L’ingénierie sociale expliquée : techniques d’attaque et prévention

La définition de l’ingénierie sociale est de vous pousser par différentes techniques et stratégies à faire ce que le pirate informatique souhaite de vous, bien que cela puisse aller en totale encontre de vos intérêts. Pour convaincre la victime d’une telle arnaque, le pirate utilise vos sentiments et se sert de la confiance, du stress et de la cupidité dans le but de brouiller votre jugement.

Ces techniques d’ingénierie sociale ne comprennent pas toujours l’utilisation de codes ou d’un malware. Il est important de les connaître, afin d’être en mesure de les mettre en évidence lorsqu’elles se présentent à vous, dans le but d’augmenter votre sécurité sur internet.

Au total, on recense 9 techniques d’attaques d’ingénierie sociale communes, que nous vous présentons sans attendre :

En utilisant la technique de l’hameçonnage, le cybercriminel se fait passer pour quelqu’un d’autre à travers des e-mails directement adressés à une cible. Ils peuvent choisir de se faire passer pour tout type de personne ou d’organisation, dont votre banque, votre gouvernement, un service de livraison, ou tout autre type d’organisation à laquelle vous pourriez d’ordinaire accorder votre confiance.

L’objectif de ces pirates informatiques est de vous pousser à ouvrir le mail reçu et à télécharger la pièce jointe qu’il comprend, qui peut contenir des logiciels malveillants, ou encore à suivre des liens suspects. Les hackers utilisent cette technique pour vous amener à divulguer des informations sensibles vous concernant, telles que votre numéro de sécurité sociale, de carte bancaire, ou encore vos identifiants de connexion.

L’hameçonnage peut ainsi prendre différentes formes et utiliser différentes méthodes, parmi les suivantes :

• Nom d’affichage falsifié. L’e-mail reçu vous semble parvenir d’une source fiable, bien qu’il s’agisse d’un nom falsifié, qui ne correspond pas au nom de domaine réel de l’organisation. Le nom d’affichage pourrait par exemple vous faire penser qu’il s’agit de Netflix, alors qu’en observant l’adresse e-mail de plus près, vous verrez qu’elle ne correspond en rien à l’adresse utilisée par le site.
• Liens intégrés. Dans d’autres cas, les pirates peuvent vous envoyer un e-mail dans lequel on vous demande de cliquer sur un lien, dans le but de vous reconnecter à votre compte (même si vous n’avez pas modifié vos identifiants pour ce site). Cette URL vous mène en réalité vers un site Web infecté. Pour éviter de cliquer sur ce type de lien, vous pourrez vérifier la légitimité de l’adresse en réalisant un clic droit sur le lien.
• Téléchargement de pièces jointes. Des virus et des logiciels malveillants peuvent être dissimulés au travers de pièces jointes, qui vous semblent être des factures, des confirmations de commande, des invitations en tout genre, entre autres exemples. Il n’est pas conseillé d’ouvrir ces pièces jointes ou de répondre à l’émetteur si l’e-mail vous semble suspect. Vous pourrez répondre à la personne qui semble vous avoir envoyé cet e-mail en rédigeant un nouvel e-mail.

L’harponnage, ou spear phishing, est un type d’hameçonnage qui demande davantage de travail au pirate informatique, mais qui bénéficie d’un taux de réussite plus élevé. Tandis que des e-mails de phishing (hameçonnage) sont souvent envoyés à des milliers de personnes, l’harponnage cible certains individus, et des groupes restreints de personnes. Les pirates peuvent se faire passer pour une personne que vous connaissez et à laquelle vous faites confiance, ou une personne de votre environnement de travail.

Pour mettre en place ce type d’attaque, les pirates doivent tout d’abord mener des recherches sur leurs victimes, afin de récupérer un certain nombre d’informations. Ils peuvent notamment mener leurs recherches sur les réseaux sociaux, qui abritent pratiquement toutes les informations recherchées par les pirates. Ils y trouveront votre adresse e-mail, vos intérêts et les marques auxquelles vous accordez votre confiance, qui vous suivez, qui sont vos amis, etc. Ces informations permettront au pirate de trouver un prétexte réaliste pour l’envoi de l’e-mail.

Ils peuvent ainsi utiliser différentes tactiques, et se faire passer pour l’un de vos amis qui souhaite obtenir les coordonnées de votre compte Instagram. D’un point de vue professionnel, les pirates pourraient prétendre être votre supérieur, qui vous demande de réaliser un transfert de fonds immédiat pour la création d’un “nouveau projet”.

Bien que ces attaques puissent être difficiles à reconnaître, vous pourrez vous en protéger en suivant ces conseils :

• Vérifiez la source de l’e-mail.
• Demandez-vous si la demande mentionnée vous semble probable.
• Si cette demande semble suspecte, vous ne devrez pas répondre à l’e-mail, et contacter la personne qui semble être émettrice par un nouvel e-mail, ou en leur parlant de manière directe.

Le vishing, ou hameçonnage vocal, appartient lui aussi à la catégorie des phishing. Cette fois-ci cependant, les pirates se font passer pour un organisme de confiance, en vous contactant par téléphone. Tout d’abord, ils usurpent le numéro de téléphone d’une personne ou d’une entreprise en qui vous avez confiance. Ils peuvent ensuite vous contacter par des messages vocaux ou des messages textes, en masquant leur voix de manière à garder leur identité secrète. D’autres pirates se servent même de réelles personnes, travaillant dans des centres d’appel frauduleux, dans le but de rendre l’attaque encore plus convaincante.

Pour capter votre attention, les pirates utilisent un prétexte convaincant, comme une activité suspecte sur votre compte bancaire, un problème lié à la régularisation de vos impôts, un concours que vous auriez gagné, etc. Quel que soit le prétexte ou la technique utilisée, ces pirates partagent le même objectif : récupérer vos informations sensibles, qui pourront être utilisées pour d’autres attaques ou dans le but de voler votre identité.

Pour mettre en lumière une tentative d’hameçonnage vocal, vous devrez prendre en compte ces éléments :

• Interrogez l’entreprise et la raison de son appel. Avez-vous déjà entendu parler de cette entreprise ou avez-vous déjà profité de ses services ?
• Proposent-ils des gains irréalistes pour des concours auxquels vous n’avez jamais participé ? Ou de vous aider à combler des dettes que vous n’avez jamais contractées ?
• Utilisent-ils une forme de langage hostile pour vous forcer à divulguer certaines informations personnelles ?

Cette technique d’ingénierie sociale peut être comparée à l'hameçonnage, bien qu’il s’agisse d’une tactique différente. En effet, elle se sert d’un prétexte accrocheur et parfois excitant pour vous faire mordre à l’hameçon. Dans ce cas, ce prétexte se base sur vos relations et sur la confiance.

Ainsi, pour trouver un prétexte, le pirate doit réaliser de nombreuses recherches sur sa cible, beaucoup plus que pour les autres types d’ingénierie sociale. Ils peuvent se faire passer pour vos amis ou vos collègues, et devront donc établir un scénario aussi proche de la réalité que possible.

En plus de vous mentir, ils peuvent utiliser de fausses personnalités, des images de produits authentiques ou encore des termes propres à l’industrie dans laquelle vous travaillez. S’ils cherchent à vous piéger dans le cadre de votre travail, ils feront en sorte de travailler leur tentative de manière très précise, et ils ne se contenteront pas d’une seule attaque. Généralement, leur objectif est d’obtenir des informations sur l’entreprise, auprès d’employés haut placés, ou bénéficiant d’une certaine ancienneté.

Il peut être difficile de repérer ces escrocs, pour cause des nombreuses recherches et des efforts qu’ils emploient pour créer un personnage et une histoire aussi vraisemblables que possible. Pour autant, lorsque quelqu’un se montre trop amical, et qu’il vous demande de partager certaines données que vous n’avez pas l’habitude de partager avec qui que ce soit, n’hésitez pas à lui poser quelques questions.

Le catfishing fait référence à la technique d’ingénierie sociale qui revient à créer un faux profil sur les réseaux sociaux, en utilisant des photos, des vidéos, ainsi que les informations personnelles d’une autre personne. Ces fausses identités peuvent être utilisées dans le but de mettre en place une cyberintimidation, ou pour attirer l’attention des personnes ciblées, souvent pour le développement d’une relation amoureuse.

Dans certains cas, ces identités peuvent aussi être utilisées pour soutirer l’argent ou les données personnelles de la victime, qui peuvent par la suite être utilisées lors d’un autre type d’attaque ou dans le but de voler son identité.

Si vous avez développé une amitié en ligne avec une personne attentionnée qui vous paraît extrêmement agréable, mais que cette personne trouve toujours des excuses pour ne pas assister à vos demandes de rencontre ou refuse de partager des informations personnelles qui la concerne, c’est qu’il s’agit certainement d’une tentative de catfishing. En voici certains signes :

• Utilisation de votre pitié et demande de dons et d’argent ;
• Des explications étranges sur le fait que leur webcam ou leur téléphone ne fonctionne pas ;
• Des excuses pour ne pas vous rencontrer, et des annulations de dernière minute pour des motifs d’urgences personnelles ;
• Propositions de rencontre dans un lieu privé plutôt qu’en public.

Dans le cas de cette attaque, le pirate se sert d’un appât pour vous persuader de réaliser une certaine action, lui permettant d’infecter votre ordinateur de logiciels malveillants dans le but de récupérer vos informations personnelles. Nombreux sont les ingénieurs sociaux qui utilisent des clés USB laissées dans des bureaux ou des parkings comme appât. Ces clés USB peuvent être recouvertes d’une mention intéressante, qui poussera votre curiosité à découvrir leur contenu. Une fois connectée à votre appareil, la clé USB en question répand le virus sur votre ordinateur, en très peu de temps.

Du fait que l’utilisation des clés USB ne soit aujourd’hui plus aussi importante qu’à une certaine époque, les pirates se servent maintenant principalement des sites Web P2P. Il s’agit de faux sites, conçus pour vous tromper. En pensant télécharger un film ou un nouveau logiciel, vous êtes en réalité en train de télécharger un virus. Lorsque la source n’est pas fiable, télécharger des fichiers comprend toujours des risques. Pour vous protéger des virus, vous devrez donc vérifier le type de fichier que vous souhaitez télécharger, et protéger votre appareil à l’aide d’un antivirus à jour.

L’attaque de contrepartie (quid pro quo) survient lorsqu’un pirate vous propose un service, en échange de vos informations personnelles. Il peut s’agir d’un e-mail vous informant que vous êtes l’héritier d’une fortune, et que pour la recevoir, il vous suffit de renseigner vos coordonnées bancaires ou d’envoyer une certaine somme d’argent en contrepartie.

De nos jours, ces attaques prennent différents profils, et les hackers peuvent se faire passer pour des spécialistes en assistance informatique, dans le but de vous aider à résoudre un problème. Une fois qu’ils obtiennent l’accès à votre ordinateur, ils peuvent y installer des logiciels malveillants ou voler certaines informations sensibles.

Cette attaque vise à accéder à une zone sécurisée ou à un bâtiment, en utilisant une porte laissée ouverte, en suivant une personne ou en utilisant une excuse justifiant l’oubli d’un badge ou d’une carte magnétique. Elle nécessite une surveillance des entrées accrue, et la mise en place de systèmes de sécurité complets, pour identifier toute personne entrant dans un bâtiment.

Autrement appelée Water-holing, l’attaque de point d’eau cible un groupe de personnes et les sites Web sur lesquels ils ont l’habitude de se rendre. Ces sites sont inspectés à la recherche d’une faille de sécurité permettant l'installation d’un virus. L’un des utilisateurs du groupe peut ensuite être infesté.

1. Découvrez en quoi consistent les différents types d’attaques d’ingénierie sociale. En sachant à quoi vous attendre, il vous sera plus facile d’éviter leurs pièges. Si vous dirigez une entreprise ou gérez une équipe, il est également essentiel de sensibiliser votre équipe à ces attaques. Des tests d’intrusion peuvent vous aider à détecter les vulnérabilités de votre réseau et à former vos employés

2. Restez vigilant. Vérifiez l’identité de la personne avec laquelle vous communiquez, particulièrement lorsqu’il s’agit d’un e-mail, d’un SMS ou d’un appel qui vous surprend. N’oubliez pas que tout ce qui semble trop beau pour être vrai l’est certainement.

3. Gardez un œil sur les erreurs. Les entreprises ont tendance à vérifier au moins trois fois leur contenu avant de l’envoyer. Les pirates peuvent en revanche laisser de nombreuses fautes de grammaire et d'orthographe.

4. N’ayez pas peur de poser des questions. Si vous pensez que quelqu’un essaye de vous arnaquer par téléphone, n’hésitez pas à remettre en question sa gentillesse ou son autorité. Relevez les réponses qui ne semblent pas faire sens avec le récit global.

5. Adoptez un comportement adapté sur internet.

6. Limitez le nombre d’informations que vous partagez en ligne. Laisser des données personnelles facilement accessibles peut aider un pirate à recueillir certaines informations dans le but de les utiliser pour une attaque d’ingénierie sociale.

7. Prenez soin de votre logiciel. Veillez à installer les mises à jour de manière régulière, investissez dans un antivirus de qualité, installez des filtres anti-spam et utilisez des extensions de navigateur.

8. Utilisez un VPN. Une connexion VPN vous aide à masquer votre identité et peut empêcher les potentiels pirates d’intercepter vos communications, en particulier sur le Wi-Fi public. Notre antivirus peut également vous aider à bloquer les sites malveillants.

Pour une confidentialité totale, utilisez NordVPN.