Le pretexting est une forme d'ingénierie sociale par laquelle un cyberattaquant utilise des leurres pour obtenir l'accès à des informations, à un système ou à un service. Le cyberattaquant présente à sa victime un faux scénario — ou prétexte — pour gagner sa confiance, par exemple en se faisant passer pour un investisseur expérimenté, un responsable RH, un spécialiste informatique ou toute autre personne légitime. Ces attaques ne se limitent pas à la sphère virtuelle. Elles peuvent être lancées par le biais d'autres formes de communication, y compris par une interaction physique.
Comment fonctionne le pretexting ?
Les cyberattaquants ont recours à différentes méthodes pour gagner la confiance de leurs victimes et les amener à divulguer des informations sensibles. Le pretexting joue sur les émotions de la personne ciblée en instillant un sentiment d'urgence, en lui proposant une offre trop alléchante pour être vraie ou en essayant de susciter sa sympathie pour l'arnaquer. Les techniques les plus couramment utilisées sont le baiting, le phishing, le piggybacking, le scareware, le tailgating et le vishing/SMiShing.
Techniques de pretexting
Phishing – Les attaques de phishing impliquent d'usurper l'identité d'une personne ou d'une entreprise par le biais d'un e-mail, dans le but de voler des informations. De nombreuses attaques de phishing s'appuient sur le pretexting. Par exemple, un cadre supérieur reçoit un e-mail dont le destinataire prétend appartenir à l'entreprise. Ce message contient une pièce jointe dissimulant un logiciel malveillant. Une fois la pièce jointe ouverte, le malware peut infecter le système tout entier.
Vishing/SMiShing – Le vishing, ou phishing vocal, incite une victime à divulguer des informations sensibles lors d'un appel téléphonique. Le SMiShing poursuit des objectifs similaires, mais en passant par des SMS. Les personnes âgées sont des cibles fréquentes des attaques de vishing, dans le cadre desquelles un prétendu employé de la sécurité sociale ou des impôts (par exemple) les contacte par téléphone pour leur demander des informations personnelles.
Baiting – Une tentative de baiting présente une belle promesse à une victime pour gagner sa confiance, dans le but de propager un logiciel malveillant ou de voler des informations confidentielles. Par exemple, le cyberattaquant peut faire croire à la personne qu'elle va recevoir une pièce jointe intéressante, qui contient en fait un logiciel malveillant. Cependant, ces attaques sont principalement transmises au moyen d'un support physique. Une façon courante de procéder est de laisser traîner une clé USB avec le logo de l'entreprise dans les locaux. Un employé, la pensant légitime, va la connecter à un ordinateur, ce qui entraîne le déploiement d'un logiciel malveillant dans le système.
Piggybacking – Le piggybacking est une technique utilisée pour accéder physiquement à un site en suivant une personne autorisée dans une zone contrôlée. Par exemple, le cyberattaquant va traîner dans le hall d'entrée d'un bâtiment en prétendant avoir perdu son badge d'accès et se faire inviter à entrer par une personne autorisée.
Scareware – Le scareware est une technique élaborée qui fait croire à une victime que son système est infecté par un virus ou présente un autre problème, et lui demande d'installer ce qui semble être un antivirus ou un autre dispositif de protection, alors qu'il s'agit en fait d'un logiciel malveillant.
Tailgating – À l'instar du piggybacking, le tailgating est une tentative d'accès à un site physique. Mais à la différence du piggybacking, la personne autorisée n'a pas réellement conscience de la présence du cyberattaquant, qui peut par exemple la suivre de près et entrer juste avant que la porte ne se referme complètement. La victime ne se rend à aucun moment compte qu'une personne non autorisée s'est servi d'elle pour accéder au bâtiment.
Exemples d'attaques de pretexting courantes
Il existe plusieurs types d'attaques de pretexting qu'il est essentiel de connaître pour éviter d'en être victimes.
Arnaques aux cryptomonnaies :
Cette arnaque est souvent observée sur les plateformes de réseau professionnel. Par exemple, un cyberattaquant, se faisant passer pour un expert en investissement, envoie un message contenant une proposition pour s'enrichir rapidement. Pour endormir la vigilance de ses victimes, il peut même créer un site web qui semble tout à fait légitime, avec de faux avis d'utilisateurs. Lorsqu'une victime ayant soi-disant investi réclame ses gains, le cyberattaquant invoque de faux motifs (taxes, frais supplémentaires, solde minimum non atteint, etc.) pour refuser de les lui reverser.
Arnaques à l'usurpation d'identité :
Pour gagner la confiance de sa victime, un cyberattaquant tente de se faire passer pour quelqu'un qu'elle connaît, par exemple un collègue ou une connaissance sur les réseaux sociaux. La victime reçoit un message du type « Bonjour, je travaille au support technique de votre entreprise. Nous avons besoin de vérifier les informations de votre compte ». Elle se sent ainsi en confiance, surtout si le cyberattaquant usurpe l'identité d'une personne légitime de l'entreprise, comme le PDG qui aurait une « demande urgente ».
Arnaques sentimentales :
Les arnaques sentimentales ressemblent aux escroqueries aux cryptomonnaies dans le sens où elles visent à convaincre quelqu'un d'effectuer des investissements en cryptomonnaies. Mais, au lieu de se faire passer pour un expert en investissement, le cyberattaquant gagne la confiance de sa victime en lui faisant croire qu'il éprouve des sentiments pour elle. Dans un deuxième temps, il lui parle d'une opportunité d'investissement à ne pas rater et l'encourage à envoyer de grosses sommes d'argent. Bien sûr, elle n'en retirera aucun gain.
Comment identifier et détecter une attaque de pretexting ?
Pour aider vos collaborateurs à identifier les demandes anormales, il est primordial de leur apprendre à détecter et à reconnaître les attaques de pretexting potentielles et leurs caractéristiques habituelles. Votre entreprise peut aussi mettre en place des règles pour les transactions financières et la validation des identifiants. Par exemple, vous pouvez décider que la vérification des informations personnelles ou confidentielles doit se faire en personne ou par chat vidéo, jamais par SMS ou par e-mail. Cette mesure peut prévenir les tentatives de pretexting qui usurpent l'identité de collaborateurs de l'entreprise.
Comment prévenir le pretexting ?
Les entreprises peuvent mettre en place différentes mesures pour empêcher leurs collaborateurs de tomber dans le piège d'une attaque de type pretexting.
Conseil 1. Encouragez vos collaborateurs à toujours faire preuve de vigilance et à signaler toute communication qui leur semble malveillante, même si, au final, elle s'avère légitime.
Si vous leur rappelez régulièrement de signaler les communications suspectes et que vous les encouragez à s'exprimer, vos collaborateurs resteront vigilants et seront en mesure de bloquer rapidement les attaques de type pretexting. Il est crucial que vos collaborateurs soient toujours conscients de la possibilité d'une attaque de phishing.
Conseil 2. Formez régulièrement vos collaborateurs à la détection des activités suspectes, telles que les domaines usurpés.
Encouragez vos collaborateurs à vérifier le domaine des liens sur lesquels ils s'apprêtent à cliquer ou des e-mails qu'ils reçoivent pour s'assurer que la communication provient bien du bon destinataire et ne les dirige pas vers un domaine usurpé. Recommandez-leur aussi d'examiner les URL pour s'assurer qu'elles sont légitimes, de ne jamais ouvrir de pièce jointe ni utiliser de clé USB provenant d'une source inconnue, et de toujours vérifier qu'un site web possède un certificat SSL (Secure Sockets Layer).
Conseil 3. Surveillez votre environnement afin d'identifier toute activité malveillante.
La solution de détection et de réponse à incident (EDR) CrowdStrike Falcon® Insight™ surveille en permanence les endpoints afin de capturer les événements bruts et d'assurer la détection automatique des activités malveillantes non identifiées par les méthodes de prévention. Grâce au Threat Hunting proactif, les entreprises peuvent bloquer les attaques avant qu'elles ne surviennent et protéger leurs informations sensibles.
Vous avez reçu un e-mail de phishing ? Voici comment le signaler :
Les utilisateurs ne peuvent pas empêcher les tentatives de phishing, mais ils peuvent s'en prémunir et protéger leur entreprise en faisant preuve d'une vigilance constante et en signalant les e-mails de phishing qu'ils reconnaissent. Soyez un « internaute modèle » et signalez les tentatives de phishing à l'adresse : phishing-report@us-cert.gov.