Toutes les attaques d’ingénierie sociale exploitent la nature humaine ; comme la volonté de faire confiance aux autres ; pour inciter les individus à divulguer des informations sensibles. Malgré sa prévalence, l’ingénierie sociale n’est pas décelable si aisément. C’est d’ailleurs l’une des raisons pour lesquelles 82 % des violations de données impliquent l’élément humain.
Et c’est aussi pour cette raison que l’ingénierie sociale est au cœur de bon nombre de cybermenaces, des courriels d’hameçonnage (phishing) aux attaques d’hameçonnage par message texte (smishing) et d’hameçonnage par téléphone (vishing). Cet article de blog présente les techniques d’ingénierie sociale les plus populaires et les émotions que les pirates utilisent pour duper leurs victimes.
Les 9 attaques les plus fréquentes utilisant l’ingénierie sociale
Ces neuf cybermenaces s’appuient sur des tactiques d’ingénierie sociale pour accéder à des données sensibles. Si la plupart d’entre elles se produisent en ligne, plusieurs peuvent se manifester dans des espaces physiques tels que des bureaux, des immeubles d’habitation ou encore des cafés.
1. Hameçonnage
L’hameçonnage est sans conteste la cybermenace faisant appel à l’ingénierie sociale la plus répandue. Utilisant des courriels, de faux sites Web ou des messages textes trompeurs, les cybercriminels cherchent à dérober des informations personnelles ou organisationnelles sensibles à des victimes généralement peu méfiantes. Et malgré la notoriété de ces techniques d’hameçonnage, 1 employé sur 5 clique toujours sur ces liens suspects.
2. Harponnage
Cette arnaque par courriel est utilisée pour mener des attaques ciblées contre des particuliers ou des entreprises. Le harponnage ou spear phishing est plus complexe que l’hameçonnage classique, car il nécessite une recherche approfondie sur les cibles potentielles et leurs organisations.
3. L’appât
Ce type d’attaque peut être perpétré en ligne ou dans un lieu physique. Le cybercriminel promet généralement à la victime une récompense en échange d’informations sensibles ou de la connaissance de sa localisation.
4. Logiciel malveillant
Les logiciels malveillants (malwares), dont les rançongiciels font partie, sont des attaques qui consistent à infecter des appareils électroniques pour servir des objectifs larges : vol d’informations, espionnage, mais aussi interruption d’activité et demande de rançons. Ironiquement, les logiciels malveillants sont bien souvent introduits dans les systèmes informatiques à la suite de la réception d’un faux message urgent indiquant que l’appareil est à risque d’infection. La victime installe alors un logiciel malveillant sur son appareil en pensant le protéger.
5. Prétexte
Dans ce type d’attaque, l’auteur prend une fausse identité pour inciter ses victimes à communiquer des informations. Cette technique est souvent utilisée contre des organisations disposant d’une grande quantité de données clients, comme les banques, les fournisseurs de cartes de crédit et les sociétés de services publics.
6. L’échange de biens ou de services
Cette attaque s’articule autour d’un échange d’informations ou de services pour convaincre la victime d’agir. Normalement, les cybercriminels qui mettent en œuvre ces stratagèmes ne font pas de recherche avancée sur les cibles et proposent de fournir une « assistance », en se faisant passer pour des professionnels de l’assistance technique.
7. Talonnage
Le talonnage ou tailgating en anglais n’est pas réellement une attaque, mais plutôt une stratégie permettant à un fraudeur d’avoir physiquement accès à un bâtiment ou une zone sécurisée. Après avoir identifié une entrée peu sécurisée, le fraudeur suit un employé, qui par courtoisie malavisée, retient une porte lui permettant alors de s’introduire dans le lieu souhaité.
8. L’hameçonnage vocal
Dans ce type d’attaque, les cybercriminels laissent des messages vocaux urgents à leurs victimes pour les convaincre d’agir rapidement pour se protéger d’une arrestation ou d’une fraude. Les institutions bancaires, les organismes publics et les forces de l’ordre sont fréquemment utilisés dans les stratagèmes d’hameçonnage par téléphone (vishing).
9. L’attaque de point d’eau
L’attaque par point d’eau ou watering hole repose sur des techniques avancées d’ingénierie sociale. Les cybercriminels cherchent à identifier des sites Web fréquemment consultés par les employés d’une entreprise d’un secteur d’activité spécifique dans le but d’infecter leurs appareils lors de leurs visites de ces sites Web.
Comment se produit l’ingénierie sociale ?
L’ingénierie sociale repose avant tout sur la propension de l’être humain à faire confiance aux autres. Les cybercriminels savent qu’un courriel, un message vocal ou un message texte soigneusement formulé peut convaincre leurs victimes à transférer de l’argent, fournir des informations confidentielles ou télécharger un fichier malveillant sur le réseau de l’entreprise. Analysons cet exemple de harponnage qui a convaincu un employé de transférer 500 000 dollars à un investisseur étranger :
- Grâce à une recherche minutieuse, le cybercriminel sait que la CEO de l’entreprise est en voyage.
- Un courriel semblant provenir de la CEO est envoyé à un employé de l’entreprise. Il y a une légère différence dans l’adresse électronique, mais le nom de la CEO est correctement orthographié.
- Dans le courriel, il est demandé à l’employé d’aider la CEO en transférant 500 000 dollars à un nouvel investisseur étranger. Le courriel utilise un langage urgent, mais amical, convainquant l’employé qu’il aidera à la fois la CEO et l’entreprise.
- Le courriel souligne que la CEO fera elle-même ce transfert, mais qu’elle ne peut pas effectuer le transfert de fonds à temps pour garantir le partenariat d’investissement étranger, car elle est en voyage.
- Sans vérifier les détails, l’employé décide d’agir. Il croit sincèrement qu’il aide la CEO, l’entreprise et ses collègues en se conformant à la demande reçue par courriel.
- Quelques jours plus tard, l’employé victime, le CEO et les collègues de l’entreprise se rendent compte qu’ils ont été la cible d’une attaque par ingénierie sociale, qui a entraîné une perte de 500 000 dollars.
Livre Blanc - Comment protéger vos données contre l’ingénierie sociale
Apprenez à détecter les tactiques et les menaces courantes d’ingénierie sociale (social engineering) et à protéger les données confidentielles contre les cybercriminels.
Exemples de scénarios d’attaques basés sur l’ingénierie sociale
Les cybercriminels avertis savent que les techniques d’ingénierie sociale auront plus d’impact lorsqu’elles font appel aux émotions humaines. Il est beaucoup plus facile de tirer parti des émotions humaines que de pirater un réseau ou de rechercher des failles de sécurité. C’est la raison pour laquelle, ils vont chercher à exploiter les émotions et les comportements suivants :
La peur
Vous recevez un message vocal vous indiquant que vous faites l’objet d’une enquête pour fraude fiscale et que vous devez appeler immédiatement pour éviter une enquête. Cette attaque basée sur l’ingénierie sociale se produit régulièrement lorsque vient le temps de payer ses impôts. Les cybercriminels misent sur le stress et l’anxiété pouvant être liés à la déclaration d’impôts et utilisent ces réactions pour faire peur à leurs victimes et ainsi inciter leurs victimes à se conformer au message vocal.
L’avidité
Imaginez que vous puissiez transférer 100 dollars à un investisseur et voir cette somme se transformer en 10 000 dollars sans aucun effort de votre part. Dans cet exemple, les cybercriminels utilisent la cupidité de leurs victimes pour les convaincre qu’elles peuvent vraiment obtenir quelque chose pour un investissement minime. Un courriel soigneusement formulé leur demande de fournir leurs informations bancaires pour recevoir leurs futurs gains et c’est de cette façon que les cybercriminels volent leurs coordonnées bancaires. Un conseil : si c’est trop beau pour être vrai, c’est probablement le cas.
La curiosité
Les cybercriminels prêtent attention aux événements qui font l’objet d’une grande couverture médiatique et profitent ensuite de la curiosité humaine pour inciter leurs victimes à compléter certaines actions. Par exemple, lors des deux tragédies impliquant des avions Boeing 737 MAX 8 en 2019, les cybercriminels ont envoyé des courriels avec des pièces jointes prétendant divulguer des informations sur ces accidents. Mais lorsqu’un individu cliquait sur la pièce jointe, cette dernière permettait l’installation d’un maliciel de type H-WORM RAT (un outil d’accès à distance) sur l’ordinateur de la victime.
L’entraide
Il est dans la nature de l’être humain de faire confiance et de s’entraider. Après avoir effectué des recherches sur une entreprise, les cybercriminels ciblent deux ou trois employés en leur envoyant un courriel semblant provenir de leur directeur. Le courriel leur demande d’envoyer au responsable le mot de passe de la base de données comptable, en insistant sur le fait que le responsable en a besoin pour s’assurer que tout le monde est payé à temps. Le ton du courriel est urgent, ce qui incite les victimes à croire qu’elles aident leur supérieur en agissant rapidement.
L’urgence
Le sentiment d’urgence est fréquemment utilisé par les cybercriminels dans leurs tentatives d’attaque. C’est le cas de l’exemple suivant. Imaginez que vous receviez un courriel du service à la clientèle d’un site d’achat en ligne sur lequel vous effectuez fréquemment des achats. Dans le message, on vous informe que vous devez confirmer les informations de votre carte de crédit pour protéger votre compte. Le message vous invite à répondre rapidement pour éviter que des criminels ne volent les informations de votre carte de crédit. Sans réfléchir, vous envoyez les informations, ce qui fait que le destinataire utilise vos coordonnées pour effectuer des achats frauduleux d’une valeur de plusieurs milliers de dollars.
Comment protéger vos données personnelles contre l’ingénierie sociale ?
Bien que les techniques d’ingénierie sociale soient courantes, les exemples présentés soulignent combien il peut être difficile de les repérer et surtout de ne pas y donner suite. La nature humaine étant ce qu’elle est, il est facile pour un cybercriminel de pousser sa victime vers les actions souhaitées. D’où l’importance de miser sur l’éducation et la sensibilisation à la cybersécurité pour mettre en place une véritable culture de la sécurité au sein des entreprises. À long terme, la prise de conscience des cybermenaces permet une modification durable des comportements problématiques en ligne et la réduction de ces risques. Quelle que soit l’étape à laquelle se trouve votre organisation dans son parcours de sensibilisation à la sécurité, l’apprentissage des techniques d’ingénierie sociales est indispensable. Si vous ne savez pas par où commencer pour mettre en place une formation en sensibilisation efficace, nous vous recommandons la lecture du Guide ultime de la formation en sensibilisation à la sécurité. Ce guide regorge de conseils d’experts et d’informations sur la mise en place d’activités d’apprentissage favorisant la création d’une culture de la sécurité dans les organisations.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Visitez notre Hub de la cybersécurité gratuit pour apprendre et partager des informations cruciales sur l’hameçonnage, l’ingénierie sociale et d’autres cybermenaces.