Téléchargez la documentation technique !
Recevez gratuitement dans votre boîte mail la documentation technique de Gestactiv’2 et découvrez son fonctionnement dans le détail.
Voici une technique que les cybercriminels utilisent souvent pour vous manipuler, vous piéger et ainsi arriver à leurs fins : il s’agit de l’ingénierie sociale. Voyons ensemble ce concept, comment il se manifeste dans les cyberattaques et comment vous en protéger.
Sommaire
Concrètement l’ingénierie sociale est un concept qui englobe de nombreuses techniques psychologiques exploitant nos biais cognitifs. La plupart du temps elle sont utilisées dans un but constructif. Par exemple, pour encourager des comportements ayant une portée sociétale positive (respect des lois, de l’environnement, promotion de mesures d’hygiène, etc…).
Mais elles peuvent l’être également à des fins d’escroquerie ou d’arnaque. Comme dans certains types de cyberattaques. Car d’un point de vue pratique il est plus simple pour un pirate de s’appuyer sur une faille humaine que de rechercher des vulnérabilités dans un système informatique.
Afin de vous soutirer de l’argent ou l’accès à vos comptes et données, les hackers exploitent certaines de vos émotions :
Et pour y parvenir ces derniers utilisent les informations que vous laissez sur le web pour rendre leur discours plus crédible. Ils peuvent par exemple éplucher vos réseaux sociaux pour en savoir plus sur votre lieu de travail, vos loisirs, vos contacts. Tout élément que vous avez posté à la vue de tous, ou qui est trouvable dans les résultats des moteurs de recherche pourra être utilisé contre vous.
Voici quelques types de cyberattaques qui utilisent l’ingénierie sociale.
Le phishing, que nous avons déjà évoqué en détail dans un précédent article, est la technique d’escroquerie par email la plus répandue actuellement. D’ailleurs, il existe désormais des variantes que vous pouvez recevoir par texto (SMiShing) ou message vocal (Vishing). Leur mode de fonctionnement est similaire à celui du phishing, seul le support utilisé pour la communication change.
L’augmentation significative des campagnes de phishing au fil des ans a d’ailleurs poussé les pirates à perfectionner leurs arnaques pour qu’elles soient moins repérables. C’est pourquoi les campagnes de phishing ciblées remplacent peu à peu les envois de mail en gros et au hasard (Spear-Phishing).
Parmi elles, on trouve notamment les « Arnaques au président ». Où les cybercriminels réclament à un collaborateur de l’entreprise ciblée un versement d’argent en se faisant passer pour le dirigeant. Ou encore les attaques au « Quid pro quo». Elles consistent à usurper l’identité d’un organisme de confiance pour récupérer sous un faux-prétexte des informations confidentielles (exemple : support technique qui demande des informations de connexion à un compte en échange d’un audit gratuit censé nettoyer le PC de l’utilisateur).
Vous avez sûrement déjà reçu un email ou message privé sur les réseaux sociaux de l’un de vos contacts (dont le compte a été piraté). Le texte est souvent énigmatique : « C’est toi dans cette vidéo ?!? 😱😱😱 », « J’ai pensé que ça pourrait t’intéresser… », « Accès gratuit à mon-service-de-streaming-préféré ». Et toujours accompagné d’un lien ou d’une pièce-jointe sur laquelle la curiosité a tendance à nous pousser à cliquer. Il s’agit là d’une technique d’appâtage courante.
Tout comme celle de laisser traîner une clé USB contenant un dossier « Privé » ou « Confidentiel » dans un lieu public. En espérant qu’un curieux la trouve et infecte son PC en cliquant sur ce dossier à l’intitulé mystérieux. Notons toutefois qu’elle semble un peu plus hasardeuse en terme de réussite que celle du message privé.
Il existe tellement de scénarios possible pour vous extorquer de l’argent qu’il est impossible de tous les lister. On peut simplement évoquer :
Les cyberattaques faisant appel à l’ingénierie sociale sont redoutables. Alors pour éviter qu’elles n’aboutissent il faut vous préparer.
Étant donné que les hackers ciblent plus facilement les failles humaines que matérielles, il faut donc préparer vos collaborateurs. Ils seront surement confrontés un jour ou l’autre à une cyberattaque utilisant l’ingénierie sociale. Et il vaut donc mieux qu’ils sachent comment réagir dans ce type de situation.
Pour ce faire nous vous conseillons vivement de sensibiliser vos équipes à la cybersécurité. Partage d’information autour des cyberattaques actuelles, fausses-campagnes de phishing, formation en continue, etc… Ce sont les clés pour que vos collaborateurs acquièrent l’expérience et les automatismes nécessaires pour éviter de mordre à l’hameçon des pirates.
Enfin en cas de doutes vous pouvez retenir ces trois principes qui vous sauveront dans la plupart des cas :
Rien ne vous interdit de contacter par un autre canal, l’émetteur du message qui vous semble douteux. Vous aurez ainsi une confirmation de vive voix concernant la légitimité de l’email reçu. Si votre interlocuteur ne voit pas de quoi vous parlez, vous êtes sûrement face à une tentative d’escroquerie. Mais vous l’aurez au moins informé d’une faille de sécurité sur sa boîte mail.
Grâce aux outils disponibles (anti-spam, options de configuration de vos boîtes mails, etc…) limitez au maximum la réception d’emails à caractère malveillant. Mathématiquement, vous réduirez les risques de donner malgré vous vos informations confidentielles à un cybercriminel.
Comme personne n’est infaillible, vous pouvez quand même tomber dans un piège. Il est donc indispensable d’assurer vos arrières.
Et pour cela vous devez absolument posséder une solution antivirus professionnelle et veiller à ce qu’elle soit à jour. C’est le meilleur moyen de protéger votre PC et le système informatique de votre entreprise. Si jamais vous faîtes une erreur, l’antivirus bloquera immédiatement la menace.
Maintenant que vous connaissez les techniques des pirates, il ne vous reste qu’à vous entraîner pour éviter les arnaques. Avec un peu de pratique, vous identifierez de plus en plus rapidement les pièges que l’on vous tend. Et vous pourrez tranquillement les esquiver.
Bien entendu, cela ne vous dispense pas pour autant de protéger votre matériel (PC’s, réseaux, etc…). Car si l’erreur est humaine, la machine peut vous sauver la mise, à condition de lui en donner les moyens…