Introducing G2.ai, the future of software buying.Try now
Catégorie Email anti-spam

Ingénierie sociale : Ce que vous pouvez faire pour éviter d'être une victime

28 Mai 2021
Sagar Joshi
SJ
par Sagar Joshi

Dans cet article

Dans cet article

L'ingénierie sociale cible l'esprit humain pour transformer l'intention malveillante d'un attaquant en véritables cyberattaques.

Elle joue sur votre cupidité, votre peur et vos insécurités pour vous tromper et vous amener à donner vos mots de passe et d'autres informations sensibles. Il est courant de recevoir des e-mails ou des textos suspects avec des avertissements et des offres à durée limitée, vous encourageant à entrer des détails confidentiels.

Vous devez être conscient et attentif en permanence, surtout lorsque vous voyez des offres généreuses douteuses et des avertissements inquiétants avec des conséquences obscures.

Qu'est-ce que l'ingénierie sociale ?

En cybersécurité, l'ingénierie sociale est une pratique malveillante consistant à tromper les gens pour qu'ils révèlent leurs informations sensibles en utilisant la manipulation psychologique. Les attaquants peuvent converger une attaque d'ingénierie sociale en une ou plusieurs étapes tout en utilisant différentes techniques. 

Chaque esprit est différent, tout comme ses biais cognitifs. L'ingénierie sociale utilise divers biais cognitifs de l'esprit humain pour concevoir un vecteur d'attaque et une technique adaptés. 

Les attaquants profitent injustement de ces complexités de prise de décision pour faire des variations dans leurs techniques. Cela contribue à produire de nombreuses techniques d'ingénierie sociale qui ciblent exclusivement des groupes ou des individus. 

Par conséquent, il devient indispensable pour vous de rechercher constamment des anomalies et des menaces d'ingénierie sociale. Pour les entreprises, il est encore plus important de garder un œil vigilant sur les menaces car un seul identifiant de connexion compromis pourrait entraîner une violation de sécurité incontrôlable.

Il est conseillé d'avoir votre défense en place avec des systèmes de prévention et de détection des intrusions, des pare-feu, des logiciels anti-spam pour les e-mails et d'autres mécanismes de défense. Ils vous aideraient à détecter et à contenir une attaque d'ingénierie sociale lorsque des adversités émergent.

Étapes d'une attaque d'ingénierie sociale

L'attaque d'ingénierie sociale est divisée en quatre phases comme suit :

  1. Recherche. La collecte d'informations sur les intérêts de la victime, sa vie personnelle et professionnelle, et des attributs similaires joue un rôle important dans la détermination du taux de succès de l'attaque.
  2. Engager. Les attaquants initient une conversation fluide avec les cibles sans laisser de place au doute ou à la méfiance.
  3. Attaquer. Lorsque les cibles ont été suffisamment engagées, les attaquants passent à la récupération des informations qu'ils recherchent ou trompent les victimes pour qu'elles effectuent une action.
  4. Clôture. Une fois que les objectifs des attaquants sont atteints, ils coupent la communication avec la victime sans susciter de soupçons.

Techniques et attaques d'ingénierie sociale

Les techniques d'ingénierie sociale ne se limitent pas à un nombre spécifique, mais leurs concepts sous-jacents unissent diverses techniques en clusters uniques.

Phishing

Le phishing est une technique d'ingénierie sociale courante que vous rencontrez assez souvent. 

Vous pouvez l'observer dans des e-mails suspects dans votre boîte de réception ou vos dossiers de spam. Ces e-mails contiennent des pièces jointes malveillantes déguisées en fichiers authentiques, qui peuvent installer des logiciels malveillants ou des scarewares sur votre appareil lorsqu'ils sont téléchargés.

30%

 

des messages de phishing sont ouverts par les utilisateurs ciblés, et 12% de ces utilisateurs cliquent sur la pièce jointe ou le lien malveillant.

Source : PurpleSec

Dans certains cas, au lieu d'envoyer des pièces jointes, les ingénieurs sociaux utilisent des liens. Ces liens vous dirigent vers un site web malveillant qui vous manipule pour révéler vos informations sensibles. Les entreprises utilisent des logiciels anti-spam pour les e-mails pour protéger les utilisateurs contre les escroqueries de phishing.

Parfois, les fraudeurs ciblent un petit groupe au lieu de mener une attaque de phishing à grande échelle. Ils effectuent des recherches approfondies sur le groupe cible pour résonner avec leurs intérêts et gagner leur confiance. Ces types d'attaques de phishing sont appelés spear phishing.

Les attaques de spear phishing posent des menaces importantes pour les organisations car la recherche qui les sous-tend aide à déguiser les attaquants en employés authentiques.

56%

 

des décideurs informatiques disent que les attaques de phishing ciblées sont leur principale menace de sécurité.

Source : PurpleSec

Les campagnes de spear phishing impliquent de grandes quantités de reconnaissance. 

Les attaquants utilisent des sites de réseautage social comme LinkedIn, Twitter, Instagram et d'autres pour recueillir des informations sur une cible. Ils utilisent des informations personnelles et professionnelles pour préparer un e-mail qui semble authentique mais qui cache une intention malveillante. 

Un autre élément du phishing qui demande votre attention est le vishing (ou phishing par appel téléphonique). Un auteur utilise un système de réponse vocale interactive (IVR) malveillant conçu pour reproduire un IVR original d'une institution ou d'une banque dans une attaque de vishing. 

Les attaquants envoient un e-mail aux victimes, les convainquant de composer un numéro sans frais qui les connecte à l'IVR malveillant. Le système de réponse vocale interactive les guide pour entrer des identifiants d'utilisateur sur une page web malveillante, ressemblant à une page légitime. 

Les victimes entrent leurs mots de passe plusieurs fois, mais la page web malveillante les rejette. Cela trompe les victimes pour qu'elles divulguent divers mots de passe à l'attaquant.

Lorsque le phishing est effectué à l'aide d'un service de messages courts (SMS), on l'appelle communément smishing. Les attaquants attirent les victimes vers des sites web malveillants en les trompant pour qu'elles cliquent sur un lien malveillant dans un message texte. Les attaquants déguisent ces messages pour reproduire des alertes de ramassage ou de livraison de colis, des prix attractifs, des réductions ou des avertissements qui encouragent le destinataire à agir.

Sony Pictures a été victime d'une attaque d'ingénierie sociale en 2014. Des cybercriminels ont envoyé plusieurs e-mails de phishing renforcés avec des pièces jointes malveillantes pour accéder au réseau de Sony. 

Les attaquants ont effectué une reconnaissance discrète pendant quelques mois. Lorsqu'ils ont eu accès au réseau, ils ont commencé à envoyer des e-mails avec des menaces aux dirigeants et employés de l'entreprise, accédant à des informations confidentielles et à d'autres données sensibles. 

Appâtage

L'appâtage englobe toutes les tactiques d'ingénierie sociale qui attirent une victime cible avec un appât. 

Généralement, cette technique utilise un appât physique mais ne s'y limite pas. Dans les environnements numériques, les appâts peuvent être livrés en créant des publicités malveillantes et en utilisant des moyens similaires.

Un attaquant peut livrer un appât physique sous la forme d'un disque dur externe, d'une clé USB, d'une disquette, de CD, de DVD, et autres. Vous le trouverez dans des endroits communs accessibles aux employés. Les mauvais acteurs marquent les appâts avec des étiquettes qui pourraient vous intéresser le plus. Par exemple, cela peut être une liste d'évaluations, des promotions, et des choses similaires.

Si quelqu'un dans votre lieu de travail le branche à son système informatique, il livre des logiciels malveillants à sa machine. Les entreprises utilisent des suites de protection des points de terminaison pour bloquer l'appât dans de telles situations et empêcher l'installation de logiciels malveillants sur votre ordinateur de bureau ou portable.

En 2016, une étude intéressante a été menée à l'Université de l'Illinois, où des chercheurs ont déposé 297 clés USB sur le campus dans un environnement contrôlé. 

Les résultats étaient :

  • 290 clés ont été prises des lieux de dépôt
  • 135 clés ont été insérées dans un ordinateur ou un portable, et un ou plusieurs fichiers ont été ouverts
  • 155 clés n'ont montré aucun signe de fichiers ouverts. Elles ont peut-être été insérées ou non.

98% des clés étant ramassées reflète à quel point il est facile de tomber dans le piège et de risquer votre sécurité sans le savoir.

Vous devez vous assurer que votre personnel est bien éduqué et informé sur les techniques d'ingénierie sociale pour éviter d'en être la proie. 

L'apprentissage continu et la sensibilisation dispensés par le biais de logiciels de formation à la sensibilisation à la sécurité peuvent vous aider à former les employés à grande échelle et à évaluer leur préparation à la sécurité.

Prétextage

Le prétextage implique la création de scénarios fictifs pour engager les victimes et les persuader d'agir selon l'intention malveillante des attaquants. Cette technique nécessite qu'un attaquant effectue des recherches approfondies sur la cible et procède à une usurpation d'identité aussi proche que possible. 

Le prétextage est unanimement considéré comme la première évolution de l'ingénierie sociale. Maintenant, il est utilisé pour tromper les gens afin qu'ils révèlent leurs informations personnellement identifiables ou les données confidentielles de l'entreprise.

Dans la première étape, les attaquants essaient d'établir la confiance avec la victime en se faisant passer pour la police, une banque ou des institutions similaires avec un droit présumé de savoir. Les prétexteurs peuvent dépouiller leurs cibles de leurs informations sensibles comme le numéro de compte bancaire, le numéro de sécurité sociale, les détails de la carte de crédit, et plusieurs autres données confidentielles.

L'ingénierie sociale inversée est un exemple typique de prétextage. Ici, les attaquants ne contactent pas la victime mais la manipulent pour qu'elle soit trompée en contactant l'attaquant. 

Par exemple, une affiche sur un tableau d'affichage informant du changement de numéro de téléphone du service informatique. Dans ce cas, les employés contacteront l'attaquant via des coordonnées illégitimes.

Certains ingénieurs sociaux utilisent des bots sociaux pour envoyer des demandes d'amis à grande échelle, puis emploient des techniques d'ingénierie sociale inversée. Une fois que les attaquants identifient leurs cibles potentielles, ils exploitent les données personnelles des victimes sur les réseaux sociaux pour établir la confiance et les tromper pour qu'elles divulguent des informations confidentielles ou sensibles.

Un exemple notable de prétextage est le scandale Hewlett et Packard. L'entreprise a engagé des enquêteurs privés pour trouver la source des fuites d'informations et leur a donné accès aux informations de leurs employés. Les enquêteurs ont ensuite appelé les compagnies de téléphone en se faisant passer pour des employés pour obtenir les relevés d'appels. 

Water holing

Le water holing ou (attaque du point d'eau) est une technique d'ingénierie sociale où les attaquants observent ou devinent des sites web spécifiques que les organisations utilisent quotidiennement. Une fois qu'ils ont réduit les sites web familiers aux employés, les attaquants les infectent avec un cheval de Troie ou ajoutent du code malveillant.

Par conséquent, certains employés du groupe cible deviennent des victimes. Lorsque l'attaquant veut des informations spécifiques des utilisateurs, il peut attaquer des adresses IP particulières.

Le saviez-vous ?

Le terme "water holing" a été dérivé de la technique de chasse des prédateurs dans le monde réel, qui attendent près des points d'eau pour attaquer leur proie.

Source : Wikipedia

La préparation d'une attaque de water holing commence par la recherche. Elle implique l'observation et l'investigation des sites web que les organisations utilisent. L'étape suivante consiste à scanner ces sites web pour détecter les vulnérabilités et les infecter avec des logiciels malveillants.

Les attaquants ont apparemment utilisé la technique du water holing pour accéder à des systèmes de haute sécurité. C'est parce que le piège est tendu dans un environnement que la victime fait confiance. Les gens peuvent réussir à éviter de cliquer sur un lien dans un e-mail non sollicité. Mais ils n'hésiteraient pas à suivre un lien sur des sites web qu'ils font confiance.

Un exemple notable d'une attaque de water holing est la campagne Holy Water ciblant les sociétés religieuses et caritatives asiatiques. Les attaquants ont trompé les victimes pour qu'elles mettent à jour leur Adobe Flash, ce qui a déclenché l'attaque.

Tailgating

Le tailgating est une technique d'ingénierie sociale où un auteur tente d'accéder à des lieux sécurisés en trompant certains employés pour qu'ils croient qu'ils sont autorisés à accéder à leur emplacement. Par exemple, pour accéder à votre bureau, un auteur pourrait vous demander de déverrouiller la porte d'entrée avec un jeton d'identité ou une étiquette RFID en vous trompant pour que vous croyiez qu'ils ont oublié leur étiquette à la maison.

Dans certains cas, ils pourraient porter une fausse carte d'identité et vous demander de leur donner accès car la machine biométrique n'accepte pas leur empreinte digitale en raison d'une panne technique.

Le tailgating profite généralement indûment de la courtoisie commune. 

En tant qu'acte serviable, un employé pourrait tenir la porte ouverte pour un attaquant (déguisé en un autre employé) et oublier de demander une preuve d'identité. Parfois, l'auteur pourrait présenter une fausse preuve d'identité conçue exactement comme la vraie, et une personne autorisée n'est pas attentive aux détails de la preuve.

Vous voulez en savoir plus sur Logiciel anti-spam pour e-mails ? Découvrez les produits Email anti-spam.

Catégories d'ingénieurs sociaux

Il existe une large gamme d'ingénieurs sociaux qui utilisent diverses techniques pour recueillir des informations sensibles. Nous pouvons les catégoriser en :

  • Les hackers black hat sont des personnes avec une intention malveillante prêtes à s'engager dans une activité illégale pour obtenir un accès non autorisé à vos actifs. Les hackers black hat utilisent des techniques d'ingénierie sociale car les humains sont plus faciles à pirater par rapport aux vulnérabilités du réseau ou du système.
  • Les testeurs de pénétration emploient plusieurs tactiques pour vérifier si les personnes dans une organisation sont susceptibles de divulguer des informations confidentielles et sensibles.
  • Les espions utilisent des méthodes d'ingénierie sociale pour recueillir secrètement des informations sur une organisation ou une institution. Leur objectif est principalement lié à fournir des avantages stratégiques ou financiers à l'organisation qui les a employés.
  • Les voleurs d'identité volent des informations personnellement identifiables (PII) telles que votre numéro de sécurité sociale, votre nom, votre adresse, votre adresse e-mail, etc. Ces informations, lorsqu'elles sont vendues sur le dark web, offrent un avantage financier.
  • Les courtiers en données sont des entreprises ou des agences qui recueillent des informations sur les consommateurs à des fins de revente. Il y a des cas où les courtiers en données sont involontairement trompés pour donner des informations sensibles à de mauvais acteurs, quelque chose qui s'est produit dans la violation de données ChoicePoint
  • Les employés mécontents ou ex-employés pourraient utiliser des techniques d'ingénierie sociale pour converger une menace interne sur une organisation. L'intention principale est d'obtenir une sorte de vengeance de l'organisation pour ne pas avoir répondu à leurs attentes, ou cela peut être pour échanger des informations inaccessibles en échange d'argent.
  • Les vendeurs qui vous contactent pour savoir quels systèmes ou technologies vous utilisez actuellement, afin qu'ils puissent offrir leur produit selon vos besoins. Il est possible qu'ils soient des ingénieurs sociaux prétendant être des vendeurs et essaient de recueillir des informations sensibles. 
  • Les gens en général utilisent des techniques d'ingénierie sociale plus souvent qu'ils ne le savent. Cela pourrait être un adolescent essayant d'accéder au compte social de son partenaire en répondant aux questions de sécurité. Il peut y avoir diverses autres instances de la vie courante d'ingénierie sociale.

Comment détecter les menaces d'ingénierie sociale

Les ingénieurs sociaux jouent sur le désir des gens d'obtenir de la satisfaction. Les escrocs se déguisent généralement en quelqu'un en qui vous auriez confiance ou essaient de gagner votre confiance en premier lieu. 

Vous devez être attentif et prudent lorsque quelqu'un que vous ne connaissez pas si bien essaie d'établir une confiance soudaine.

Vous pouvez détecter les menaces d'ingénierie sociale lorsque vous gardez un œil vigilant sur :

  • Un e-mail d'une source de confiance vous motivant à cliquer sur un lien non pertinent
  • Un collègue ou un ami demandant de l'aide de manière inattendue, induisant un sentiment d'urgence
  • Un e-mail d'entreprise d'un site web connu mais avec un nom de domaine inhabituel
  • Un e-mail de la direction ou d'un collègue vous demandant d'effectuer une tâche au plus tôt ou de révéler des informations spécifiques
  • Des demandes de dons de la part d'ONG populaires et de sites web caritatifs utilisant des noms de domaine irréguliers
  • Des messages affirmant que vous avez gagné une récompense très généreuse
  • Une demande de vérification (OTP, changement de mot de passe, etc.) de produits ou services que vous n'avez pas utilisés récemment
  • Une réponse à une question que vous n'avez jamais posée
  • Des messages créant de la méfiance entre collègues
  • Des personnes vous demandant de leur donner accès à un lieu 
  • Des messages affirmant que vous avez enfreint une loi
  • Des e-mails vous demandant de payer un montant en tant qu'amende pour une activité illégale que vous avez effectuée
  • Des tentatives de connexion répétées effectuées sur un appareil non reconnu
  • Des utilisateurs autorisés essayant d'accéder à des informations d'entreprise ou financières en dehors de leur champ d'action

Ce sont quelques-unes des actions qui pourraient converger en menaces d'ingénierie sociale, mais elles ne se limitent pas à ce qui précède. Une large gamme de menaces d'ingénierie sociale prévaut dans les entreprises, et la détection est la première étape pour les remédier.

Chaque fois que vous ressentez quelque chose de suspect, souvenez-vous de prendre le temps et de vous poser les questions suivantes :

  • Le message provient-il d'une source de confiance ?
  • Est-ce vraiment mon ami qui m'a envoyé le message ?
  • Mes émotions (peur, cupidité, excitation, curiosité) sont-elles exacerbées ?
  • Ce site web semble-t-il différent de l'habitude ?
  • Cette offre semble-t-elle trop belle pour être vraie ?
  • Ces pièces jointes ou liens semblent-ils suspects ?
  • Peuvent-ils prouver leur identité ?

Comment prévenir les attaques d'ingénierie sociale

Vous pouvez prévenir les attaques d'ingénierie sociale en adoptant des contre-mesures appropriées.

Sensibilisation et formation

Les attaques d'ingénierie sociale se produisent en raison d'un manque d'attention et de naïveté. Vous devez fournir une sensibilisation appropriée et régulière à vos employés pour les informer sur la nature des menaces. Paul Kubler, membre fondateur de CYBRI, dit : "Les humains doivent être formés - ils sont le maillon le plus faible."

« Les entreprises devraient employer une formation semestrielle adaptée à chaque groupe d'utilisateurs (utilisateurs finaux, personnel informatique, etc.) afin que tout le monde soit conscient des dernières attaques. »

Paul Kubler
Responsable de l'équipe rouge et membre fondateur de CYBRI, Source : Digital Guardian

Il devrait y avoir une formation appropriée pour vous protéger et répondre à différents types de techniques d'ingénierie sociale. Par exemple, dans le tailgating, si un attaquant se faisant passer pour un collègue vous demande de lui donner accès, vous devriez être formé pour refuser poliment sa demande et l'aider à entrer en contact avec le personnel de sécurité qui peut vérifier son identité. De même, vous pouvez fournir une formation pour tous les scénarios d'ingénierie sociale courants et en évolution.

Cadre unifié

Assurez-vous que votre organisation dispose d'un cadre standard pour la gestion des informations sensibles. Chaque employé doit savoir comment gérer les informations. 

Vous devez les tenir bien informés lors du partage d'informations et vous assurer qu'ils comprennent quels types d'informations ils peuvent communiquer en interne et en externe. Établir un cadre de sécurité de l'information standard pour la gestion des informations permet aux employés de se former sur quand, pourquoi, où et comment les informations sensibles doivent être gérées.

Protocoles, outils et politiques préventifs

Il est essentiel d'avoir le logiciel approprié pour résister aux attaques d'ingénierie sociale. Bien que la meilleure défense contre l'ingénierie sociale soit de rendre les esprits humains conscients et attentifs, les solutions logicielles comme les pare-feu et divers autres aident à couvrir les failles qui subsistent même après les programmes de formation.

Pierluigi Paganini, chercheur en sécurité pour l'InfoSec Institute, conseille de protéger les identités numériques des utilisateurs contre les attaques d'ingénierie sociale. Paganini dit : « Adoptez des systèmes de défense appropriés tels que des filtres anti-spam, des logiciels antivirus et un pare-feu, et gardez tous les systèmes à jour. »

Assurez-vous d'avoir le bon arsenal de solutions de sécurité, de protocoles standard et de politiques pour prévenir les attaques d'ingénierie sociale dans votre organisation.

Tests et examens

Lorsque vous avez mis en place tous les systèmes de défense préventive contre l'ingénierie sociale et d'autres cyberattaques, il est crucial de les tester et de les examiner régulièrement. Pour vous assurer que votre personnel résiste aux tentatives de persuasion, vous pouvez engager une agence externe pour mener une attaque d'ingénierie sociale contrôlée et trouver les failles dans votre configuration actuelle.

Pour les systèmes de sécurité, utilisez les tests de pénétration pour tester différentes manières dont un pirate peut exploiter une vulnérabilité dans vos actifs s'il réussit une fraude d'identité via une attaque d'ingénierie sociale. Remédiez à ces vulnérabilités et effectuez régulièrement des analyses de vulnérabilité pour identifier si de nouvelles faiblesses de sécurité émergent.

Élimination appropriée des déchets

Il est essentiel de garder les déchets électroniques ou papiers de votre organisation dans des bennes verrouillées jusqu'à ce qu'ils soient correctement éliminés par les autorités de gestion des déchets. Ces déchets peuvent inclure des disques durs usagés, des clés USB défectueuses ou des documents sensibles qui ne sont plus nécessaires.

Ces déchets peuvent ne pas vous être utiles. Cependant, les attaquants peuvent toujours les utiliser comme vecteur d'attaque ou pour accéder à des informations sensibles en rénovant les déchets électroniques éliminés ou en reconstruisant des documents papier déchirés.

Assurez-vous que vos bennes à déchets sont derrière des portes ou des clôtures verrouillées, ou sont visibles par les employés, afin que les gens remarquent si quelqu'un essaie de s'introduire. 

Entraînez votre esprit

Les attaques d'ingénierie sociale visent à tromper les gens pour qu'ils fassent quelque chose qu'ils ne feraient normalement pas. Vous devez être conscient de vous-même et entraîner votre esprit dans les domaines où vous agissez impulsivement ou anxieusement et rechercher les signes et les menaces d'attaques d'ingénierie sociale.

Même après avoir adopté des mesures préventives appropriées, si un attaquant passe à travers une faille de sécurité inconnue, voici un plan de réponse aux incidents qui vous aidera à rester réactif sans confusion.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Explorer d'autres articles G2

Meilleure application pour la gestion des relations avec les partenaires
Quel est le principal logiciel d'audit actuellement
Meilleur logiciel d'optimisation des prix pour une entreprise de taille moyenne
Meilleur logiciel de protection contre la fraude en ligne pour les startups