie sociale ?

Apprenez des stratégies efficaces pour protéger vos informations personnelles et vous défendre contre l'ingénierie sociale, une tactique astucieuse utilisée par les cybercriminels pour manipuler les individus.

TÉLÉCHARGER UN ANTIVIRUS GRATUIT ET UNE ANALYSE ANTIVIRUS

Qu'est-ce qu'une attaque par ingénierie sociale ?

Les attaques d'ingénierie sociale en informatique sont des méthodes sophistiquées utilisées par les cybercriminels pour manipuler les individus et les amener à compromettre leur propre sécurité. Ces attaques conduisent souvent les victimes à envoyer de l'argent à leur insu, à divulguer des informations personnelles ou organisationnelles sensibles ou à enfreindre des protocoles de sécurité.

L'efficacité de l'ingénierie sociale réside dans sa capacité à exploiter les émotions humaines telles que la peur, la curiosité ou l'empathie, amenant les individus à agir de manière impulsive contre leur gré. En comprenant et en jouant sur ces déclencheurs émotionnels, les attaquants persuadent les victimes de prendre des décisions qui peuvent sembler irrationnelles a posteriori, telles que le téléchargement de logiciels nuisibles, la visite de sites web dangereux ou le partage de données confidentielles.

Comment fonctionne l'ingénierie sociale ?

L'ingénierie sociale fait appel à des tactiques psychologiques pour manipuler les gens afin qu'ils révèlent des informations sensibles, cruciales pour l'accès aux systèmes ou l'usurpation d'identité. Elle exploite l'erreur humaine, souvent par la tromperie ou l'usurpation d'identité, ce qui conduit à des failles de sécurité et à la compromission de données, sans s'appuyer sur des méthodes de piratage technique.

Les attaques par ingénierie sociale se déroulent généralement en plusieurs étapes. Dans un premier temps, l'attaquant effectue des recherches sur la cible afin de recueillir suffisamment d'informations et de renseignements généraux essentiels, et d'identifier les vulnérabilités et les faiblesses des mesures de sécurité qui sont cruciales pour la réussite de l'attaque. Ensuite, il emploie des tactiques telles que l'usurpation d'identité ou l'usurpation de l'identité d'une figure d'autorité pour gagner la confiance de la victime. Cette manipulation est conçue pour susciter des actions qui compromettent la sécurité, comme la divulgation d'informations confidentielles ou l'accès à des systèmes vitaux.

Les attaques par ingénierie sociale manipulent la psychologie humaine pour contourner les mesures de sécurité techniques. Elles sélectionnent soigneusement la victime visée en fonction de divers facteurs. Les principales tactiques sont les suivantes :

  1. L'usurpation d'identité: Les attaquants se font souvent passer pour des entités réputées - grandes marques, agences gouvernementales ou figures d'autorité - afin de gagner la confiance. Par exemple, ils peuvent créer des sites web frauduleux à l'image de grandes marques pour tromper les utilisateurs et les amener à révéler des informations sensibles.
  2. Exploitation des émotions: Ces attaques exploitent généralement des émotions telles que la peur, l'urgence ou la cupidité. Les escrocs peuvent envoyer des messages alarmants à propos d'un compte bancaire compromis ou attirer les victimes avec des promesses frauduleuses de gains financiers, comme dans le cas de la célèbre escroquerie par courrier électronique du "prince nigérian".
  3. Exploiter la bonne volonté ou la curiosité: Les ingénieurs sociaux exploitent également l'inclination naturelle d'une personne à aider ou sa curiosité. Ils peuvent envoyer des courriels semblant provenir d'amis ou de réseaux sociaux, demandant des informations de contact, de l'aide ou incitant les utilisateurs à cliquer sur un lien malveillant sous le couvert d'une histoire intrigante ou d'une ressource utile.

Il est essentiel de comprendre ces tactiques pour reconnaître et déjouer les attaques d'ingénierie sociale. Elles s'appuient sur la nature humaine plutôt que sur des failles technologiques, ce qui fait de la sensibilisation et de la vigilance des moyens de défense essentiels contre ces menaces.

Comment se protéger contre les attaques d'ingénierie sociale

Les attaques d'ingénierie sociale peuvent prendre de nombreuses formes, depuis les courriels d'hameçonnage jusqu'à la manipulation par le biais d'appels téléphoniques ou de messages textuels. Parce qu'elles ciblent principalement les vulnérabilités humaines plutôt que les failles technologiques, la défense contre ces attaques nécessite une combinaison de sensibilisation, de vigilance et de protections technologiques.

Les étapes suivantes proposent une approche globale pour améliorer votre défense contre ces attaques de plus en plus courantes et sophistiquées :

  1. Utiliser l'authentification multifactorielle: La mise en œuvre d'une authentification à deux ou plusieurs facteurs est cruciale. Elle ajoute une couche supplémentaire de sécurité, garantissant que même si les identifiants de connexion sont compromis, l'accès non autorisé est toujours empêché.
  2. Security Formation de sensibilisation: Une formation régulière de tous les employés est essentielle pour reconnaître les attaques d'ingénierie sociale et y répondre. Cette formation doit porter sur l'identification des activités suspectes et sur l'importance de ne pas partager des informations sensibles.
  3. Installez un programme de cybersécurité solide: Utilisez un logiciel de cybersécurité complet, tel que Malwarebytes, qui peut reconnaître et neutraliser les menaces, y compris les sites Web malveillants, la publicité malveillante, les malwares, les virus et les ransomwares.
  4. Mettre en œuvre des politiques de contrôle d'accès et des technologies de cybersécurité: Appliquer des politiques strictes de contrôle d'accès, y compris l'authentification adaptative et une approche de sécurité zéro confiance. Utilisez des technologies telles que les filtres anti-spam, les passerelles de messagerie sécurisées, les pare-feu et les logiciels antivirus, et veillez à ce que les systèmes soient mis à jour avec les derniers correctifs.
  5. Activer les filtres anti-spam: Activez les filtres anti-spam pour bloquer les courriels d'hameçonnage et autres formes de spam. Bien que certains courriels légitimes puissent être filtrés, vous pouvez atténuer ce problème en les marquant comme "non spam" et en ajoutant les expéditeurs légitimes à votre liste de contacts.
  6. Apprenez à repérer les courriels d'hameçonnage: Apprenez à identifier les tentatives d'hameçonnage. Soyez attentifs aux signaux d'alerte tels que les adresses d'expéditeur non concordantes, les salutations génériques, les URL inhabituelles, les fautes de grammaire et les offres qui semblent trop belles pour être vraies.
  7. Désactiver les macros dans les documents: Désactivez les macros dans votre logiciel. Soyez prudent avec les pièces jointes aux courriels qui vous invitent à activer les macros, en particulier celles qui proviennent de sources inconnues. En cas de doute, vérifiez la légitimité de la pièce jointe auprès de l'expéditeur.
  8. Ne répondez pas aux escroqueries présumées: Évitez de répondre à des escroqueries potentielles, que ce soit par courriel, par SMS ou par téléphone. En répondant, vous confirmez aux escrocs que vos coordonnées sont valables, ce qui les incite à multiplier les tentatives. Transférez les textes suspects au 7726 (SPAM) pour aider votre opérateur à filtrer les spams.

En mettant en œuvre ces stratégies, vous pouvez créer un système de défense solide contre les attaques d'ingénierie sociale, en protégeant à la fois vos données personnelles et les informations sensibles de votre organisation. N'oubliez pas que rester informé et prudent est votre première ligne de défense dans le paysage en constante évolution des menaces de cybersécurité.

Types d'attaques d'ingénierie sociale

Les attaques d'ingénierie sociale se produisent principalement par le biais de diverses [formes d'hameçonnage] ( https://www.malwarebytes.com/phishing). Ces attaques exploitent la psychologie humaine et la confiance, plutôt que de s'appuyer sur des méthodes de piratage technique. L'efficacité et la prévalence de l'hameçonnage en font une préoccupation majeure pour les individus et les organisations. Voici une description plus détaillée de chaque type :

  1. Hameçonnage par courriel: les attaquants se font passer pour des entités légitimes par le biais de courriels, incitant les destinataires à révéler des données personnelles ou des informations d'identification. Ces courriels contiennent souvent des liens vers des sites web trompeurs ou des pièces jointes malveillantes.
  2. L'hameçonnage en masse: cette méthode consiste à envoyer le même courriel d'hameçonnage à des millions de personnes. Les courriels semblent provenir d'organisations reconnaissables et demandent souvent des informations personnelles sous de faux prétextes.
  3. Spear Phishing: Une forme plus ciblée de phishing, où les attaquants personnalisent leurs messages pour des individus spécifiques en utilisant des informations provenant des médias sociaux ou des réseaux professionnels.
  4. L'hameçonnage des baleines: Tactique de spear phishing de haut niveau visant des cadres supérieurs ou des personnes très en vue. Ces attaques sont hautement personnalisées et impliquent souvent une tromperie complexe.
  5. L'hameçonnage vocal (Vishing) : Cette technique utilise les appels téléphoniques pour tromper les individus et les amener à divulguer des informations sensibles. Les attaquants peuvent se faire passer pour des organisations légitimes ou des figures d'autorité.
  6. Hameçonnage par SMS (Smishing) : Variante de l'hameçonnage réalisée par le biais de messages textuels. Ces messages incitent les destinataires à cliquer sur des liens malveillants ou à divulguer des informations sensibles.
  7. L'hameçonnage par moteur de recherche: dans cette approche, les attaquants créent de faux sites web qui apparaissent en bonne place dans les résultats des moteurs de recherche. Lorsque les utilisateurs visitent ces sites, ils risquent de se faire voler des informations.
  8. Phishing Angler: cette forme de phishing exploite les plateformes de médias sociaux, où les attaquants créent de faux comptes de service client pour interagir avec les victimes, les conduisant souvent vers des sites de phishing.

Après l'hameçonnage, les autres méthodes d'ingénierie sociale sont les suivantes :

  1. Appât: Tenter les victimes avec une fausse promesse de biens ou de services pour voler des informations ou installer des malwares.
  2. Tailgating/Piggybacking: Il s'agit d'un accès non autorisé à des zones restreintes en suivant physiquement une personne autorisée ou en exploitant numériquement la session active de quelqu'un d'autre.
  3. Prétextat: Les attaquants inventent des scénarios pour extraire des informations sensibles ou obtenir un accès, souvent en se faisant passer pour une personne ayant autorité ou devant vérifier son identité.
  4. Quid Pro Quo: Offre un service ou un avantage en échange d'informations sensibles, exploitant le désir de la victime pour une bonne affaire ou une récompense.
  5. Scareware: Il utilise des tactiques de peur pour manipuler les victimes afin qu'elles installent des malwares ou révèlent des informations confidentielles.
  6. Attaque de type "Watering Hole" (trou d'eau) : Elle cible des groupes spécifiques en infectant des sites web qu'ils visitent fréquemment, ce qui entraîne le vol de données ou l'installation de malwares.
  7. Attaques parchevaux de Troie: Logiciels malveillants déguisés en logiciels légitimes, souvent diffusés par le biais de pièces jointes à des courriels provenant de sources apparemment dignes de confiance.
  8. Escroqueries à l'assistance technique: Tromper les victimes en leur faisant croire que leur appareil est compromis et leur demander de l'argent pour des "réparations" inutiles.
  9. Appels frauduleux: Il s'agit d'utiliser des appels téléphoniques (y compris des robocalls) pour escroquer les victimes, souvent en se faisant passer pour des organisations ou des autorités légitimes.

Il est essentiel de comprendre ces méthodes d'hameçonnage et autres tactiques d'ingénierie sociale pour se prémunir contre ces menaces répandues et en constante évolution.

Exemples d'attaques d'ingénierie sociale

Voici quelques exemples concrets d'ingénierie sociale dont nous avons parlé sur Malwarebytes Labs . Dans chaque exemple, les escrocs de l'ingénierie sociale recherchent la bonne cible et le bon déclencheur émotionnel. Parfois, la combinaison de la cible et du déclencheur peut être très spécifique (comme dans le cas d'une attaque de spear phishing). Dans d'autres cas, les escrocs s'en prennent à un groupe beaucoup plus large.

L'escroquerie à la sextorsion : Dans ce premier exemple, les escrocs ratissent large. La cible ? Tous ceux qui regardent des films pornographiques. La victime est informée par courrier électronique que sa webcam a été piratée et utilisée pour l'enregistrer en train de regarder des vidéos pour adultes. L'escroc prétend également avoir piraté le compte de messagerie du destinataire, en utilisant un ancien mot de passe comme preuve. Si la victime ne paie pas en bitcoins, l'escroc menace de diffuser la vidéo à tous les contacts de la victime. En règle générale, l'escroc n'a pas de vidéo de vous et votre ancien mot de passe provient d'une violation de données déjà divulguée.

L'arnaque aux grands-parents : Cette escroquerie existe depuis des années et vise toute personne ayant une famille vivante, généralement les personnes âgées. Les parents ou les grands-parents reçoivent un appel ou un SMS de l'escroc, qui se fait passer pour un avocat ou un représentant des forces de l'ordre. L'escroc prétend que le parent de la victime a été arrêté ou blessé et qu'il a besoin d'argent pour payer la caution, les frais de justice ou les factures d'hôpital. Dans le cas de la version SMS de l'escroquerie, le simple fait de répondre finit par coûter de l'argent à la victime.

L'escroquerie du numéro social Security : Dans cette escroquerie, les choses commencent à se resserrer car elle ne s'applique qu'aux citoyens américains. La victime reçoit un appel téléphonique préenregistré qui prétend provenir de l'administration sociale Security . Le message affirme que le SSN de la victime a été "suspendu" en raison de "traces d'informations suspectes". Le message affirme que le SSN de la victime a été "suspendu" en raison de "pistes d'informations suspectes". Peu importe que votre SSN ne puisse pas être suspendu, si la victime tombe dans le panneau et rappelle, on lui demandera de payer une amende pour régulariser la situation.

L'arnaque John Wick 3 : Voici un bon exemple de spear phishing. Dans ce cas, les escrocs visent une cible très spécifique : un fan de John Wick qui aime les bandes dessinées, mais préfère les lire sur Amazon Kindle. Alors qu'elle recherche des bandes dessinées sur John Wick, la cible se voit proposer le téléchargement gratuit du troisième film de John Wick - à l'époque de l'escroquerie, le film n'était pas encore sorti au cinéma. En suivant le lien intégré dans la description du film, la victime s'enfonce dans un trou de lapin de sites illégaux de diffusion en continu de films piratés.

Escroqueries au coronavirus : Les escrocs ont pris note du manque d'informations sur le virus, en particulier dans les premiers jours et mois de l'épidémie. Alors que les autorités sanitaires s'efforçaient de comprendre le virus et la manière dont il se propageait d'une personne à l'autre, les escrocs ont comblé les lacunes en créant de faux sites web et en envoyant des courriers électroniques non sollicités.

Nous avons signalé des courriels de spam se faisant passer pour des informations sur les virus émanant de l'Organisation mondiale de la santé. Ces courriels contenaient en fait des pièces jointes remplies de malwares. Dans un autre exemple, Labs a fait état d'un site de suivi de COVID-19 qui affichait en temps réel les infections dans le monde entier. En coulisses, le site chargeait un cheval de Troie voleur d'informations sur les ordinateurs des victimes.

Qu'est-ce que le phishing ?

Qu'est-ce que le spear phishing?

Qu'est-ce qu'une attaque par vishing ?

Qu'est-ce que le catfishing ?

Qu'est-ce que l'usurpation d'identité ?

FAQs

Quelle est la différence entre l'ingénierie sociale et l'ingénierie sociale inversée ?

Dans l'ingénierie sociale, les attaquants approchent les cibles pour les manipuler et les amener à partager des informations. Dans le cas de l'ingénierie sociale inversée, les victimes entrent à leur insu en contact avec des attaquants trompeurs.