Qu'est-ce que l'ingénierie sociale?

Découvrez des stratégies efficaces pour protéger vos informations personnelles et vous défendre contre l'ingénierie sociale, une tactique astucieuse utilisée par les cybercriminels pour manipuler les individus.

TÉLÉCHARGER UN ANTIVIRUS ET UN SCAN VIRUS GRATUITS

Dans cet article :

  • Apprenez ce que sont les attaques par ingénierie sociale et comment les cybercriminels utilisent la manipulation psychologique pour contourner la sécurité et inciter les individus à révéler des informations sensibles.
  • Comprendre comment les attaquants exploitent les émotions humaines telles que la peur, la curiosité et l'urgence par le biais de tactiques telles que l'usurpation d'identité, le phishing et les scareware.
  • Découvrez des conseils pratiques pour vous protéger contre l'ingénierie sociale, notamment l'authentification multifactorielle, la formation à la sensibilisation à la sécurité et les filtres anti-spam.
  • Découvrez les types d'attaques d'ingénierie sociale les plus courants - du phishing à l'appât en passant par les escroqueries au support technique - et voyez des exemples concrets comme les courriels de sextorsion et la fraude COVID-19.

Quelles sont les attaques d'ingénierie sociale?

Les attaques d'ingénierie sociale en informatique sont des méthodes sophistiquées utilisées par les cybercriminels pour manipuler les individus et compromettre leur sécurité. Ces attaques conduisent souvent les victimes à envoyer de l'argent sans le savoir, à divulguer des informations personnelles ou organisationnelles sensibles, ou à enfreindre les protocoles de sécurité.

L'efficacité de l'ingénierie sociale réside dans sa capacité à exploiter les émotions humaines telles que la peur, la curiosité ou l'empathie, poussant les individus à agir impulsivement, souvent contre leur meilleur jugement. En comprenant et en jouant sur ces déclencheurs émotionnels, les attaquants persuadent les victimes de prendre des décisions qui peuvent sembler irrationnelles a posteriori, comme télécharger des logiciels nuisibles, visiter des sites dangereux, ou partager des données confidentielles.

Comment fonctionne l'ingénierie sociale?

L'ingénierie sociale fait appel à des tactiques psychologiques pour manipuler les gens afin qu'ils révèlent des informations sensibles, cruciales pour l'accès aux systèmes ou l'usurpation d'identité. Elle exploite l' erreur humaine, souvent par la tromperie ou l'usurpation d'identité, ce qui conduit à des failles de sécurité et à la compromission de données, sans s'appuyer sur des méthodes de piratage technique.

Les assauts d'ingénierie sociale sont généralement des processus en plusieurs étapes. Initialement, l'attaquant recherche la cible pour collecter suffisamment d'informations et de détails de fond essentiels, identifiant les vulnérabilités et les mesures de sécurité faibles cruciales pour le succès de l'attaque. Ensuite, l'attaquant utilise des tactiques comme la prétension ou l'usurpation de figures d'autorité pour gagner la confiance de la victime. Cette manipulation est destinée à susciter des actions compromettant la sécurité, comme divulguer des informations confidentielles ou fournir l'accès à des systèmes vitaux.

Les attaques d'ingénierie sociale manipulent la psychologie humaine pour contourner les mesures de sécurité techniques. Elles choisissent soigneusement leur victime désignée en fonction de divers facteurs. Les tactiques clés incluent:

  1. Usurpation d'identité: Les attaquants se font souvent passer pour des entités réputées—grandes marques, agences gouvernementales, ou figures d'autorité—pour gagner la confiance. Par exemple, ils peuvent créer des sites Web frauduleux imitant les grandes marques pour tromper les utilisateurs et les amener à révéler des informations sensibles.
  2. Exploitation des émotions: Ces attaques tirent souvent parti des émotions comme la peur, l'urgence ou la cupidité. Les escrocs peuvent envoyer des messages alarmants sur un compte bancaire compromis ou attirer les victimes avec des promesses frauduleuses de gain financier, comme le célèbre message électronique du « Prince nigérian ».
  3. Exploiter la bienveillance ou la curiosité: Les ingénieurs sociaux exploitent aussi l'inclination naturelle d'une personne à aider ou sa curiosité. Ils peuvent envoyer des e-mails semblant provenir d'amis ou de réseaux sociaux, demandant des informations de contact, de l'aide ou incitant les utilisateurs à cliquer sur un lien malveillant sous le couvert d'une histoire intrigante ou d'une ressource utile.

Comprendre ces tactiques est crucial pour reconnaître et contrecarrer les attaques d'ingénierie sociale. Elles s'appuient sur la nature humaine plutôt que sur des failles technologiques, rendant la conscience et la vigilance des défenses clés contre ces menaces.

Comment se protéger contre les attaques d'ingénierie sociale

Les attaques d'ingénierie sociale peuvent prendre de nombreuses formes, des courriels de phishing à la manipulation via des appels téléphoniques ou des messages texte. Comme elles ciblent principalement les vulnérabilités humaines plutôt que les failles technologiques, s'en défendre nécessite une combinaison de sensibilisation, de vigilance et de mesures de protection technologiques.

Les étapes suivantes offrent une approche globale pour renforcer votre défense contre ces attaques de plus en plus fréquentes et sophistiquées:

  1. Utiliser l'authentification à facteurs multiples: Mettre en place une authentification à deux facteurs ou multi-facteurs est essentiel. Cela ajoute une couche de sécurité supplémentaire, garantissant que même si des identifiants de connexion sont compromis, l'accès non autorisé est toujours empêché.
  2. Formation en sensibilisation à la sécurité : Une formation régulière pour tous les employés est essentielle pour reconnaître et réagir aux attaques d'ingénierie sociale. Celle-ci doit inclure l'identification des activités suspectes et l'importance de ne pas partager des informations sensibles.
  3. Installez un programme de cybersécurité solide: Utilisez un logiciel de cybersécurité complet, tel que Malwarebytes, qui peut reconnaître et neutraliser les menaces, y compris les sites web malveillants, la publicité malveillante, les logiciels malveillants, les virus et les ransomwares.
  4. Mettre en œuvre des politiques de contrôle d'accès et des technologies de cybersécurité: Appliquer des politiques strictes de contrôle d'accès, y compris l'authentification adaptative et une approche de sécurité zéro confiance. Utilisez des technologies telles que les filtres anti-spam, les passerelles de messagerie sécurisées, les pare-feu et les logiciels antivirus, et veillez à ce que les systèmes soient mis à jour avec les derniers correctifs.
  5. Activer les filtres anti-spam: Activez les filtres anti-spam pour bloquer les courriels de phishing et autres formes de spam. Bien que certains courriels légitimes puissent être filtrés, vous pouvez atténuer cela en les marquant comme « pas du spam » et en ajoutant les expéditeurs légitimes à votre liste de contacts.
  6. Apprenez à repérer les courriels de phishing: Éduquez-vous et les autres à identifier les tentatives de phishing. Recherchez des indices comme des adresses d'expéditeur incohérentes, des salutations génériques, des URL inhabituelles, une mauvaise grammaire, et des offres qui semblent trop belles pour être vraies.
  7. Désactiver les macros dans les documents: Désactivez les macros dans votre logiciel. Soyez prudent avec les pièces jointes des courriels qui vous incitent à activer les macros, surtout provenant de sources inconnues. En cas de doute, vérifiez la légitimité de la pièce jointe avec l'expéditeur.
  8. Ne pas répondre aux escroqueries suspectées: Évitez de répondre aux escroqueries potentielles, que ce soit par courriel, SMS, ou appels téléphoniques. Répondre confirme aux escrocs que vos coordonnées sont valides, encourageant plus de tentatives. Transférez les textos suspects au 7726 (SPAM) pour aider votre opérateur à filtrer le spam.

En mettant en œuvre ces stratégies, vous pouvez créer un système de défense robuste contre les attaques d'ingénierie sociale, protégeant à la fois vos données personnelles et les informations sensibles de votre organisation. Souvenez-vous, rester informé et prudent constitue votre première ligne de défense dans le paysage toujours en évolution des menaces de la cybersécurité.

Types d'attaques d'ingénierie sociale

Les attaques d'ingénierie sociale se produisent principalement par le biais de diverses [formes d'hameçonnage] (malwarebytes. Ces attaques exploitent la psychologie humaine et la confiance, plutôt que de s'appuyer sur des méthodes de piratage technique. L'efficacité et la prévalence de l'hameçonnage en font une préoccupation majeure pour les individus et les organisations. Voici une description plus détaillée de chaque type :

  1. Phishing par courriel: Les attaquants se font passer pour des entités légitimes par courriel, trompant les destinataires pour qu'ils divulguent des données personnelles ou des identifiants. Ces courriels contiennent souvent des liens vers des sites trompeurs ou des pièces jointes malveillantes.
  2. L'hameçonnage en masse: cette méthode consiste à envoyer le même courriel d'hameçonnage à des millions de personnes. Les courriels semblent provenir d'organisations reconnaissables et demandent souvent des informations personnelles sous de faux prétextes.
  3. Spear Phishing: Une forme de phishing plus ciblée, où les attaquants personnalisent leurs messages pour des individus spécifiques en utilisant des informations provenant des réseaux sociaux ou professionnels.
  4. L'hameçonnage des baleines: Tactique de spear phishing de haut niveau visant des cadres supérieurs ou des personnes très en vue. Ces attaques sont hautement personnalisées et impliquent souvent une tromperie complexe.
  5. L'hameçonnage vocal (Vishing) : Cette technique utilise les appels téléphoniques pour tromper les individus et les amener à divulguer des informations sensibles. Les attaquants peuvent se faire passer pour des organisations légitimes ou des figures d'autorité.
  6. SMS Phishing (Smishing) : Une variante du phishing effectuée par SMS. Ces messages incitent les destinataires à cliquer sur des liens malveillants ou à divulguer des informations sensibles.
  7. Phishing via moteur de recherche: Dans cette approche, les attaquants créent de faux sites Web qui apparaissent en haut des résultats des moteurs de recherche. Lorsque les utilisateurs visitent ces sites, ils risquent de se faire voler des informations.
  8. Phishing sur les réseaux sociaux: Cette forme exploite les plateformes de médias sociaux, où les attaquants créent de faux comptes de service client pour interagir avec les victimes, les menant souvent à des sites de phishing.

Après le phishing, les autres méthodes d'ingénierie sociale sont:

  1. Appâtage: Tente les victimes avec une fausse promesse de biens ou de services pour voler des informations ou installer des malwares.
  2. Portillon/Piggybacking: Implique un accès non autorisé à des zones restreintes en suivant physiquement une personne autorisée ou en exploitant numériquement la session active de quelqu'un d'autre.
  3. Prétextage: Les attaquants fabriquent des scénarios pour extraire des informations sensibles ou obtenir un accès, souvent en se faisant passer pour quelqu'un en position d'autorité ou ayant besoin de vérifier une identité.
  4. Tactique du Quid Pro Quo: Offre un service ou un avantage en échange d'informations sensibles, exploitant le désir de la victime pour une bonne affaire ou une récompense.
  5. Scareware: Il utilise des tactiques de peur pour manipuler les victimes afin qu'elles installent des logiciels malveillants ou révèlent des informations confidentielles.
  6. Attaque de type"Watering Hole" (trou d'eau): Elle cible des groupes spécifiques en infectant des sites web qu'ils visitent fréquemment, ce qui entraîne le vol de données ou l'installation de logiciels malveillants.
  7. Attaques de chevaux de Troie: Malwares déguisés en logiciels légitimes, souvent diffusés par des pièces jointes dans des courriels provenant de sources apparemment fiables.
  8. Arnaques de support technique: Trompent les victimes en leur faisant croire que leur appareil est compromis et leur font payer pour des « réparations » inutiles.
  9. Appels à l'escroquerie: Il s'agit d'utiliser des appels téléphoniques (y compris des robocalls) pour escroquer les victimes, souvent en se faisant passer pour des organisations ou des autorités légitimes.

Comprendre ces méthodes de phishing et autres tactiques d'ingénierie sociale est crucial pour se protéger contre ces menaces courantes et en constante évolution.

Exemples d'attaques d'ingénierie sociale

Voici quelques exemples concrets d'ingénierie sociale que nous avons étudiés au sein de Malwarebytes Labs. Dans chaque exemple, les escrocs de l'ingénierie sociale recherchent la bonne cible et le bon déclencheur émotionnel. Parfois, la combinaison de la cible et du déclencheur peut être très spécifique (comme dans le cas d'une attaque de spear phishing). Dans d'autres cas, les escrocs s'en prennent à un groupe beaucoup plus large.

L'escroquerie à la sextorsion : Dans ce premier exemple, les escrocs ratissent large. La cible ? Tous ceux qui regardent du porno. La victime est informée par courrier électronique que sa webcam a été piratée et utilisée pour l'enregistrer en train de regarder des vidéos pour adultes. L'escroc prétend également avoir piraté le compte de messagerie du destinataire, en utilisant un ancien mot de passe comme preuve. Si la victime ne paie pas en bitcoins, l'escroc menace de diffuser la vidéo à tous les contacts de la victime. En règle générale, l'escroc n'a pas de vidéo de vous et votre ancien mot de passe provient d'une violation de données déjà divulguée.

L'arnaque aux grands-parents: Cette escroquerie circule depuis des années et cible quiconque ayant une famille vivante, généralement les personnes âgées. Les parents ou grands-parents reçoivent un appel ou un SMS de l'escroc, se faisant passer pour un avocat ou un agent de la loi. L'escroc prétend qu'un parent de la victime a été arrêté ou blessé et a besoin d'argent pour couvrir la caution, les frais juridiques ou les frais d'hôpital. Dans le cas de la version du SMS, simplement répondre coûte à la victime de l'argent.

L'escroquerie au numéro de sécurité sociale : Dans cette escroquerie, les choses commencent à se resserrer car elle ne s'applique qu'aux citoyens américains. La victime reçoit un appel téléphonique préenregistré qui prétend provenir de l'administration de la sécurité sociale. Le message affirme que le SSN de la victime a été "suspendu" en raison de "pistes d'informations suspectes". Peu importe que votre SSN ne puisse pas être suspendu, si la victime tombe dans le panneau et retourne l'appel, elle devra payer une amende pour que tout rentre dans l'ordre.

L'arnaque John Wick 3: Voici un bon exemple de spear phishing. Dans ce cas, les escrocs visent une cible très spécifique : un fan de John Wick qui aime les bandes dessinées, mais préfère les lire sur Amazon Kindle. En cherchant des bandes dessinées John Wick, la cible se voit offrir un téléchargement gratuit du troisième film John Wick—au moment de l'arnaque, le film n'était pas encore sorti en salles. Suivre le lien inséré dans la description du film entraîne la victime dans un labyrinthe de sites illégaux de streaming de films piratés.

Escroqueries au coronavirus : Les escrocs ont pris note du manque d'informations sur le virus, en particulier dans les premiers jours et mois de l'épidémie. Alors que les autorités sanitaires s'efforçaient de comprendre le virus et la manière dont il se propageait d'une personne à l'autre, les escrocs ont comblé les lacunes en créant de faux sites web et en envoyant des courriers électroniques non sollicités.

Nous avons signalé des courriels de spam se faisant passer pour des informations sur les virus émanant de l'Organisation mondiale de la santé. Ces courriels contenaient en fait des pièces jointes remplies de logiciels malveillants. Dans un autre exemple, Labs ont fait état d'un site de suivi du COVID-19 qui affichait en temps réel les infections dans le monde entier. En coulisses, le site chargeait un cheval de Troie voleur d'informations sur les ordinateurs des victimes.

Qu'est-ce que le phishing ?

Qu'est-ce que le spear phishing ?

Qu'est-ce qu'une attaque de vishing?

Qu'est-ce que l'arnaque au catfishing ?

Qu'est-ce que le vol d'identité?

FAQ

Quelle est la différence entre l'ingénierie sociale et l'ingénierie sociale inversée ?

Dans l'ingénierie sociale, les attaquants approchent les cibles pour les manipuler et les amener à partager des informations. Dans le cas de l'ingénierie sociale inversée, les victimes entrent à leur insu en contact avec des attaquants trompeurs.