Une attaque d'ingénierie sociale est une cyberattaque qui recourt à la manipulation psychologique pour pousser une personne à divulguer des données sensibles, partager des identifiants, accorder l'accès à un terminal personnel ou compromettre d'une quelconque manière la sécurité numérique.
Les attaques d'ingénierie sociale hypothèquent grandement la cybersécurité. Beaucoup ciblent d'abord un individu et profitent d'une erreur humaine pour se diffuser. En suscitant l'empathie, la peur et l'urgence chez la victime, les cyberadversaires parviennent souvent à accéder à des informations personnelles, voire à l'endpoint. Si le terminal est connecté à un réseau d'entreprise ou stocke des identifiants donnant accès à des comptes d'entreprise, les cyberadversaires peuvent également mener des cyberattaques au niveau de l'entreprise.
À l'heure où les cybercriminels redoublent d'imagination pour manipuler les personnes et les collaborateurs, les entreprises doivent garder une longueur d'avance. Cet article va se pencher sur les dix types d'attaques d'ingénierie sociale les plus courantes :
- Phishing
- Whaling
- Baiting
- Vol par diversion
- Piratage de la messagerie en entreprise
- SMiShing/phishing par SMS
- Quid pro quo
- Pretexting
- Arnaque sentimentale (honeytrap)
- Tailgating/Piggybacking
1. Phishing
Le phishing, ou hameçonnage, est une cyberattaque qui recourt au courrier électronique, au téléphone, aux SMS, aux réseaux sociaux ou à toute autre forme de communication personnelle pour inciter les utilisateurs à cliquer sur un lien malveillant, à télécharger des fichiers infectés ou à communiquer des informations personnelles, telles que des mots de passe ou des numéros de compte.
Si les attaques de phishing les plus connues impliquent généralement des assertions farfelues (membre d'une famille royale demandant les informations bancaires d'une personne, par exemple), les attaques de phishing modernes sont beaucoup plus sophistiquées. Dans de nombreux cas, les cybercriminels se font passer pour un commerçant, un fournisseur de services ou une administration publique afin d'obtenir des informations personnelles qui peuvent sembler anodines, telles qu'une adresse e-mail, un numéro de téléphone, la date de naissance de l'utilisateur ou le nom des membres de sa famille.
Le phishing est une des cyberattaques les plus courantes et sa prévalence augmente d'année en année. La pandémie a entraîné une augmentation spectaculaire des cyberattaques de toutes sortes, notamment des attaques de phishing. Pendant les périodes de confinement, les gens ont généralement passé plus de temps en ligne et éprouvé des émotions plus fortes, des conditions idéales pour une campagne de phishing efficace. Selon le FBI, le phishing a été la principale forme de cybercriminalité en 2020. Les cas de phishing ont pratiquement doublé par rapport à 2019.
2. Whaling
L'attaque de whaling est un type d'attaque de phishing qui exploite également les communications personnelles pour accéder au terminal ou aux informations personnelles d'un utilisateur.
La différence entre le phishing et le whaling réside dans le niveau de personnalisation. Alors que les attaques de phishing ne sont pas personnalisées et peuvent être reproduites pour des millions d'utilisateurs, les attaques de whaling ciblent une personne en particulier, généralement un cadre supérieur. Ce type d'attaque nécessite des recherches considérables sur la personne, généralement en examinant son activité sur les réseaux sociaux et ses autres comportements publics. Ces études approfondies permettent une approche plus sophistiquée et offrent plus de chances d'aboutir.
À la base, les attaques de whaling demandent plus de planification et d'efforts. Cependant, elles rapportent souvent très gros, car les cibles ont accès à des données très précieuses ou aux ressources financières nécessaires pour passer à une attaque de ransomware.
3. Baiting
L'attaque de baiting, ou appâtage, est un type d'attaque d'ingénierie sociale où les escrocs promettent monts et merveilles aux utilisateurs afin de les pousser à révéler des informations personnelles ou à installer des logiciels malveillants sur le système.
Les attaques de baiting peuvent prendre la forme de publicités ou de promotions en ligne alléchantes, comme le téléchargement gratuit de jeux ou de films, le streaming musical ou la mise à niveau d'un téléphone. Le cyberattaquant espère que pour solliciter l'offre, la cible utilisera le même mot de passe que sur d'autres sites. Il pourra ainsi accéder aux données de la victime ou vendre les informations à d'autres criminels sur le Dark Web.
L'attaque de baiting peut également se décliner sous une forme concrète, le plus souvent une clé USB infectée par un logiciel malveillant. Le cyberattaquant abandonne la clé USB infectée à l'endroit où la victime est le plus susceptible de la trouver. Celle-ci va alors être tentée d'insérer la clé USB dans son ordinateur pour savoir à qui elle appartient et le logiciel malveillant s'installera automatiquement.
4. Vol par diversion
Le vol par diversion est une cyberattaque qui trouve ses origines hors ligne : un voleur persuade un coursier d'enlever ou de déposer un colis au mauvais endroit, de livrer un colis incorrect ou de livrer un colis au mauvais destinataire.
Le vol par diversion a depuis sa variante en ligne. Le cyberattaquant vole des informations confidentielles en incitant l'utilisateur à les envoyer au mauvais destinataire.
Ce type d'attaque implique souvent l'usurpation d'identité. Les cybercriminels se font alors passer pour une source connue ou de confiance. Elle peut prendre de nombreuses formes : faux e-mails, adresses IP, DNS, GPS, sites web ou appels téléphoniques.
5. Piratage de la messagerie en entreprise
Le piratage de la messagerie en entreprise est une tactique d'ingénierie sociale où le cyberattaquant se fait passer pour un cadre digne de confiance, habilité à traiter les questions financières au sein de l'entreprise.
Dans ce scénario d'attaque, l'escroc surveille étroitement le comportement du cadre et recourt à l'usurpation d'identité pour créer un faux compte e-mail. Le cyberattaquant envoie ensuite à des subordonnés un e-mail demandant d'effectuer des virements, de modifier des coordonnées bancaires et d'effectuer d'autres opérations financières.
Le piratage de la messagerie en entreprise peut occasionner d'importantes pertes financières aux entreprises. Contrairement aux autres cyberescroqueries, ces attaques n'ont pas recours à des URL ou des logiciels malveillants neutralisables par des outils de cybersécurité, tels que les pare-feux ou les systèmes de détection et d'intervention sur les endpoints. Les attaques par piratage de la messagerie en entreprise exploitent les failles du comportement humain, souvent plus difficile à surveiller et à gérer, surtout dans les grandes entreprises.
6. SMiShing/phishing par SMS
Le SMiShing, ou phishing par SMS, est une attaque d'ingénierie sociale orchestrée spécifiquement par SMS. Dans cette cyberattaque, les escrocs tentent d'inciter l'utilisateur à cliquer sur un lien qui le redirige vers un site malveillant. Une fois sur le site, la victime est invitée à télécharger des logiciels et contenus malveillants.
Les attaques de SMiShing ont la cote auprès des cybercriminels, car nous passons de plus en plus de temps sur nos terminaux mobiles. Si les utilisateurs sont plus rompus à la détection du phishing par e-mail, beaucoup sont bien moins sensibilisés aux risques associés aux SMS.
L'attaque de SMiShing exige peu d'efforts de la part des cyberattaquants. Il suffit souvent d'acheter un numéro usurpé et de créer le lien malveillant.
7. Quid pro quo
Lors d'une attaque de type « quid pro quo », le cyberattaquant cherche à obtenir des informations sensibles de la victime en échange d'un service souhaité.
Pour mettre la main sur les identifiants de la victime, le cyberattaquant peut par exemple se faire passer pour un technicien d'assistance informatique et appeler un utilisateur pour régler un problème informatique banal, tel qu'un réseau lent ou l'application d'un correctif système. Une fois communiqués, les identifiants permettent d'accéder à d'autres données sensibles stockées sur le terminal et ses applications, ou ils sont vendus sur le Dark Web.
8. Pretexting
Le pretexting est une attaque d'ingénierie sociale consistant à échafauder des scénarios plausibles, ou prétextes, susceptibles de convaincre les victimes de partager des données précieuses et sensibles.
Les escrocs peuvent se faire passer pour une personne en position d'autorité, telle qu'un agent des forces de l'ordre ou un fonctionnaire du fisc, ou pour une personne intéressante, telle qu'un recruteur ou l'organisateur d'un concours. Après avoir expliqué le contexte, le cyberattaquant pose des questions à la victime pour obtenir des informations personnelles et sensibles, qu'il pourra ensuite exploiter dans d'autres scénarios d'attaque ou pour accéder à ses comptes personnels.
9. Arnaque sentimentale (honeytrap)
L'attaque honeytrap, ou arnaque sentimentale, est une technique d'ingénierie sociale qui cible spécifiquement les personnes à la recherche d'une relation sentimentale sur les sites de rencontre ou les réseaux sociaux. Le cybercriminel se lie d'amitié avec la victime en créant un personnage fictif et en établissant un faux profil en ligne. Avec le temps, le cybercriminel profite de cette relation et incite la victime à lui donner de l'argent, à lui communiquer des informations personnelles ou à installer un logiciel malveillant.
10. Tailgating/Piggybacking
Le tailgating, également appelé piggybacking, est une compromission physique par laquelle un cyberattaquant accède à une installation physique en demandant à la personne qui le précède de lui tenir la porte ou de lui accorder l'accès. Le cyberattaquant peut augmenter ses chances de réussite en se faisant passer pour un livreur ou en invoquant toute autre identité plausible. Une fois à l'intérieur du bâtiment, il peut explorer les lieux, voler des terminaux sans surveillance ou accéder à des fichiers confidentiels.
Le tailgating peut également consister à laisser une personne non autorisée emprunter l'ordinateur portable ou un autre terminal d'un collaborateur pour installer un logiciel malveillant.
Prévention des attaques d'ingénierie sociale
Il est impossible d'empêcher les attaques d'ingénierie sociale, mais les particuliers et les entreprises peuvent s'en prémunir en adoptant un comportement responsable. La sensibilisation, la formation et la vigilance sont essentielles en matière de sécurité.
Voici quelques points auxquels il faut être attentif dès qu'on reçoit tout type de message provenant d'une source inconnue, inhabituelle ou suspecte :
Utilisateurs particuliers
À faire | À ne pas faire |
---|---|
Vérifier la validité de la source. Vérifiez notamment que l'en-tête de l'e-mail correspond aux e-mails précédents du même expéditeur. Attention aux fautes d'orthographe et de grammaire, car c'est un indice courant d'escroquerie. | Cliquer sur un lien ou télécharger des fichiers provenant d'un expéditeur inconnu ou suspect. Survolez le lien (ne pas cliquer) avec le pointeur de la souris pour vérifier sa validité. |
Mettre régulièrement à jour le système d'exploitation et les applications et appliquer les correctifs afin de réduire le risque de vulnérabilités connues. | Partager ses informations personnelles, notamment ses numéros de compte, mots de passe ou données de carte de crédit. |
Rester vigilant lorsqu'on est contacté par des tiers. Gardez à l'esprit que les entreprises réputées ne demandent jamais aux utilisateurs de partager leurs identifiants ou mots de passe. Au début de toute conversation, un agent doit vérifier votre identité en posant une question de sécurité que vous avez choisie précédemment. | Répondre aux demandes urgentes. Les escrocs insistent souvent sur l'urgence de la situation pour pousser à l'action. Répondez toujours que vous avez besoin de temps pour obtenir les informations, puis vérifiez la demande par un autre moyen de contact. |
Installer un bloqueur de fenêtres pop-up et un filtre antispam. Vous pourrez ainsi détecter de nombreuses menaces et même empêcher les e-mails infectés d'aboutir. | Connecter un périphérique inconnu, USB ou autre, à votre ordinateur. Si vous trouvez une clé USB ou tout autre endpoint abandonnés, remettez-le à un professionnel de l'informatique ou à un membre de l'équipe de sécurité des informations. |
Investir dans un logiciel de cybersécurité. Il doit provenir d'un fournisseur de sécurité réputé et être mis à jour régulièrement. | Autoriser un autre utilisateur à accéder à votre terminal ou à vos comptes personnels. Les logiciels malveillants peuvent s'installer en quelques secondes. Ne partagez jamais vos terminaux avec d'autres utilisateurs et ne laissez pas des amis ou des collègues utiliser votre terminal sans surveillance. |
Accéder uniquement aux URL qui commencent par HTTPS. L'utilisation de liens en navigation sécurisée réduit la probabilité d'accéder à une page web malveillante ou usurpée. | |
Activer l'authentification multifacteur (MFA) pour éviter le risque de compromission de compte. | |
Se connecter via votre compte ou le site officiel. En accédant aux sites ainsi plutôt que par des liens intégrés ou des fenêtres pop-up, vous vous assurez de leur légitimité. | |
Utiliser un gestionnaire de mots de passe. Cet outil saisit automatiquement un mot de passe enregistré sur les sites valides, mais il ne reconnaît pas les sites usurpés. |
Utilisateurs en entreprise
- Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité. Vos collaborateurs doivent avoir de bonnes habitudes sur tous leurs terminaux : utiliser des mots de passe forts, se connecter uniquement à des réseaux Wi-Fi sécurisés, être toujours vigilants face aux tentatives de phishing, etc.
- Maintenez votre système d'exploitation et vos logiciels à jour et appliquez les correctifs. Vous réduirez ainsi l'exposition aux vulnérabilités connues.
- Utilisez des logiciels qui détectent et bloquent les menaces inconnues. La plateforme CrowdStrike Falcon® intègre un antivirus de nouvelle génération détectant à la fois les logiciels malveillants connus et encore inconnus grâce à l'intelligence artificielle et au Machine Learning. Falcon recherche des indicateurs d'attaque de manière à bloquer les ransomwares avant qu'ils ne puissent s'exécuter ou causer des dégâts.
- Surveillez en continu votre environnement afin d'identifier les activités malveillantes et les indicateurs d'attaque. La solution de détection et d'intervention sur les endpoints CrowdStrike® Falcon Insight™ surveille en permanence les endpoints. Elle capture les événements bruts à des fins de détection automatique des activités malveillantes non identifiées par les méthodes de prévention seules. Falcon Insight offre également une visibilité propice à des capacités proactives et avancées de Threat Hunting.
- Intégrez la cyberveille à votre stratégie de sécurité. Surveillez vos systèmes en temps réel et restez au courant des dernières informations sur les menaces pour détecter rapidement les attaques, déterminer comment y répondre au mieux et empêcher leur propagation. CrowdStrike Falcon® Intelligence automatise l'analyse des menaces et l'investigation des incidents, permettant ainsi d'examiner toutes les menaces et de déployer des contremesures de manière proactive, en seulement quelques minutes.