Parmi les exemples d’ingénierie sociale, on note : les attaques par hameçonnage, où les victimes se font duper pour se faire soutirer de l’information confidentielle; l’hameçonnage vocal, où un message téléphonique d’apparence officielle évoque l’urgence pour convaincre les victimes d’agir promptement sous peine de conséquences sérieuses; le talonnage physique, où le fraudeur suit la personne de près et profite de sa confiance pour entrer dans un édifice.

Voici les neuf exemples les plus courants d’ingénierie sociale :

1. Hameçonnage : courriels, sites web ou textos trompeurs pour voler de l’information.

2. Harponnage (fraude du PDG) : courriels ciblés visant des personnes ou des entreprises.

3. Appâtage : attaque d’ingénierie sociale, en ligne et physique, qui promet à la victime une récompense ou un cadeau.

4. Maliciel : attaque qui fait croire qu’un maliciel a été installé sur l’ordinateur de la victime en lui offrant de payer pour le faire supprimer.

5. Faux-semblant : fausse identité pour tromper les victimes et soutirer de l’information.

6. Quiproquo : attaque utilisant un échange d’information ou de service pour convaincre la victime d’agir.

7. Talonnage : s’appuyant sur la confiance humaine pour donner au criminel l’accès physique à un édifice ou une zone sécurisée.

8. Hameçonnage vocal : message téléphonique qui semble urgent pour convaincre les victimes d’agir prestement pour éviter une arrestation ou d’autres risques.

9. Attaque par point d’eau : attaque d’ingénierie sociale sophistiquée qui infecte, par un logiciel malveillant, à la fois un site web et les internautes qui le visitent.

Le lien unissant ces techniques d’ingénierie sociale est le facteur humain. Les cybercriminels savent bien que d’exploiter les émotions humaines est la meilleure façon de frauder.

Jusqu’ici, les entreprises ont surtout exploré les aspects techniques de la cybersécurité. Mais il est grand temps d’appliquer une approche de sensibilisation en cybersécurité centrée sur les personnes.

Comment se manifeste l’ingénierie sociale?

L’ingénierie sociale fonctionne parce que d’instinct, l’humain fait confiance. Les cybercriminels ont appris qu’un courriel, un message vocal ou un texto bien rédigé est capable de convaincre les gens de transférer de l’argent, de divulguer de l’information confidentielle ou de télécharger un fichier qui installera un maliciel sur le réseau de l’entreprise.

Lisez cet exemple éloquent du harponnage d’un employé qui s’est soldé par un transfert de 500 000 $ à un investisseur étranger :

1. Avec une recherche minutieuse pour préparer son harponnage, le cybercriminel sait que la PDG de l’entreprise est en voyage.

2. Un courriel envoyé à un employé de l’entreprise semble provenir de la PDG. Il y a une légère différence dans l’adresse courriel, mais le nom de la PDG est épelé correctement.

3. Le courriel demande à l’employé d’aider la PDG en transférant 500 000 $ à un nouvel investisseur à l’étranger. Le courriel utilise un langage urgent, mais amical, qui convainc l’employé qu’il aidera la PDG et l’entreprise.

4. Le courriel mentionne que la PDG ferait ce transfert elle-même, mais puisqu’elle est en voyage, il lui est impossible de transférer les fonds à temps pour conclure ce partenariat d’investissement à l’étranger.

5. Sans vérifier les détails, l’employé décide d’agir. Il croit sincèrement qu’il aide la PDG, l’entreprise et ses collègues en répondant à la demande du courriel.

6. Quelques jours plus tard, l’employé victime de la fraude, la PDG et les collègues réalisent qu’ils ont subi une attaque d’ingénierie sociale et qu’ils perdent 500 000 $.

Exemples d’attaques d’ingénierie sociale

Les cybercriminels avisés savent que l’ingénierie sociale fonctionne le mieux lorsqu’elle joue sur l’émotion humaine et le risque. Exploiter une émotion humaine est beaucoup plus facile que de pirater un réseau ou de chercher les vulnérabilités de la sécurité.

Ces exemples d’ingénierie sociale illustrent comment l’émotion est utilisée pour réussir des cyberattaques :

La peur

Un message vocal vous dit que vous êtes sous enquête pour fraude fiscale et que vous devez appeler immédiatement pour éviter une arrestation et une enquête criminelle. Cette attaque d’ingénierie sociale survient en période de déclaration de revenus, où les gens sont déjà stressés au sujet de leurs impôts. Les cybercriminels misent sur le stress et l’anxiété générés par la déclaration de revenus et utilisent ces sentiments de crainte pour inciter les gens à suivre les directives du message vocal.

L’ambition

Imaginez la possibilité de transférer 10 $ à un investisseur et voir ce montant se transformer en 10 000 $ sans aucun effort de votre part? Les cybercriminels profitent de la confiance et de l’ambition humaines pour convaincre leurs victimes qu’elles peuvent obtenir beaucoup en échange de peu. Un courriel d’arnaque bien rédigé demande aux victimes les informations de leur compte bancaire pour que les fonds soient transférés le jour même.

La curiosité

Les cybercriminels surveillent les événements très médiatisés pour profiter de la curiosité humaine en tendant des pièges d’ingénierie sociale incitant à l’action. Après le deuxième écrasement d’un Boeing MAX8, les cyberfraudeurs ont envoyé des courriels avec des fichiers joints contenant prétendument des fuites d’information au sujet de l’écrasement. En fait, le fichier joint installait une version du virus Hworm RAT dans l’ordinateur des victimes.

La bienveillance

Les humains sont enclins à se faire confiance et à s’aider mutuellement. Après une recherche sur une entreprise, les cybercriminels ciblent deux ou trois employés avec un courriel semblant provenir de leur gestionnaire. Le courriel leur demande d’envoyer à leur gestionnaire le mot de passe de la base de données comptable, prétextant que le gestionnaire en a besoin pour que la paie soit faite à temps. Le ton du courriel est urgent et sous-entend qu’ils aideront leur gestionnaire en agissant rapidement.

L’urgence

Vous recevez un courriel du soutien à la clientèle du site web de magasinage où vous achetez fréquemment. Vous devez confirmer l’information de votre carte de crédit pour protéger votre compte. Le langage utilisé dans le courriel vous presse de répondre sans délai pour éviter que l’information de votre carte de crédit soit volée par des criminels. Sans y penser deux fois, et parce que vous avez confiance en ce commerce en ligne, vous envoyez non seulement l’information de votre carte de crédit, mais également votre adresse courriel et numéro de téléphone. Quelques jours plus tard, votre compagnie de carte de crédit vous appelle pour vous dire que votre carte a été volée et qu’elle a servi pour des achats frauduleux de plusieurs milliers de dollars.

Téléchargez le Guide de la sensibilisation à la sécurité centrée sur les personnes (en anglais seulement) pour comprendre la façon d’instaurer une culture de sécurité dans votre entreprise et la protéger des attaques d’ingénierie sociale.

 


Livre Blanc – Comment protéger vos données contre l’ingénierie sociale

Apprenez à détecter les tactiques et les menaces courantes d’ingénierie sociale (social engineering) et à protéger les données confidentielles contre les cybercriminels.

Comment se protéger des attaques d’ingénierie sociale

« Les personnes nuisent à la sécurité plus que la technologie, les politiques ou les processus. Le marché de la formation en sensibilisation en sécurité assistée par ordinateur se fonde sur le fait reconnu que, sans un système parfait de protection de la cybersécurité, les gens jouent un rôle déterminant dans la sécurité d’une entreprise et les risques qui y sont associés. Ce rôle se définit par des forces et des faiblesses inhérentes : l’habileté des gens à apprendre et leur vulnérabilité à l’erreur, à l’exploitation et à la manipulation. L’éducation et la formation en sécurité axées sur l’utilisateur final constituent un marché en croissance rapide. La demande est alimentée par les besoins des leaders en sécurité et en gestion du risque pour aider à influencer les comportements affectant la sécurité des employés, des citoyens et des consommateurs. »
(Gartner Magic Quadrant for Security Awareness Computer-Based Training, Joanna Huisman, 18 juillet 2019)

Se protéger contre les attaques d’ingénierie sociale exige de changer les comportements. Lorsque les employés d’une entreprise comprennent combien il est facile de se faire berner et arnaquer par une attaque d’ingénierie sociale, ils deviennent plus vigilants et se méfient des courriels, messages vocaux, textos ou autres tactiques de cyberattaques.

Changer le comportement humain n’a rien de facile ou d’instantané. Par expérience, nous savons que la meilleure façon d’instaurer une culture de sensibilisation en cybersécurité et de créer des cyberhéros à l’interne est d’offrir une formation en sensibilisation à la cybersécurité centrée sur les personnes.

Protéger efficacement votre entreprise contre l’ingénierie sociale exige une attention sur cinq facteurs axés sur les personnes, qui sont la base du succès de la sensibilisation à la sécurité :

  1. Contenu de grande qualité : suscitez l’engagement des utilisateurs avec un programme de formation ayant une résonnance, et capable de changer les comportements.
  2. Campagnes personnalisées : offrez un contenu auquel les employés s’associent et qu’ils peuvent appliquer au quotidien
  3. Partenaire collaboratif : collaborez avec un partenaire utilisant une approche consultative pour comprendre vos besoins spécifiques, afin de livrer un programme de sensibilisation à la sécurité conçu spécifiquement pour votre organisation.
  4. Démarche de sensibilisation à la sécurité en 5 étapes : un programme de formation et de sensibilisation s’appuyant sur une approche méthodologique éprouvée envers l’apprentissage et le changement des comportements.
  5. Sensibilisation à la sécurité comme service : offrant flexibilité et soutien pour, efficacement, déployer, mesurer et rapporter les résultats de simulations d’hameçonnage, de formations en sensibilisation et sur la visibilité des campagnes

Comment demeurer à l’abri de l’ingénierie sociale

Pour se protéger en continu contre les attaques d’ingénierie sociale, il est important de reconnaître le pouvoir de l’ego. Nous aimons tous croire que ne pourrions jamais nous laisser berner par un courriel d’hameçonnage ou une autre attaque d’ingénierie sociale. Pourtant, il est bien connu que les cybercriminels jouent sur les émotions et la nature humaines pour duper subtilement et pousser à agir.

C’est seulement en tombant dans un piège d’hameçonnage ou d’une autre approche d’ingénierie sociale que les gens comprennent comment elle fonctionne. Avec une formation en sensibilisation à la sécurité centrée sur les personnes qui utilise les simulations d’hameçonnage, offrant un contenu engageant et pertinent qui tient compte de la nature humaine, vous pouvez demeurer protégé de l’ingénierie sociale.

 


Découvrez quels employés sont sujets aux attaques d’hameçonnage

Les simulations de phishing vous permettent de tester, de mesurer et de former efficacement les utilisateurs à reconnaître et à éviter les fraudes par hameçonnage.