Nombreux sont ceux qui s’estiment trop intelligents pour tomber dans les pièges des hackers. Pourtant, ceux-ci redoublent d’ingéniosité pour développer des techniques toujours plus poussées dans le but de voler vos données personnelles et de compromettre votre sécurité sur internet. Découvrez les différents types d’attaques d’ingénierie sociale et les meilleurs moyens de les éviter.
Contents
La définition de l’ingénierie sociale est de vous pousser, par le biais de différentes techniques et stratégies, à partager vos informations personnelles, même si cela va totalement à l’encontre de vos intérêts. Pour vous convaincre de faire ce qu’il attend de vous, le pirate utilise vos sentiments et se sert de la confiance, du stress et de la cupidité dans le but de brouiller votre jugement.
Ces techniques d’ingénierie sociale ne comprennent pas toujours l’utilisation d’un malware. Elles se basent avant tout sur la psychologie de la victime. Il est important de les connaître, afin d’être en mesure de les mettre en évidence lorsqu’elles se présentent à vous et de tout faire pour les éviter.
Il existe de nombreuses techniques d’attaques d’ingénierie sociale, que les escrocs perfectionnent continuellement. Nous vous en présentons quelques-unes ci-dessous :
La technique du phishing, ou hameçonnage, consiste pour le cybercriminel à se faire passer pour quelqu’un d’autre à travers des messages directement adressés à une cible. Le pirate peut choisir de se faire passer pour tout type de personne ou d’organisation, dont votre banque, votre gouvernement, un service de livraison, une connaissance proche, ou toute autre entité à laquelle vous pourriez d’ordinaire accorder votre confiance.
L’objectif de ces pirates informatiques est de vous pousser à ouvrir le mail reçu et à télécharger une pièce jointe pouvant contenir des logiciels malveillants, ou encore à suivre des liens suspects. Les hackers utilisent cette technique pour vous amener à divulguer des informations sensibles vous concernant, telles que votre numéro de sécurité sociale, de carte bancaire, ou encore vos identifiants de connexion.
Le phishing peut prendre différentes formes et utiliser diverses méthodes, parmi les suivantes :
Le harponnage, ou spear phishing, est un type d’hameçonnage qui demande davantage de travail au pirate informatique, mais qui bénéficie d’un taux de réussite plus élevé. Tandis que des e-mails de phishing (hameçonnage) sont souvent envoyés à des milliers de personnes, le harponnage cible certains individus ou des groupes restreints de personnes. Le hacker peut ainsi se faire passer pour une personne de votre environnement de travail par exemple, en partageant des informations précises vous concernant afin de rendre l’attaque plus crédible.
Pour mettre en place ce type d’attaque, les pirates doivent tout d’abord mener des recherches sur leurs victimes, afin de récupérer un certain nombre d’informations. Ils peuvent notamment mener leurs recherches sur les réseaux sociaux, qui abritent pratiquement toutes les données dont ils auront besoin. Ils y trouveront votre adresse e-mail, vos centres d’intérêt et les marques auxquelles vous accordez votre confiance, qui vous suivez, qui sont vos amis, etc. Ces informations permettront au pirate de trouver un prétexte réaliste pour l’envoi de l’e-mail.
Ils peuvent ainsi utiliser différentes tactiques, et se faire passer pour l’un de vos amis qui souhaite obtenir les coordonnées de votre compte Instagram. D’un point de vue professionnel, les pirates pourraient prétendre être votre supérieur, qui vous demande de réaliser un transfert de fonds immédiat pour la création d’un “nouveau projet”.
Bien que ces attaques puissent être difficiles à reconnaître, vous pourrez vous en protéger en suivant ces conseils :
Le vishing, ou hameçonnage vocal, appartient lui aussi à la catégorie des attaques par phishing, sa particularité étant qu’il est exécuté par téléphone. Tout d’abord, les escrocs usurpent le numéro de téléphone d’une personne ou d’une entreprise en qui vous avez confiance. Ils peuvent ensuite vous contacter par des messages vocaux ou des messages textes, en masquant leur voix de manière à garder leur identité secrète. D’autres pirates se servent même de réelles personnes, travaillant dans des centres d’appel frauduleux, dans le but de rendre l’attaque encore plus convaincante.
Pour capter votre attention, les pirates utilisent un prétexte plausible, comme une activité suspecte sur votre compte bancaire, un problème lié à la régularisation de vos impôts, un concours que vous auriez gagné, etc. L’objectif reste le même : récupérer vos informations sensibles, qui pourront être utilisées pour d’autres attaques ou dans le but de voler votre identité.
Pour mettre en lumière une tentative d’hameçonnage vocal, vous devrez prendre en compte ces éléments :
Le smishing, ou hameçonnage par SMS, obéit aux mêmes principes que l’hameçonnage vocal, à la différence près qu’il est réalisé par SMS. Les deux techniques sont fréquemment associées pour maximiser la crédibilité de l’attaque. Par exemple, un SMS frauduleux censé provenir de votre banque vous propose d’appeler un numéro pour être mis en relation avec un conseiller ; en appelant celui-ci, vous vous retrouvez alors en lien avec un escroc prêt à soutirer vos informations.
Cette technique d’ingénierie sociale peut être comparée à l’hameçonnage, bien qu’il s’agisse d’une tactique différente. En effet, elle se sert d’un prétexte accrocheur et parfois excitant pour vous faire mordre à l’hameçon. Dans ce cas, ce prétexte se base sur vos relations et sur la confiance.
Ainsi, pour trouver un prétexte, le pirate doit réaliser de nombreuses recherches sur sa cible, beaucoup plus que pour les autres types d’ingénierie sociale. Il peut se faire passer pour l’un de vos amis ou collègues, il s’agira donc d’établir un scénario aussi proche de la réalité que possible. Les escrocs peuvent également endosser l’identité d’une nouvelle rencontre amoureuse afin de vous soutirer des informations sensibles : c’est le cas des arnaques aux sites de rencontre.
En plus de vous mentir, les hackers peuvent utiliser de fausses personnalités, des images de produits authentiques ou encore des termes propres à l’industrie dans laquelle vous travaillez. S’ils cherchent à vous piéger dans le cadre de votre travail, ils feront en sorte de peaufiner leur tentative de manière très précise et ne se contenteront pas d’une seule attaque. Généralement, leur objectif est d’obtenir des informations sur l’entreprise, auprès d’employés haut placés ou bénéficiant d’une certaine ancienneté.
Il peut être difficile de repérer ces escrocs, en raison des nombreuses recherches et des efforts qu’ils emploient pour créer un personnage et une histoire aussi vraisemblables que possible. Néanmoins, lorsque votre interlocuteur se montre trop amical et qu’il vous demande de partager certaines données que vous n’avez pas l’habitude de partager avec qui que ce soit, n’hésitez pas à lui poser quelques questions.
Ne laissez pas les cybercriminels gagner. Protégez-vous avec un VPN.
Le catfishing fait référence à la technique d’ingénierie sociale qui revient à créer un faux profil sur les réseaux sociaux en utilisant des photos, des vidéos, ainsi que les informations personnelles d’une autre personne. Ces fausses identités peuvent être utilisées dans le but de mettre en place une cyberintimidation, ou pour attirer l’attention des personnes ciblées, le plus souvent en prétextant le développement d’une relation amoureuse.
Dans un second temps, ces techniques ont généralement pour but de soutirer l’argent ou les données personnelles de la victime, qui peuvent par la suite être utilisées lors d’un autre type d’attaque ou dans le but de voler son identité.
Si vous avez développé une amitié en ligne avec une personne attentionnée qui vous paraît extrêmement agréable, mais que cette personne trouve toujours des excuses pour ne pas assister à vos demandes de rencontre ou refuse de partager des informations personnelles la concernant, c’est qu’il s’agit certainement d’une tentative de catfishing. En voici certains signes :
Lors d’une attaque d’appâtage, ou baiting en anglais, le pirate se sert d’un appât pour vous persuader de réaliser une certaine action, lui permettant d’infecter votre ordinateur de logiciels malveillants dans le but de récupérer vos informations personnelles. Nombreux sont les ingénieurs sociaux qui utilisent des clés USB laissées dans des bureaux ou des parkings comme appât. Ces clés USB peuvent être recouvertes d’une mention intéressante, qui poussera votre curiosité à découvrir leur contenu. Une fois connectée à votre appareil, la clé USB en question répand le virus sur votre ordinateur, en très peu de temps.
Du fait que l’utilisation des clés USB ne soit aujourd’hui plus aussi importante qu’à une certaine époque, les pirates se servent maintenant principalement des sites Web P2P. Il s’agit de faux sites, conçus pour vous tromper. En pensant télécharger un film ou un nouveau logiciel, vous êtes en réalité en train de télécharger un virus. Lorsque la source n’est pas fiable, télécharger des fichiers comprend toujours des risques. Pour vous protéger des virus, vous devrez donc vérifier le type de fichier que vous souhaitez télécharger, et protéger votre appareil à l’aide d’un antivirus à jour.
L’attaque de contrepartie (quid pro quo) survient lorsqu’un pirate vous propose un service, en échange de vos informations personnelles. Il peut s’agir d’un e-mail vous informant que vous êtes l’héritier d’une fortune, et que pour la recevoir, il vous suffit de renseigner vos coordonnées bancaires ou d’envoyer une certaine somme d’argent en contrepartie.
De nos jours, ces attaques prennent différents profils : les hackers peuvent par exemple se faire passer pour des spécialistes en assistance informatique, dans le but de vous aider à résoudre un problème. Une fois qu’ils obtiennent l’accès à votre ordinateur, ils peuvent y installer des logiciels malveillants ou voler certaines informations sensibles.
Cette attaque vise à accéder à une zone sécurisée ou à un bâtiment, en utilisant une porte laissée ouverte, en suivant une personne ou en utilisant une excuse justifiant l’oubli d’un badge ou d’une carte magnétique. Elle nécessite une surveillance accrue des entrées, ainsi que la mise en place de systèmes de sécurité complets pour identifier toute personne entrant dans un bâtiment sans y être autorisée.
Autrement appelée Water-holing, l’attaque de point d’eau cible un groupe de personnes et les sites Web sur lesquels ils ont l’habitude de se rendre. Ces sites sont inspectés à la recherche d’une faille de sécurité permettant l’installation d’un virus. L’un des utilisateurs du groupe peut ensuite être infecté.
Évitez de tomber dans les pièges des hackers :
munissez-vous d’un VPN.
Comment éviter les attaques d’ingénierie sociale ?