Cyberattaques & Ingénierie sociale

Cybersécurité, Web

Voici une technique que les cybercriminels utilisent souvent pour vous manipuler, vous piéger et ainsi arriver à leurs fins : il s’agit de l’ingénierie sociale. Voyons ensemble ce concept, comment il se manifeste dans les cyberattaques et comment vous en protéger.

Qu’est-ce que l’ingénierie sociale ?

Concrètement l’ingénierie sociale est un concept qui englobe de nombreuses techniques psychologiques exploitant nos biais cognitifs. La plupart du temps elle sont utilisées dans un but constructif. Par exemple, pour encourager des comportements ayant une portée sociétale positive (respect des lois, de l’environnement, promotion de mesures d’hygiène, etc…).

Mais elles peuvent l’être également à des fins d’escroquerie ou d’arnaque. Comme dans certains types de cyberattaques. Car d’un point de vue pratique il est plus simple pour un pirate de s’appuyer sur une faille humaine que de rechercher des vulnérabilités dans un système informatique.

L’ingénierie sociale : comment ça marche ?

Afin de vous soutirer de l’argent ou l’accès à vos comptes et données, les hackers exploitent certaines de vos émotions :

  • La peur : vous remarquerez que les tentatives d’escroquerie par email vous menacent souvent de conséquences désagréables (perte d’argent, résiliation de contrat, poursuites judiciaires, etc…) si vous n’obéissez pas aux demandes de l’émetteur
  • Le sentiment d’urgence : qui est souvent associé à la peur. L’idée étant que le stress prenne le pas sur votre raison et que vous obéissiez sans réfléchir à la légitimité de la demande.
  • L’empathie : les pirates jouent sur le sentiment d’appartenance à un groupe (comme une entreprise) et l’empathie qui peut exister entre ses membres pour obtenir des informations confidentielles. Ils se font ainsi passer pour un membre du groupe et sollicitent un autre membre. Celui-ci est alors plus enclin à leur apporter de l’aide que s’il avait été sollicité par une personne extérieure au groupe.
  • La curiosité : n’importe quel prétexte est bon pour vous faire cliquer là où les cybercriminels veulent que vous cliquiez. En choisissant bien leurs mots ils savent titiller cet instinct naturel chez l’humain et déclencher une action de votre part.
  • L’appât du gain : pour attirer votre attention les hackers vous proposent souvent une opportunité immanquable (versement de grosses sommes d’argent, accès gratuit à des services payants, réduction sur des produits, etc…) en misant sur votre crédulité.

Et pour y parvenir ces derniers utilisent les informations que vous laissez sur le web pour rendre leur discours plus crédible. Ils peuvent par exemple éplucher vos réseaux sociaux pour en savoir plus sur votre lieu de travail, vos loisirs, vos contacts. Tout élément que vous avez posté à la vue de tous, ou qui est trouvable dans les résultats des moteurs de recherche pourra être utilisé contre vous.

illustration vos informations personnelles présentes sur le net pourront être utilisée contre vous dans une cyberattaque faisant appel à l'ingénierie sociale

Comment l’ingénierie sociale se manifeste dans les cyberattaques ?

Voici quelques types de cyberattaques qui utilisent l’ingénierie sociale.

Le phishing et affiliés

Le phishing, que nous avons déjà évoqué en détail dans un précédent article, est la technique d’escroquerie par email la plus répandue actuellement. D’ailleurs, il existe désormais des variantes que vous pouvez recevoir par texto (SMiShing) ou message vocal (Vishing). Leur mode de fonctionnement est similaire à celui du phishing, seul le support utilisé pour la communication change.

L’augmentation significative des campagnes de phishing au fil des ans a d’ailleurs poussé les pirates à perfectionner leurs arnaques pour qu’elles soient moins repérables. C’est pourquoi les campagnes de phishing ciblées remplacent peu à peu les envois de mail en gros et au hasard (Spear-Phishing).

Parmi elles, on trouve notamment les « Arnaques au président ». Où les cybercriminels réclament à un collaborateur de l’entreprise ciblée un versement d’argent en se faisant passer pour le dirigeant. Ou encore les attaques au « Quid pro quo». Elles consistent à usurper l’identité d’un organisme de confiance pour récupérer sous un faux-prétexte des informations confidentielles (exemple : support technique qui demande des informations de connexion à un compte en échange d’un audit gratuit censé nettoyer le PC de l’utilisateur).

L’appâtage

Vous avez sûrement déjà reçu un email ou message privé sur les réseaux sociaux de l’un de vos contacts (dont le compte a été piraté). Le texte est souvent énigmatique : « C’est toi dans cette vidéo ?!? 😱😱😱 », « J’ai pensé que ça pourrait t’intéresser… », « Accès gratuit à mon-service-de-streaming-préféré ». Et toujours accompagné d’un lien ou d’une pièce-jointe sur laquelle la curiosité a tendance à nous pousser à cliquer. Il s’agit là d’une technique d’appâtage courante.

Tout comme celle de laisser traîner une clé USB contenant un dossier « Privé » ou « Confidentiel » dans un lieu public. En espérant qu’un curieux la trouve et infecte son PC en cliquant sur ce dossier à l’intitulé mystérieux. Notons toutefois qu’elle semble un peu plus hasardeuse en terme de réussite que celle du message privé.

L’extorsion

Il existe tellement de scénarios possible pour vous extorquer de l’argent qu’il est impossible de tous les lister. On peut simplement évoquer :

  • les escroqueries sentimentales : où les pirates nouent une relation avec leurs proies. Ils profitent alors de ses potentiels sentiments pour lui soutirer de l’argent (demande de virements pour rendre possible une rencontre physique, demande de photos intimes pour faire chanter la victime, etc…)
  • les escroqueries reposant sur un manque de connaissances informatiques : comme ces pop-ups recouvrant entièrement l’écran du PC de la cible et affichant un message mensonger. Son PC est soit disant infecté et elle doit appeler un numéro pour être dépannée par un service technique. Bien entendu le service technique n’existe pas. Ce sont les cybercriminels qui en profitent pour installer de vrais malwares ou vous voler vos informations bancaires.
illustration des manifestations de l'ingénierie sociale dans les cyberattaques ayant pour but l'extorsion d'argent

Comment vous protéger ?

Les cyberattaques faisant appel à l’ingénierie sociale sont redoutables. Alors pour éviter qu’elles n’aboutissent il faut vous préparer.

Sensibilisez vos collaborateurs aux cyber risques

Étant donné que les hackers ciblent plus facilement les failles humaines que matérielles, il faut donc préparer vos collaborateurs. Ils seront surement confrontés un jour ou l’autre à une cyberattaque utilisant l’ingénierie sociale. Et il vaut donc mieux qu’ils sachent comment réagir dans ce type de situation.

Pour ce faire nous vous conseillons vivement de sensibiliser vos équipes à la cybersécurité. Partage d’information autour des cyberattaques actuelles, fausses-campagnes de phishing, formation en continue, etc… Ce sont les clés pour que vos collaborateurs acquièrent l’expérience et les automatismes nécessaires pour éviter de mordre à l’hameçon des pirates.

Enfin en cas de doutes vous pouvez retenir ces trois principes qui vous sauveront dans la plupart des cas :

  1. Si la proposition que l’on vous fait est trop belle pour être vraie, c’est sûrement le cas !
  2. Ne vous laissez pas intimider par les messages menaçants ou pressants et prenez votre temps
  3. Si un message vous semble suspect ou inhabituel, n’hésitez pas à contacter votre prestataire informatique pour avoir son avis

Vérifiez l’identité de votre interlocuteur

Rien ne vous interdit de contacter par un autre canal, l’émetteur du message qui vous semble douteux. Vous aurez ainsi une confirmation de vive voix concernant la légitimité de l’email reçu. Si votre interlocuteur ne voit pas de quoi vous parlez, vous êtes sûrement face à une tentative d’escroquerie. Mais vous l’aurez au moins informé d’une faille de sécurité sur sa boîte mail.

Faîtes de votre boîte-mail une forteresse anti-spam

Grâce aux outils disponibles (anti-spam, options de configuration de vos boîtes mails, etc…) limitez au maximum la réception d’emails à caractère malveillant. Mathématiquement, vous réduirez les risques de donner malgré vous vos informations confidentielles à un cybercriminel.

Gardez votre antivirus actif et à jour

Comme personne n’est infaillible, vous pouvez quand même tomber dans un piège. Il est donc indispensable d’assurer vos arrières.
Et pour cela vous devez absolument posséder une solution antivirus professionnelle et veiller à ce qu’elle soit à jour. C’est le meilleur moyen de protéger votre PC et le système informatique de votre entreprise. Si jamais vous faîtes une erreur, l’antivirus bloquera immédiatement la menace.

Maintenant que vous connaissez les techniques des pirates, il ne vous reste qu’à vous entraîner pour éviter les arnaques. Avec un peu de pratique, vous identifierez de plus en plus rapidement les pièges que l’on vous tend. Et vous pourrez tranquillement les esquiver.
Bien entendu, cela ne vous dispense pas pour autant de protéger votre matériel (PC’s, réseaux, etc…). Car si l’erreur est humaine, la machine peut vous sauver la mise, à condition de lui en donner les moyens…

Vous pourriez lire aussi :

keyboard_arrow_up