Qu’est-ce que l’ingénierie sociale et comment l’éviter ?
Bien que les appareils informatiques eux-mêmes soient techniquement capables d'être infaillibles, ils restent tous esclaves de l'interaction humaine, qu'il s'agisse du code sous leur système d'exploitation ou de la qualité de la programmation des logiciels qu'ils exécutent. De plus, les appareils informatiques dépendent des caprices d’un large éventail d’êtres humains ayant différents niveaux de connaissances et de sensibilisation en matière de sécurité. Il est donc inévitable que les choses tournent mal.
C'est leélément humain que les criminels cherchent à exploiterlors de l’utilisation de l’ingénierie sociale. Cette technique est au cœur de toute une série de stratagèmes criminels et consiste à tirer profit de la nature humaine à des fins personnelles, souvent sous forme monétaire. Même si personne ne peut se mettre à l’abri de l’ingénierie sociale, chacun peut s’armer de suffisamment de connaissances pour l’éviter autant que possible.
Dans cet article. Nous expliquons ce qu’est l’ingénierie sociale et comment elle est utilisée, et vous fournissons des conseils pour vous aider à ne pas devenir la prochaine victime.
Qu’est-ce que l’ingénierie sociale ?
Souvent appelée « piratage de l’humain », l’ingénierie sociale est une compétence. Expert en interactions humaines Jenny Radcliffe le définit comme :
L'ingénierie sociale est la manipulation d'une ou plusieurs personnes par des moyens psychologiques ou non techniques, afin d'accéder à des finances, à des données, à des informations ou même à un accès physique à des locaux ou des biens. Il s’agit d’un « people hack » car il utilise des êtres humains plutôt que la technologie comme base d’une attaque.
Un ingénieur social qualifié cible et exploite les faiblesses et les vulnérabilités humaines dans le but de contourner les contrôles et les procédures qui l'empêcheraient autrement d'extraire les informations recherchées.
En tant qu'expert en cybersécurité Joshua Crumbaugh souligne , l’ingénierie sociale n’est pas nouvelle et estce que les escrocs font depuis toujours. On vient de lui donner un autre nom.
L’ingénierie sociale cible souvent la personne dont l’attaquant tente de glaner les informations, mais elle peut également cibler celles qui ont accès à ces informations, comme les comptables ou les représentants du service client. Ces attaques peuvent avoir lieu via divers médias, notamment le téléphone, le courrier électronique, le courrier postal, les SMS et le chat en ligne.
Quels sont quelques exemples d’ingénierie sociale ?
De nombreuses escroqueries en ligne dont nous avons parlé dans le passé sont centrées sur l’ingénierie sociale, notamment attaques de phishing , fraude aux personnes âgées , les arnaques aux rencontres, et escroqueries fiscales . De nombreux projets visent à inciter les gens à remettre directement des informations financières, de l’argent ou des biens. Mais souvent, les escrocs ne recherchent qu’un petit ensemble d’informations apparemment inoffensives pour les utiliser dans une escroquerie plus large.
Voici quelques exemples de stratagèmes impliquant l’ingénierie sociale pour illustrer le type et la portée de ces attaques.
échange de carte SIM
Il s'agit d'une arnaque peu connue mais de plus en plus populaire dans laquelle les fraudeurs détournent des numéros de téléphone portable pour diverses raisons, notamment voler de l'argent ou de la cryptomonnaie ou même extorquer des victimes pour précieux identifiants Instagram .
Le nœud de l'arnaque implique les criminelstromper les représentants du service client des opérateurs de téléphonie mobileen transférant le compte de quelqu’un d’autre sur une carte SIM qu’ils (les pirates) possèdent déjà. Un attaquant peut commencer uniquement par un nom et un numéro de téléphone, puis utiliser l'ingénierie sociale pour découvrir des informations plus détaillées sur le titulaire du compte, telles que son code postal et les quatre derniers chiffres de sa carte de crédit.
Finalement, une fois que le pirate a découvert suffisamment d’informations (impliquant souvent plusieurs appels au service client ou chats en ligne), il peut convaincre un représentant d’accéder au compte et de transférer le numéro de téléphone vers une nouvelle carte SIM (en possession du pirate).
Le véritable propriétaire du numéro de téléphone est alors exclu de son compte (il perd le service téléphonique) et l’attaquant a accès et contrôle toutes les informations stockées sur le téléphone de la victime. Ils peuvent l'utiliser pour accéder à des comptes de réseaux sociaux, drainer des fonds via des applications bancaires mobiles, et bien plus encore. Le numéro de téléphone peut même être utilisé pour contourner les méthodes de vérification en deux étapes en place. Les attaquants travaillent rapidement pour obtenir ce qu’ils veulent, de sorte que les dégâts sont causés avant que les victimes ne réalisent ce qui s’est passé.
Schéma de phishing pour l'accès au compte
Bien que les systèmes de phishing soient nombreux et variés, il existe un type de système de phishing très populaire qui cible les clients des grandes entreprises. comme Netflix , Facebook et PayPal. La victime recevra un e-mail de phishing qui semble provenir de l'entreprise, concernant un sujet générique, comme la mise à jour des informations de paiement ou la suppression du compte.
Le destinataire serainvité à cliquer sur un lienqui les mènera au site Web de l'entreprise. Le problème est que le lien est un lien de phishing qui mène à un faux site Web (de phishing) conçu pour recueillir les informations de connexion des utilisateurs (noms d'utilisateur et mots de passe). Une fois que les criminels disposent de ces informations d'identification, ils peuvent accéder au compte. Selon la nature du compte, ils peuvent l'utiliser pour obtenir davantage d'informations personnelles, notamment les détails de la carte de crédit, effectuer des achats, contacter les amis et les membres de la famille de la victime, etc.

Ces escroqueries peuvent être très sophistiquées et les e-mails et les sites Web peuvent sembler légitimes si vous n’y prêtez pas attention. Cependant, il existe généralement des signes révélateurs tels qu’un nom de société mal orthographié dans l’e-mail de l’expéditeur ou dans l’URL du site Web, ainsi qu’une mauvaise orthographe et grammaire dans le contenu de l’e-mail et du site Web.
Arnaque au support technique
Dans une arnaque au support technique, le premier contact se fait souvent via un appel téléphonique. Alternativement, une fenêtre contextuelle sur l'ordinateur (dont il est difficile de se débarrasser) peut indiquer qu'il y a un problème informatique tel qu'un virus et fournir un numéro à appeler. Les fraudeurs se feront passer pour des techniciens représentant de grandes entreprises comme Microsoft etdemander à la victime d'autoriser l'accès à distanceà leur appareil.
Une fois qu’il y a accès, le fraudeur est libre de faire ce qu’il veut dans le système, y compris installer des logiciels malveillants ou accéder à des comptes. Il y a même eu des cas où l'escroc demandera à la victime d'accéder à son compte bancaire en ligne et d'effectuer une transaction « à titre de test » pour s'assurer que tout fonctionne.
Certains criminels vont même doubler cette arnaque et demander des informations de paiement afin de percevoir des frais pour « résoudre le problème ».
Fraude au PDG et chasse à la baleine
Les particuliers sont constamment victimes d’attaques de phishing, mais les entreprises offrent aux criminels la possibilité de toucher des sommes plus importantes. Un type de stratagème de phishing ciblant les entreprises est la fraude au PDG. Dans ce schéma,des e-mails de phishing sont envoyés aux employésdans le but d'obtenir plus d'informations sur l'entreprise, telles que l'emploi du temps quotidien des employés seniors et quels employés ont accès aux fonds de l'entreprise.
Une fois qu'ils ont rassemblé suffisamment d'informations, le criminel peut envoyer un e-mail à certains employés qui sont trompés en leur faisant croire que l'expéditeur est un cadre supérieur, un cadre ou même un PDG de l'entreprise. Ils peuvent demander aux employés d'effectuer une demande urgente, par exemple, initier un virement bancaire vers un compte externe.
Les e-mails cibleront souvent le service financier de l’entreprise ou tout personnel autorisé à accéder aux fonds de l’entreprise et à les transférer. Coût de la fraude au PDG Réseaux Ubiquiti plus de 40 millions de dollars alors qu’il était la cible d’un programme en 2015.
Arnaque aux grands-parents
Cette horrible arnaque est de plus en plus connue, malheureusement à mesure que de plus en plus de cas sont signalés. Les fraudeurs profitent de la confiance et de la vulnérabilité des personnes âgées lorsqu’elles se font passer pour leurs petits-enfants et demandent de l’aide. Ils prétendront avoir des difficultés financières etdemander l'envoi de fonds ou des informations bancaires.
Ce stratagème se déroule généralement par téléphone, le fraudeur doit donc imiter la voix du petit-enfant. On pourrait penser que ce serait très difficile, mais fonctionne toujours dans de nombreux cas . L’escroc connaîtra au moins le nom du petit-enfant, mais pourra connaître des informations plus détaillées (souvent glanées sur les réseaux sociaux) qui l’aideront à convaincre sa victime.
Ce ne sont là que quelques exemples, et il existe de nombreuses voies qu’un ingénieur social cherchera à exploiter pour tenter de voler des informations ou d’accéder à quelque chose ou à un endroit qu’il ne devrait pas.
Pourquoi l’ingénierie sociale fonctionne-t-elle ?
L’ingénierie sociale est avant tout une question de psychologie. Ces criminels comprendre le psychisme humain . Ils savent comment les gens réagissent généralement dans certaines situations et peuvent donc adapter leur approche pour manipuler les réponses.
En créant la peur, par exemple, en disant quelque chose comme « votre compte a été compromis – veuillez vous connecter via ce lien et changer votre mot de passe maintenant », le criminel avisé lance un appel à l’action très convaincant dont beaucoup trop de gens sont susceptibles d’écouter. En effet, dans le récent article de Proofpoint « Le facteur humain Selon une étude, 11 % des liens malveillants ont été cliqués dans la minute suivant leur livraison.
Un ingénieur social s'appuiera souvent sur d'autres tactiques telles que les suivantes (avec des exemples) :
- Curiosité: Une image amusante qu'il suffit de regarder
- Urgence: Un ami est bloqué dans un pays étranger et a besoin de votre aide urgente pour rentrer chez lui.
- Empathie: Un e-mail d'une association caritative pour les enfants malades, accompagné d'un lien pratique vous permettant d'envoyer votre argent directement au criminel
- conformité: Un patron a envoyé une demande et c’est ancré en vous de vous y conformer immédiatement
Dans d’autres cas, il n’y a pas de véritables signes révélateurs et l’ingénieur est tout simplement très astucieux dans la façon dont les choses sont formulées. Par exemple, « faire l'idiot » avec un représentant du service client pourrait signifier qu'il vous laisse une petite marge de manœuvre et vous aide avec des invites pour vérifier un compte.
Bien entendu, tout le monde ne réagira pas de la même manière et de nombreuses tentatives d’accès à l’information échoueront. Maisc'est dans la nature humaine de vouloir faire confiance aux gens et les aider, et pour éviter les conflits. Si l’agresseur essaie suffisamment de fois, il finira par atteindre la bonne cible. Par exemple, si un criminel tente d'obtenir des informations auprès d'un représentant du service client, si une personne ne lui est pas utile, tout ce que l'ingénieur a à faire est d'interrompre la conversation et d'essayer quelqu'un d'autre.
Pourquoi l’ingénierie sociale est-elle si répandue ?
L’ingénierie sociale n’est pas un concept nouveau, mais les opportunités offertes aux criminels sont sans doute plus répandues que jamais. Voici quelques-unes des raisons pour lesquelles l’ingénierie sociale est une tactique si attrayante :
Connaissances technologiques minimales requises
Oui, les ingénieurs sociaux ont besoin de connaissances en psychologie humaine pour réussir. Mais pirater un être humain est souvent bien plus facile que pirater un ordinateur. Si certaines attaques sont à grande échelle et minutieusement planifiées, beaucoup sont rudimentaires et impliquent d’appeler ou d’envoyer des messages à une longue liste de cibles. Cette forme d'attaque est souvent une solution privilégiée pourdes criminels ayant des connaissances technologiques limitéescar très peu d’éducation ou de savoir-faire est nécessaire pour développer et exécuter une attaque.
Numérisation et accessibilité des informations privées
De nos jours, tout, des dossiers de photos aux comptes bancaires en passant par les dossiers médicaux, est accessible via des sites Web et des applications. Même si cela permet aux utilisateurs d'accéder facilement à leurs comptes, de consulter leurs informations et d'effectuer les modifications nécessaires, cela permet aux criminels de faire de même plus facilement.
Il suffit de quelques petits détails pour que quelqu’un ait potentiellement accès à une multitude d’informations vous concernant. Non seulement cela, mais le contrôle que nous avons à portée de main signifie qu’il est simple pour quelqu’un de modifier vos informations et de vous bloquer l’accès à vos comptes.
Information publique
L’ère des médias sociaux a créé un environnement dans lequel une tonne d’informations peuvent être glanées sur un individu ou une entreprise simplement en effectuant une petite recherche en ligne. Les profils sur des sites comme Facebook, Twitter et Instagram peuvent fournir aux criminels de nombreuses informations sur l'endroit où vit, les vacances, les restaurants, les magasins, les banques et bien plus encore.

Pour les attaques à grande échelle contre des entreprises, les criminels peuvent se tourner vers les sites Web et les plateformes d'entreprises comme LinkedIn pourrechercher les rôles et les antécédents des employésavant d'exécuter leur plan. Ils peuvent même consulter des éléments tels que publier des commentaires pour en savoir plus sur le jargon de l'entreprise et les relations que les employés entretiennent entre eux.
Les criminels peuvent également utiliser les faits rapportés dans l’actualité à leur avantage. Par exemple, citer une fusion d’entreprises récemment annoncée comme raison d’un e-mail demandant un changement de mot de passe pourrait aider à persuader le lecteur de s’y conformer.
Comment éviter d’être victime d’ingénierie sociale ?
Bien que les programmes d’ingénierie sociale soient nombreux et variés, vous pouvez prendre certaines précautions pour atténuer les risques. Voici nos meilleurs conseils pour éviter de devenir la prochaine victime d’un ingénieur social.
1. Faites preuve de bon sens
Nous ne sommes que des êtres humains et nous sommes voués à commettre des erreurs, mais faire preuve de bon sens et garder son sang-froid est la meilleure chose que vous puissiez faire pour vous assurer de ne pas devenir victime d’ingénierie sociale.Ne partagez jamais vos données personnelles ou financièresavec quelqu'un. Cela inclut les noms d’utilisateur, les mots de passe, les numéros PIN et toute autre donnée révélant quoi que ce soit sur vous qui pourrait être utile à un criminel.
Les ingénieurs sociaux tentent souvent les gens avec des offres trop intéressantes pour les laisser passer. Lorsque vous envisagez une opportunité, prenez le temps de réfléchir à son réalisme. Gardez à l’esprit le vieil adage : « Si cela semble trop beau pour être vrai, c’est probablement le cas. »
2. Vérifiez à qui vous parlez
Les fraudeurs ajouteront souvent un sentiment d’urgence aux demandes, alors soyez à l’affût de ce type de situations. Ralentissez et prenez le temps de vérifier certains faits concernant la demande. Si quelqu'un vous rend visite en personne (à la maison ou au bureau), demandez une carte d'identité et fixez un autre moment pour vous rencontrer.
S’il s’agit d’un appel téléphonique, demandez le nom de la personne et un numéro de rappel que vous pourrez ensuite vérifier. Les fraudeurs se font souvent passer pour des personnes que vous connaissez, comme des membres de votre famille ou des collègues, afin que vous puissiez leur poser des questions pour vérifier leur identité.
Lorsque vous êtes contacté par téléphone, e-mail ou SMS,rechercher l'entreprise en ligne(par exemple, via une recherche Google) pour trouver les coordonnées officielles et vérifier l'appelant ou l'expéditeur.
3. N'ouvrez pas les e-mails provenant d'expéditeurs inconnus
N'ouvrez jamais de liens ou de pièces jointes dans des e-mails provenant d'expéditeurs inconnus. Traitez tout e-mail non sollicité avec suspicion, même si vous reconnaissez l'expéditeur : de nombreux e-mails de phishing sont envoyés via des comptes légitimes qui ont été piratés. Une telle communication est souvent utilisée pour diffuser des logiciels malveillants ou du phishing visant à obtenir des informations personnelles.
Les courriels malveillants incluent souventliens vers des sites de phishing, qui sont de fausses versions de sites Web légitimes conçues pour voler des informations telles que vos identifiants de connexion (nom d'utilisateur et mot de passe) pour des comptes spécifiques.
4. Sécurisez votre ordinateur
Même si l’ingénierie sociale repose sur l’interaction humaine, la sécurisation de votre ordinateur et de vos applications peut s’avérer utile. Par exemple,les filtres anti-spam sont de plus en plus efficacespour identifier les faux e-mails et les empêcher d'atteindre votre boîte de réception.
Les logiciels de sécurité, tels que les programmes antivirus et les suites complètes de sécurité Internet, incluent souvent des outils capables d'identifier ou de bloquer les e-mails de phishing, ainsi que de protéger les systèmes contre la menace plus directe posée par les logiciels malveillants.
5. Utilisez la vérification en deux étapes ou l'authentification à deux facteurs
Si quelqu'un apprend les identifiants de votre compte ou les déduit via un Force brute ou une attaque similaire, la mise en place d’une étape de vérification supplémentaire peut grandement aider. De nombreuses plateformes proposent une vérification en deux étapes (2SV) où une étape secondaire (souvent la saisie d'un code reçu par SMS ou e-mail) est requise après avoir saisi vos identifiants de connexion habituels. Il existe également des applications tierces que vous pouvez utiliser pour configurer 2SV, telles que Google Authenticator et Authy.
Notez que 2SV est parfois appelé 2FA (authentification à deux facteurs), bien que 2FA fasse techniquement référence à un processus où la deuxième étape implique un type d'authentification différent, tel que la biométrie (par exemple, une empreinte digitale), une carte d'accès ou un porte-clés. .
Même si vous pouvez être intelligent lorsqu'il s'agit de divulguer des informations, il y ail y a encore une chance que tu deviennes une victimeaux attaques. Les violations de données se produisent tout le temps, même dans les entreprises que vous pensez sécurisées, comme les institutions financières et les plateformes de réseaux sociaux. Dans ces cas-là, des listes de combinaisons de noms d’utilisateur et de mots de passe finissent souvent par circuler dans les cercles cybercriminels.
De plus, même si vous protégez vos informations, vous ne pouvez pas toujours faire confiance aux représentants de l’entreprise pour éviter l’ingénierie sociale. Comme dans le cas d’un échange de carte SIM plus tôt, vous pourriez vous retrouver victime des lèvres lâches de quelqu’un d’autre.
6. Former les employés à reconnaître les attaques
Si vous êtes propriétaire d’une entreprise ou si vous avez une certaine influence sur les politiques de sécurité de votre entreprise, vous souhaiterez peut-être envisager de former vos employés à l’ingénierie sociale. De nombreuses entreprises proposentprogrammes spécialement conçus pour aider à lutter contre ces attaqueset viendra même effectuer des tests d'intrusion pour voir comment les employés réagissent face aux risques de sécurité.
Outre la formation, les politiques générales pourraient également nécessiter des réformes afin de garantir la sécurité, par exemple dans la manière dont les demandes urgentes sont traitées.