L’ingénierie sociale expliquée : techniques d’attaque et de prévention

Qu’est-ce que l’ingénierie sociale ?

La définition de l’ingénierie sociale est de vous pousser, par le biais de différentes techniques et stratégies, à partager vos informations personnelles, même si cela va totalement à l’encontre de vos intérêts. Pour vous convaincre de faire ce qu’il attend de vous, le pirate utilise vos sentiments et se sert de la confiance, du stress et de la cupidité dans le but de brouiller votre jugement.

Ces techniques d’ingénierie sociale ne comprennent pas toujours l’utilisation d’un malware. Elles se basent avant tout sur la psychologie de la victime. Il est important de les connaître, afin d’être en mesure de les mettre en évidence lorsqu’elles se présentent à vous et de tout faire pour les éviter.

Types d’attaques d’ingénierie sociale

Il existe de nombreuses techniques d’attaques d’ingénierie sociale, que les escrocs perfectionnent continuellement. Nous vous en présentons quelques-unes ci-dessous :

Hameçonnage

La technique du phishing, ou hameçonnage, consiste pour le cybercriminel à se faire passer pour quelqu’un d’autre à travers des messages directement adressés à une cible. Le pirate peut choisir de se faire passer pour tout type de personne ou d’organisation, dont votre banque, votre gouvernement, un service de livraison, une connaissance proche, ou toute autre entité à laquelle vous pourriez d’ordinaire accorder votre confiance.

L’objectif de ces pirates informatiques est de vous pousser à ouvrir le mail reçu et à télécharger une pièce jointe pouvant contenir des logiciels malveillants, ou encore à suivre des liens suspects. Les hackers utilisent cette technique pour vous amener à divulguer des informations sensibles vous concernant, telles que votre numéro de sécurité sociale, de carte bancaire, ou encore vos identifiants de connexion.

Le phishing peut prendre différentes formes et utiliser diverses méthodes, parmi les suivantes :

• Nom d’affichage falsifié. L’e-mail reçu vous semble parvenir d’une source fiable, mais il s’agit d’un nom falsifié, qui ne correspond pas au nom de domaine réel de l’organisation. Le nom d’affichage pourrait par exemple vous faire penser qu’il s’agit de Netflix, alors qu’en observant l’adresse e-mail de plus près, vous verrez qu’elle ne correspond en rien à l’adresse utilisée par le site.
• Liens intégrés. Dans d’autres cas, les pirates peuvent vous envoyer un e-mail dans lequel on vous demande de cliquer sur un lien, dans le but de vous reconnecter à votre compte. Cette URL vous mène en réalité vers un site Web frauduleux. Pour éviter de cliquer sur ce type de lien, vous pourrez vérifier la légitimité de l’adresse en survolant le lien avec votre souris.
• Téléchargement de pièces jointes. Des virus et des logiciels malveillants peuvent être dissimulés au travers de pièces jointes, qui vous semblent être des factures, des confirmations de commande, des invitations en tout genre, entre autres exemples. Il n’est pas conseillé d’ouvrir ces pièces jointes ou de répondre à l’émetteur si l’e-mail vous semble suspect. Vous pourrez répondre à la personne qui semble vous avoir envoyé cet e-mail en rédigeant un nouvel e-mail.

Harponnage (spear phishing)

Le harponnage, ou spear phishing, est un type d’hameçonnage qui demande davantage de travail au pirate informatique, mais qui bénéficie d’un taux de réussite plus élevé. Tandis que des e-mails de phishing (hameçonnage) sont souvent envoyés à des milliers de personnes, le harponnage cible certains individus ou des groupes restreints de personnes. Le hacker peut ainsi se faire passer pour une personne de votre environnement de travail par exemple, en partageant des informations précises vous concernant afin de rendre l’attaque plus crédible.

Pour mettre en place ce type d’attaque, les pirates doivent tout d’abord mener des recherches sur leurs victimes, afin de récupérer un certain nombre d’informations. Ils peuvent notamment mener leurs recherches sur les réseaux sociaux, qui abritent pratiquement toutes les données dont ils auront besoin. Ils y trouveront votre adresse e-mail, vos centres d’intérêt et les marques auxquelles vous accordez votre confiance, qui vous suivez, qui sont vos amis, etc. Ces informations permettront au pirate de trouver un prétexte réaliste pour l’envoi de l’e-mail.

Ils peuvent ainsi utiliser différentes tactiques, et se faire passer pour l’un de vos amis qui souhaite obtenir les coordonnées de votre compte Instagram. D’un point de vue professionnel, les pirates pourraient prétendre être votre supérieur, qui vous demande de réaliser un transfert de fonds immédiat pour la création d’un "nouveau projet”.

Bien que ces attaques puissent être difficiles à reconnaître, vous pourrez vous en protéger en suivant ces conseils :

• Vérifiez la source de l’e-mail.
• Demandez-vous si la demande mentionnée vous semble probable.
• Si cette demande semble suspecte, contactez directement l’émetteur du message par le biais d’un autre canal.

Hameçonnage vocal (vishing)

Le vishing, ou hameçonnage vocal, appartient lui aussi à la catégorie des attaques par phishing, sa particularité étant qu’il est exécuté par téléphone. Tout d’abord, les escrocs usurpent le numéro de téléphone d’une personne ou d’une entreprise en qui vous avez confiance. Ils peuvent ensuite vous contacter par des messages vocaux ou des messages textes, en masquant leur voix de manière à garder leur identité secrète. D’autres pirates se servent même de réelles personnes, travaillant dans des centres d’appel frauduleux, dans le but de rendre l’attaque encore plus convaincante.

Pour capter votre attention, les pirates utilisent un prétexte plausible, comme une activité suspecte sur votre compte bancaire, un problème lié à la régularisation de vos impôts, un concours que vous auriez gagné, etc. L’objectif reste le même : récupérer vos informations sensibles, qui pourront être utilisées pour d’autres attaques ou dans le but de voler votre identité.

Pour mettre en lumière une tentative d’hameçonnage vocal, vous devrez prendre en compte ces éléments :

• Avez-vous déjà entendu parler de cette entreprise ou avez-vous déjà profité de ses services ?
• L’offre propose-t-elle des gains irréalistes pour des concours auxquels vous n’avez jamais participé ? Ou de vous aider à combler des dettes que vous n’avez jamais contractées ?
• Votre interlocuteur utilise-t-il une forme de langage hostile ou pressante pour vous forcer à divulguer certaines informations personnelles ?

Hameçonnage par SMS (smishing)

Le smishing, ou hameçonnage par SMS, obéit aux mêmes principes que l’hameçonnage vocal, à la différence près qu’il est réalisé par SMS. Les deux techniques sont fréquemment associées pour maximiser la crédibilité de l’attaque. Par exemple, un SMS frauduleux censé provenir de votre banque vous propose d’appeler un numéro pour être mis en relation avec un conseiller ; en appelant celui-ci, vous vous retrouvez alors en lien avec un escroc prêt à soutirer vos informations.

Pretexting

Cette technique d’ingénierie sociale peut être comparée à l’hameçonnage, bien qu’il s’agisse d’une tactique différente. En effet, elle se sert d’un prétexte accrocheur et parfois excitant pour vous faire mordre à l’hameçon. Dans ce cas, ce prétexte se base sur vos relations et sur la confiance.

Ainsi, pour trouver un prétexte, le pirate doit réaliser de nombreuses recherches sur sa cible, beaucoup plus que pour les autres types d’ingénierie sociale. Il peut se faire passer pour l’un de vos amis ou collègues, il s’agira donc d’établir un scénario aussi proche de la réalité que possible. Les escrocs peuvent également endosser l’identité d’une nouvelle rencontre amoureuse afin de vous soutirer des informations sensibles : c’est le cas des arnaques aux sites de rencontre.

En plus de vous mentir, les hackers peuvent utiliser de fausses personnalités, des images de produits authentiques ou encore des termes propres à l’industrie dans laquelle vous travaillez. S’ils cherchent à vous piéger dans le cadre de votre travail, ils feront en sorte de peaufiner leur tentative de manière très précise et ne se contenteront pas d’une seule attaque. Généralement, leur objectif est d’obtenir des informations sur l’entreprise, auprès d’employés haut placés ou bénéficiant d’une certaine ancienneté.

Il peut être difficile de repérer ces escrocs, en raison des nombreuses recherches et des efforts qu’ils emploient pour créer un personnage et une histoire aussi vraisemblables que possible. Néanmoins, lorsque votre interlocuteur se montre trop amical et qu’il vous demande de partager certaines données que vous n’avez pas l’habitude de partager avec qui que ce soit, n’hésitez pas à lui poser quelques questions.

Catfishing

Le catfishing fait référence à la technique d’ingénierie sociale qui revient à créer un faux profil sur les réseaux sociaux en utilisant des photos, des vidéos, ainsi que les informations personnelles d’une autre personne. Ces fausses identités peuvent être utilisées dans le but de mettre en place une cyberintimidation, ou pour attirer l’attention des personnes ciblées, le plus souvent en prétextant le développement d’une relation amoureuse.

Dans un second temps, ces techniques ont généralement pour but de soutirer l’argent ou les données personnelles de la victime, qui peuvent par la suite être utilisées lors d’un autre type d’attaque ou dans le but de voler son identité.

Si vous avez développé une amitié en ligne avec une personne attentionnée qui vous paraît extrêmement agréable, mais que cette personne trouve toujours des excuses pour ne pas assister à vos demandes de rencontre ou refuse de partager des informations personnelles la concernant, c’est qu’il s’agit certainement d’une tentative de catfishing. En voici certains signes :

• Utilisation de votre pitié et demande de dons et d’argent ;
• Des explications étranges sur le fait que leur webcam ou leur téléphone ne fonctionne pas ;
• Des excuses pour ne pas vous rencontrer, et des annulations de dernière minute pour des motifs d’urgences personnelles ;
• Propositions de rencontre dans un lieu privé plutôt qu’en public.

Appâtage

Lors d’une attaque d’appâtage, ou baiting en anglais, le pirate se sert d’un appât pour vous persuader de réaliser une certaine action, lui permettant d’infecter votre ordinateur de logiciels malveillants dans le but de récupérer vos informations personnelles. Nombreux sont les ingénieurs sociaux qui utilisent des clés USB laissées dans des bureaux ou des parkings comme appât. Ces clés USB peuvent être recouvertes d’une mention intéressante, qui poussera votre curiosité à découvrir leur contenu. Une fois connectée à votre appareil, la clé USB en question répand le virus sur votre ordinateur, en très peu de temps.

Du fait que l’utilisation des clés USB ne soit aujourd’hui plus aussi importante qu’à une certaine époque, les pirates se servent maintenant principalement des sites Web P2P. Il s’agit de faux sites, conçus pour vous tromper. En pensant télécharger un film ou un nouveau logiciel, vous êtes en réalité en train de télécharger un virus. Lorsque la source n’est pas fiable, télécharger des fichiers comprend toujours des risques. Pour vous protéger des virus, vous devrez donc vérifier le type de fichier que vous souhaitez télécharger, et protéger votre appareil à l’aide d’un antivirus à jour.

Contrepartie

L’attaque de contrepartie (quid pro quo) survient lorsqu’un pirate vous propose un service, en échange de vos informations personnelles. Il peut s’agir d’un e-mail vous informant que vous êtes l’héritier d’une fortune, et que pour la recevoir, il vous suffit de renseigner vos coordonnées bancaires ou d’envoyer une certaine somme d’argent en contrepartie.

De nos jours, ces attaques prennent différents profils : les hackers peuvent par exemple se faire passer pour des spécialistes en assistance informatique, dans le but de vous aider à résoudre un problème. Une fois qu’ils obtiennent l’accès à votre ordinateur, ils peuvent y installer des logiciels malveillants ou voler certaines informations sensibles.

Talonnage

Cette attaque vise à accéder à une zone sécurisée ou à un bâtiment, en utilisant une porte laissée ouverte, en suivant une personne ou en utilisant une excuse justifiant l’oubli d’un badge ou d’une carte magnétique. Elle nécessite une surveillance accrue des entrées, ainsi que la mise en place de systèmes de sécurité complets pour identifier toute personne entrant dans un bâtiment sans y être autorisée.

Attaque de point d’eau

Autrement appelée Water-holing, l’attaque de point d’eau cible un groupe de personnes et les sites Web sur lesquels ils ont l’habitude de se rendre. Ces sites sont inspectés à la recherche d’une faille de sécurité permettant l’installation d’un virus. L’un des utilisateurs du groupe peut ensuite être infecté.

Comment éviter les attaques d’ingénierie sociale ?

1. 1.Découvrez en quoi consistent les différents types d’attaques d’ingénierie sociale. En sachant à quoi vous attendre, il vous sera plus facile d’éviter les pièges des pirates. Si vous dirigez une entreprise ou gérez une équipe, il est également essentiel de sensibiliser votre équipe à ces attaques. Des tests d’intrusion peuvent vous aider à détecter les vulnérabilités de votre réseau et à former vos employés.
2. 2.Restez vigilant. Vérifiez l’identité de la personne avec laquelle vous communiquez, particulièrement lorsqu’il s’agit d’un e-mail, d’un SMS ou d’un appel qui vous surprend. N’oubliez pas que tout ce qui semble trop beau pour être vrai l’est certainement.
3. 3.Gardez un œil sur les erreurs. Les entreprises ont tendance à vérifier au moins trois fois leur contenu avant de l’envoyer. Les pirates peuvent en revanche laisser de nombreuses fautes de grammaire et d’orthographe.
4. 4.N’ayez pas peur de poser des questions. Si vous pensez que quelqu’un essaye de vous arnaquer par téléphone, n’hésitez pas à remettre en question sa gentillesse ou son autorité. Relevez les réponses qui ne semblent pas faire sens avec le récit global.
5. 5.Limitez le nombre d’informations que vous partagez en ligne. Laisser des données personnelles facilement accessibles peut aider un pirate à recueillir certaines informations dans le but de les utiliser pour une attaque d’ingénierie sociale.
6. 6.Prenez soin de votre matériel. Veillez à installer les mises à jour de vos logiciels de manière régulière, investissez dans un antivirus de qualité, installez des filtres anti-spam et utilisez des extensions de navigateur permettant d’assurer votre sécurité.
7. 7.Utilisez un VPN. Une connexion VPN vous aide à masquer votre adresse IP et à chiffrer vos données, empêchant les potentiels pirates d’intercepter vos communications, en particulier sur les réseaux Wi-Fi publics. La fonctionnalité Protection Anti-menaces Pro, disponibles avec certains abonnements NordVPN, vous aidera également à éviter des conséquences désastreuses en bloquant votre accès aux sites web dangereux et en vous empêchant de télécharger accidentellement des logiciels malveillants.