Qu’est-ce que le social engineering ?

Le Social engineering ou ingénierie sociale consiste à manipuler les gens pour qu’ils révèlent des informations confidentielles. Les fraudeurs peuvent se faire passer pour quelqu’un d’autre ou voler l’identité d’autres personnes afin de créer un faux sentiment de confiance chez leurs victimes.

Le Social engineering est souvent la première méthode d’infiltration d’un projet criminel plus vaste. Il est généralement plus facile de tromper les gens que de trouver une faille dans les mesures de sécurité d’une entreprise cible. Le Social engineering permet d’obtenir des mots de passe administratifs ou d’autres données hautement confidentielles, d’installer des malwares dans les serveurs de l’entreprise, etc. C’est l’une des méthodes d’attaque les plus efficaces car elle cible le lien humain, contournant ainsi les formes de sécurité les plus avancées. Elle est également dangereuse parce qu’elle est beaucoup plus difficile à détecter. Après tout, la victime ne se rend même pas compte qu’elle a été escroquée.

À quoi ressemble une attaque de Social Engineering ?

La plupart des attaques d’ingénierie sociale réussies sont planifiées à l’avance. L’attaquant doit recueillir suffisamment d’informations sur la victime, par exemple ses références et sa position dans l’entreprise. De nos jours, ce n’est pas difficile à faire : la plupart de ces informations nécessaires sont accessibles au public via LinkedIn, le site de l’entreprise qui affiche la chaîne de management interne, etc. Il est donc plus facile pour un fraudeur d’usurper l’identité d’une personne lors d’une interaction avec un employé.

Une fois que le fraudeur dispose de suffisamment d’informations pour monter une histoire, il passe à l’action en entamant un contact avec la victime. Cela peut se faire en ligne ou en personne. Le Social engineering crée une raison convaincante pour laquelle il a besoin de documents, de droits d’administrateur, de mots de passe ou d’autres détails sensibles. Il peut se présenter comme un technicien de salle de serveur réagissant à un appel, etc. S’il se montre convaincant, le fraudeur peut souvent amener la victime à croire à son histoire, ce qui lui donne une porte d’entrée.

Une fois que l’auteur de l’escroquerie a acquis une cible, il doit brouiller les pistes. L’objectif est de ne pas éveiller les soupçons et de faire comme si rien ne s’était passé. Une escroquerie déguisée en « affaires courantes », voilà à quoi ressemble un exemple d’attaque par Social engineering dans la vie réelle.

Si vous pensez que cela n’arrive que dans les films, vous ne pourriez pas vous tromper davantage. En 2013, lorsque des employés de Yahoo sont tombés dans le panneau d’un message électronique envoyé par un social engineering, les pirates ont compromis tous les comptes clients de l’entreprise. Ce sont plus de 3 milliards de comptes Yahoo Mail qui se sont retrouvés en vente sur le dark web. C’est l’une des brèches les plus massives de tous les temps, et elle est le résultat d’un social engineering. Consultez nos conseils pour protéger votre identité en ligne.

Les 6 principaux types d’attaques par Social engineering

Le Social engineering revêt de nombreuses formes selon qu’il est pratiqué en personne ou en ligne. Elle exploitera toujours l’interaction humaine comme point faible, mais il existe des différences nuancées. Voici 6 exemples de Social engineering :

1. Le baiting

Le baiting repose sur le fait que la victime tombe d’elle-même dans un piège par curiosité ou par appât du gain. Les résultats peuvent varier, par exemple, le fraudeur peut amener la cible à un site web malveillant, installant un logiciel malveillant sur son ordinateur.

Il existe des exemples concrets où les attaquants laissent des clés USB portant le logo d’une entreprise avec des notes telles que « journaux de paiement ». La plupart des gens prennent une clé USB gratuite et sont curieux de voir les fichiers qu’elle contient, ce qui signifie qu’ils la branchent volontiers sur leur disque dur. Dès lors, la clé USB lance un script préconfiguré sur la clé qui compromettra leur ordinateur, enregistrant souvent les frappes au clavier ou dérobant des données au cours du processus.

Un exemple courant de baiting en ligne comprend des publicités qui mènent à des sites malveillants, des liens de téléchargement qui sont des malwares déguisés, etc. En termes simples, appâter revient à laisser un râteau à l’air libre en espérant que quelqu’un marchera dessus.

2. Le phishing

Les escroqueries par phishing sont la forme la plus populaire d’ingénierie sociale. Elles utilisent des campagnes de emails ou de messages d’apparence authentique qui suscitent un sentiment d’urgence ou de peur chez les victimes. Les utilisateurs sont ainsi incités à cliquer sur des liens malveillants, à envoyer de l’argent aux escrocs ou à ouvrir des pièces jointes contenant des scripts.

Un exemple serait un email de votre banque vous demandant de vous connecter à la nouvelle version de son site et exigeant un changement immédiat de votre mot de passe. Une fois que vous avez saisi vos identifiants de connexion, vos données se retrouvent entre les mains des attaquants et peuvent être utilisées pour vider votre vrai compte bancaire ou obtenir des informations supplémentaires auprès du service clientèle.

social engineering definition

3. Piratage de emails et spamming de contacts

Le principe de ce type d’attaque est double. Tout d’abord, le pirate acquiert une adresse électronique et ses identifiants de connexion. Cela se produit souvent à la suite de violations massives de données. Ensuite, le fraudeur se connecte et envoie un email à vos contacts en prétendant être en détresse et en vous demandant d’ouvrir un fichier ou d’envoyer de l’argent. Les destinataires, voyant que leur ami proche est en difficulté, ne douteront pas de la légitimité de ces affirmations, ce qu’ils regretteront plus tard.

4. Vishing

Le vishing est une forme de phishing, mais il utilise des systèmes de réponse vocale interactifs pour recréer une copie légitime du système IVR d’une institution. La victime est généralement invitée à l’appeler et à vérifier certaines informations. En général, plusieurs vérifications de mots de passe seront rejetées afin de récupérer plusieurs mots de passe appartenant au même utilisateur, ce qui pourrait compromettre d’autres comptes appartenant à la victime. Dans les cas les plus extrêmes, l’IVR peut être associé à des agents du service clientèle imposteurs qui vérifient à nouveau les informations volées.

5. Le spear phishing (ou hameçonnage ciblé)

Le spear phishing est une attaque de social engineering très ciblée qui vise des individus ou des entreprises en particulier. Ce type d’attaque adapte le message électronique de manière à ce qu’il semble aussi proche de la réalité que possible, en utilisant des informations telles que le poste exact de la victime, ses fonctions, sa routine quotidienne, etc. La planification de ce type d’attaque peut prendre des semaines ou des mois, mais si elle est menée avec habileté, elle peut faire de gros dégâts. Un message de spear phishing peut être formulé exactement comme beaucoup d’autres demandes et même être envoyé par des canaux communs, trompant ainsi la victime sur son authenticité. L’attaque de Yahoo Mail mentionnée ci-dessus était une attaque de spear phishing très médiatisée.

6. Le tailgating (talonnage)

Le tailgating exploite une courtoisie courante sur le lieu de travail lorsque des fraudeurs accèdent à des zones non autorisées en marchant simplement derrière quelqu’un qui y a accès. Par décence, la plupart des gens tiennent la porte (ou même l’ouvrent, croyant que l’attaquant a perdu sa carte d’identité ou d’accès). Il existe de nombreuses réalités sur le lieu de travail qu’un Social Engineering compétent peut utiliser à son avantage. Par exemple, en raison des réglementations relatives aux risques d’incendie, les personnes doivent être en mesure de quitter rapidement le bâtiment.

7 conseils pour se protéger du social engineering

  • Réfléchissez avant d’agir. Les attaquants créent un sentiment d’urgence parce qu’ils veulent que leurs victimes prennent des décisions irréfléchies. Il faut toujours s’arrêter et vérifier. Si votre ami vous demande soudainement de l’argent, appelez-le et demandez-lui s’il a vraiment envoyé le message.
  • Vérifiez la légitimité du message. Si vous avez reçu un email et que quelque chose vous semble anormal, c’est probablement le cas. Vérifiez les noms de domaine, qui peuvent se terminer par .co ou .con au lieu de .com. Les fautes de frappe et d’orthographe indiquent clairement qu’il s’agit d’une tentative de phishing.
  • Ne faites pas confiance aux expéditeurs que vous ne connaissez pas. Si vous n’attendez rien, n’ouvrez pas les fichiers que vous avez reçus. Surtout s’ils sont marqués d’une flèche d’urgence.
  • Si vous n’avez pas participé mais que vous avez gagné à la loterie, ou si un prince nigérian vous offre de l’argent, il y a de fortes chances que vous soyez victime d’une escroquerie. Si quelque chose vous semble trop beau pour être vrai, c’est probablement le cas.
  • Si vous ne savez pas si un site web est authentique ou s’il s’agit d’une tentative de phishing, recherchez des certificats d’autorité de certification, en particulier si vous vous connectez à des sites bancaires.
  • Utilisez l’authentification 2FA au cas où votre mot de passe serait divulgué. Vous pouvez vérifier régulièrement votre compte pour connaître les dernières failles de sécurité et savoir si vous êtes concerné. Les escrocs peuvent utiliser le credential stuffing pour s’emparer de vos comptes, qui peuvent être utilisés pour envoyer des spams.
  • L’un des moyens pour une organisation de prévenir les attaques de Social engineering est de disposer d’une division de gestion active des risques. La surveillance active des points faibles de l’infrastructure de l’entreprise pour repérer les voies d’infiltration et renforcer la sécurité dans ces domaines n’est qu’un des moyens d’y parvenir. Fournir aux employés des informations sur le sujet peut les aider à reconnaître les attaques de Social engineering en cours et à prévenir l’impact d’une attaque coordonnée.

Envie d'en lire plus :

  • Qu’est-ce qu’une attaque DDoS ?
  • Qu’est-ce qu’un malware ?
  • Ransomware : Qu’est-ce que c’est et comment fonctionne-t-il ?
  • 11 conseils simples pour maximiser la durée de vie de la batterie de l’iPad
    • Damien

    Damien

    Journaliste, chercheur et rédacteur web. Efficace et compétent sur de multiples plateformes et dans divers médias. La technologie informatique et la sécurité sont mes spécialités.

    Informations

    Geek Newz participe au Programme Partenaires d’Amazon EU, un programme d’affiliation conçu pour permettre à des sites de percevoir une rémunération grâce à la création de liens vers Amazon

    Geek Newz

    39 chemin de Terron
    06200 NICE
    Contact@geeknewz.fr
    Mobile : 07 49 91 29 18

    Geek Newz
    Logo
    Lorsqu’activé, enregistrer les permaliens dans paramètres - permaliens