Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

l'ingénierie sociale : Comment fonctionne la technologie de l'information, exemples & Prévention

Découvrez comment l’authentification multifacteur (MFA) adaptative combat les brèches de données, la compromission des mots de passe faibles et les attaques de phishing.

Mis à jour: 02 septembre 2024 Temps de lecture: ~

Sujette

Threat Detection, Phishing Resistance, Security

Sommaire

 

Cet article a été traduit automatiquement.

 

L'ingénierie sociale est un type de manipulation psychologique par lequel les cybercriminels amènent les gens à divulguer des informations sensibles et sécurisées. Un attaquant utilise des compétences sociales pour compromettre les identifiants d'une personne ou d'une organisation à des fins malveillantes. La quasi-totalité(98 %) des cyberattaques utilisent le site social engineering. 

Avec social engineering, un acteur malveillant incite quelqu'un à révéler des informations privées, telles qu'un mot de passe, des coordonnées bancaires, un numéro de sécurité sociale ou d'autres informations personnelles identifiables (PII). L'attaquant se fait souvent passer pour une entité de confiance, une personne connue ou une partie respectable. Ils peuvent poser des questions ciblées pour inciter la victime à donner ces informations. 

Les systèmes d'ingénierie sociale peuvent avoir des conséquences dévastatrices, allant de la perte financière à l'interruption des services, en passant par l'atteinte à la réputation, etc. Il est important de comprendre le fonctionnement de social engineering pour vous protéger d'une attaque potentielle. 

Qu'est-ce que social engineering?

L'ingénierie sociale, dans le contexte de la sécurité de l'information, est la manipulation d'une personne par le biais de comportements humains et de compétences sociales afin de la convaincre de divulguer des informations compromettantes. Un cybercriminel se fera souvent passer pour une personne que vous connaissez ou pour une organisation en laquelle vous avez confiance et que vous respectez, afin de vous convaincre de divulguer des informations personnelles qu'il pourra ensuite utiliser pour accéder à votre compte, voler votre argent ou perturber vos services. 

Le maillon faible de la cybersécurité est l'élément humain. Les attaquants exploitent l'instinct naturel de l'homme, qui est de faire confiance, afin de recueillir les informations nécessaires pour mener à bien une cyberattaque. Les opérations d'ingénierie sociale peuvent être initiées par le biais de courriers électroniques, d'appels téléphoniques, de messages textuels, de sites web malveillants, de sites de jumelage ou de sites sociaux networking.  

Dans le cas des attaquessocial engineering , un cybercriminel pose souvent des questions pour glaner des informations. Ils peuvent sembler respectables et sans prétention, mais s'ils posent les bonnes questions et obtiennent suffisamment d'informations, ils pourront les utiliser pour accéder à votre compte et potentiellement compromettre votre ordinateur et/ou vos organisations. les systèmes d'ingénierie sociale peuvent également consister à appâter ou à répondre à des offres d'aide frauduleuses. 

6 principes des attaques social engineering

L'ingénierie sociale cible l'esprit humain et recherche les faiblesses potentielles au lieu d'attaquer directement un ordinateur ou un terminal. L'ingénierie sociale est un formulaire de fraude qui repose sur la psychologie de la persuasion. Les cybercriminels utilisent la manipulation pour convaincre les individus de révéler des informations personnelles qu'ils peuvent ensuite utiliser pour accéder à des ressources sécurisées. 

L'ingénierie sociale repose sur les six principes clés suivants :

  1. L'autorité : L'acteur malveillant peut se faire passer pour une figure d'autorité afin de convaincre la victime de divulguer ses identifiants ou d'accepter son projet. Par exemple, s'il apparaît que votre patron vous demande des informations personnelles pour quelque chose, vous serez probablement plus enclin à les révéler.
  2. Intimidation : L'acteur malveillant a souvent recours à des menaces ou à des tactiques d'intimidation subtiles pour convaincre la victime d'agir en conséquence. Il peut s'agir d'intercepter des communications, de les manipuler et de menacer de les divulguer à un patron ou à un ami pour susciter la méfiance.
  3. La rareté : Cette méthode s'appuie sur le concept de l'offre et de la demande. Plus la demande d'un produit est forte et moins l'offre est importante, plus une personne est susceptible de vouloir un produit informatique. l'ingénierie sociale peut poster des liens malveillants sur des sites web annonçant une quantité limitée de quelque chose qui créera un sentiment d'urgence. La victime clique sur le mauvais lien, saisit ses informations et le cybercriminel vole les données.
  4. L'urgence : Comme dans le cas de la rareté, le fait de dire que quelque chose est disponible pour une "durée limitée" est un formulaire de manipulation psychologique basée sur le temps qui peut convaincre une personne d'agir rapidement ou de risquer de passer à côté.
  5. Consensus : En tant que formulaire de preuve sociale, les gens sont plus enclins à participer à quelque chose qu'ils voient d'autres personnes faire de même. Ainsi, si un cybercriminel parvient à convaincre une victime que son binôme participe également à un certain projet, il aura plus de chances de réussir. Les cybercriminels peuvent créer de faux avis sur des services ou des produits afin de convaincre les gens de les acheter.
  6. La familiarité : Il est dans la nature humaine d'être plus enclin à s'engager ou à acheter quelque chose auprès d'une personne que l'on apprécie ou que l'on respecte. Les attaquants peuvent tirer parti de cette situation, et les projets social engineering semblent souvent provenir d'une source connue ou respectée par la victime.

Types d'attaques social engineering

Il existe un large éventail d'attaques social engineering. Les exemples suivants sont parmi les plus courants :

  • phishing : ce formulaire d'attaque social engineering consiste à envoyer des courriels frauduleux ou à créer des sites web malveillants pour convaincre des personnes d'exposer leurs identifiants privés. Les attaques par hameçonnage continuent d'augmenter et figurent parmi les vecteurs de cyberattaque les plus courants, avec plus de 300 000 attaques phishing  pour le seul mois de décembre 2021.

Les attaques par hameçonnage semblent généralement provenir d'une source réputée ou fiable, demandant à l'utilisateur de télécharger une pièce jointe ou de cliquer sur un lien embarqué pour se connecter à un système ( log ), révélant ainsi à leur insu leur identité à un cybercriminel. Ces messages se présentent souvent sous la forme d'un courrier électronique et peuvent sembler provenir d'une entreprise que vous utilisez et en laquelle vous avez confiance.

Les institutions financières sont souvent ciblées, les acteurs malveillants envoyant des courriels frauduleux prétendant provenir de votre banque ou de votre société de carte de crédit. Ils vous demandent souvent de vous connecter à votre compte ( log ).

Les systèmes de phishing peuvent également cibler des événements actuels, tels que la pandémie de COVID-19, les efforts humanitaires, les vacances, une élection, des préoccupations économiques ou une catastrophe naturelle. Ces courriels peuvent demander de l'aide et convaincre une personne de répondre en lui fournissant des informations spécifiques demandées ou en lui accordant une aide financière support.

  • Smishing : un formulaire d'attaque phishing, le smishing implique l'utilisation de SMS pour envoyer des liens ou des sites web frauduleux afin d'inciter un individu à cliquer et à entrer ses identifiants. log Il peut s'agir par exemple d'un texte semblant provenir de votre opérateur téléphonique et vous demandant de vous connecter à votre compte via un lien inclus pour une raison apparemment valable. Le lien vous dirige vers un site malveillant géré par un acteur malveillant qui l'utilisera pour voler vos identifiants.
  • Vishing : un autre formulaire de phishing qui implique une communication vocale, le vishing exploite les communications téléphoniques. L'hameçonnage demande à une personne d'appeler un certain numéro, souvent en se faisant passer pour la banque de la victime, et de révéler son code PIN et son mot de passe.

Les attaques par hameçonnage peuvent manipuler la voix sur protocole Internet (VoIP) solutions, comme l'identification de l'appelant, ce qui peut facilement constituer une usurpation d'identité. Les victimes sont susceptibles de faire confiance à la sécurité d'un service téléphonique et ne soupçonnent donc pas la fraude.

  • spear phishing: l'hameçonnage consiste généralement à envoyer des spams à un grand nombre de personnes dans l'espoir de faire mouche. Ces efforts visent à inciter une personne à répondre en fournissant les informations demandées. Le spear phishing, quant à lui, est une approche plus ciblée.

Les courriels frauduleux sont adaptés à quelques personnes ciblées grâce à des recherches plus détaillées sur les victimes. Ces attaques prennent plus de temps à l'attaquant, mais elles ont souvent plus de chances de réussir.

  • Scareware : Il s'agit d'un formulaire de malware qui utilise la perception d'une menace et joue sur l'anxiété, la peur ou le choc qui en résulte pour l'utilisateur. Les scarewares se présentent souvent sous la forme d'une fenêtre publicitaire ou d'un courrier électronique non sollicité qui incite l'utilisateur à télécharger le site malware ou à visiter un site web infecté.
  • Appât : On trouve ces stratagèmes sur des sites web malveillants, des sites sociaux networking ou des sites pair-à-pair, et ils consistent à attirer l'utilisateur avec quelque chose de désirable. Il peut s'agir d'un nouveau film, d'une nouvelle musique ou d'un produit difficile à trouver. La victime mordra à l'hameçon, cliquera sur le lien ou le site web malveillant, ou tentera d'acheter le produit.
  • Prétextat : Un stratagème de pretexting social engineering utilise une histoire convaincante pour convaincre une victime d'offrir son aide ou de répondre aux informations demandées. Il peut s'agir d'un appel à l'aide, qui consiste souvent à demander de l'argent pour sauver un ami détenu ou pire encore. Ils peuvent également concerner des efforts humanitaires, des œuvres de bienfaisance, des collectes de fonds ou des aides en cas de catastrophes naturelles. 

Ces messages proviennent généralement de sources auxquelles l'utilisateur fait confiance et qui semblent dignes de confiance. Elles peuvent également provenir d'une personne se faisant passer pour votre employeur.

Les systèmes de prétexting peuvent prétendre que vous êtes un gagnant et vous demander de fournir vos coordonnées bancaires afin qu'ils puissent vous remettre vos gains. Ces stratagèmes peuvent être très élaborés, avec des messages semblant provenir de votre banque ou institution, jusqu'à l'utilisation de logos corrects.

Un système de pretexting peut vous dire qu'il y a un problème que vous devez résoudre en cliquant sur le lien embarqué et en fournissant les informations demandées, ce qui permet au cybercriminel d'accéder à vos IIP et donc à votre ordinateur et/ou à votre terminal.

  • Tailgating : Également appelé "piggybacking", ce formulaire d'attaque social engineering se produit lorsqu'une personne ne disposant pas de l'authentification ou de l'autorisation correcte suit quelqu'un qui dispose de l'accès autorisé adéquat. Les cybercriminels peuvent ainsi accéder à des lieux physiques protégés, souvent par une carte à puce ou token, simplement en passant derrière quelqu'un qui en possède une.
  • Quid pro quo : Cela signifie "quelque chose pour quelque chose". Dans le cadre d'une attaque de type "quid pro quo", le cybercriminel manipule la victime pour l'amener à fournir des informations sensibles en lui offrant quelque chose en retour. Il s'agit généralement d'un service ou d'un bénéfice que le cybercriminel promet si la victime révèle d'abord les informations sensibles demandées. 

Meilleures pratiques pour prévenir les attaques social engineering

Pour prévenir les attaques de social engineering, il est utile de connaître les tactiques utilisées par les escrocs. Les employés devraient suivre une formation à la cybersécurité afin de comprendre les cyberattaques les plus courantes et la manière dont elles sont déclenchées.

Il est important de rappeler que la quasi-totalité des cyberattaques(99 %) sont déclenchées par une intervention humaine. L'hameçonnage et les escroqueries par courrier électronique sont des méthodes courantes pour lancer une attaque sur le site social engineering. 

Voici quelques points à retenir :

  • N'ouvrez pas les pièces jointes suspectes. Les cybercriminels envoient souvent malware dans des pièces jointes à des courriels.
  • Vérifiez soigneusement l'adresse électronique de l'expéditeur. Les acteurs malveillants se font souvent passer pour des entreprises ou des organisations légitimes, mais l'adresse électronique ne comporte généralement que quelques caractères d'erreur.
  • Méfiez-vous des sites web malveillants et des liens hypertextes d'usurpation d'identité. Saisissez toujours directement le site URL au lieu de cliquer sur un lien embarqué. De même, si vous survolez l'hyperlien et que le site URL ne correspond pas au texte, il peut s'agir d'une usurpation d'identité. 
  • Prenez votre temps. Les cybercriminels tentent souvent d'inciter les utilisateurs à agir sans réfléchir en leur donnant un sentiment d'urgence ou de menace imminente. Ralentissez et examinez attentivement les informations malgré les tactiques de vente à haute pression.
  • Veillez aux fautes d'orthographe, à la mauvaise grammaire et aux mises en page bizarres. Les entreprises légitimes font rarement des fautes de grammaire, de structure de phrase ou d'orthographe, alors que les courriels frauduleux en font souvent.
  • Soyez attentif aux salutations et/ou signatures génériques. Les escrocs envoient souvent le même message à plusieurs comptes en même temps, alors qu'un message légitime émanant d'une entreprise ou d'une organisation est plus susceptible de vous saluer spécifiquement par votre nom et de signer l'e-mail avec ses coordonnées.
  • envoyez un courriel directement à une entreprise si vous n'êtes pas sûr que le courriel est légitime. surveillez les informations de contact de l'entreprise que vous savez légitime au lieu d'utiliser ce qu'un e-mail ou un site web suspect peut vous proposer.
  • Méfiez-vous des téléchargements suspects. Veillez à ne pas télécharger quoi que ce soit dont vous n'êtes pas sûr qu'il provienne d'une source fiable. Vous pouvez toujours signaler le message à votre service IT pour vous assurer que les technologies de l'information sont sûres avant de les télécharger.
  • Méfiez-vous des courriels non sollicités. Si vous recevez un courriel répondant à une question que vous n'avez pas posée ou offrant des services que vous n'avez pas demandés, faites des recherches approfondies. Faites vos propres recherches, même si l'information semble provenir d'une entreprise que vous connaissez et utilisez.
  • Sachez que les offres étrangères sont frauduleuses. Toute offre ou demande émanant d'une entité étrangère est frauduleuse et vous ne devez pas y répondre. 
  • Ne répondez pas aux courriels ou aux demandes d'informations personnelles, ni à ceux qui proposent ou demandent de l'aide. Il s'agit d'escroqueries visant à voler votre identité et/ou votre argent.
  • Méfiez-vous des appels téléphoniques ou des SMS suspects. Ne cliquez pas sur les liens et ne rappelez pas ces numéros. Vérifiez l'identité d'une personne ou d'une organisation avant de révéler des informations personnelles. 

En outre, vous devez veiller à protéger votre terminal et votre réseau. Utilisez des logiciels antivirus, des pare-feu et des filtres anti-spam, et maintenez à jour tous les éléments de votre cybersécurité À la une. Utilisez l'authentification multifacteur pour protéger votre compte, car elle nécessite un facteur d'authentification supplémentaire en plus du nom d'utilisateur et du mot de passe, ce qui rend l'informatique plus difficile à pirater. 

Ne divulguez pas d'informations sensibles dans un courrier électronique ou par le biais de sites web non sécurisés. Vérifiez que l'URL comporte la mention "HTTPS" au lieu de "HTTP", ce qui indique un niveau de sécurité plus élevé.

Si vous pensez avoir été victime d'une attaque sur le site social engineering, signalez-le immédiatement à votre organisation. Si vous pensez que vos comptes financiers ont été compromis, signalez-le immédiatement à vos institutions financières. Changez tout tbd pour compte qui pourrait être un compromis. Si nécessaire, déposez un rapport de police et signalez l'usurpation d'identité à la Commission fédérale du commerce (FTC).

Points à retenir

L'ingénierie sociale s'appuie sur les interactions humaines et la manipulation psychologique pour lancer une cyberattaque. Le formulaire commun des attaques social engineering comprend phishing, baiting, smishing et vishing. 

Les attaques d'ingénierie sociale sont généralement lancées par le biais de courriers électroniques non sollicités, d'appels téléphoniques ou de messages textuels. Ils demandent souvent aux individus de cliquer sur un lien embarqué, de télécharger une pièce jointe ou de répondre au message avec des informations personnelles. 

Ces tentatives d'attaques sont souvent extrêmement sophistiquées et peuvent sembler provenir de sources légitimes. 

Une attaque de type social engineering est une tentative d'amener un utilisateur à révéler des informations personnelles ou confidentielles qui peuvent ensuite être utilisées à des fins de fraude ou de perturbation. L'acteur malveillant peut utiliser social engineering pour voler des identifiants, pirater des comptes financiers pour voler de l'argent ou perturber le fonctionnement d'une entreprise. 

Pour vous protéger d'une attaque par social engineering, vous devez rester vigilant et être attentif aux courriels, appels téléphoniques et messages textuels suspects. Ne cliquez pas sur des liens suspects, ne téléchargez pas de pièces jointes, ne rappelez pas de numéros de téléphone et ne répondez pas à des courriels contenant des informations personnelles. Faites vos recherches et assurez-vous que le message auquel vous répondez est légitime et vérifié avant d'interagir avec le service informatique. 

Les attaques par ingénierie sociale sont l'un des vecteurs d'attaque les plus courants pour les cybercriminels et peuvent être évitées grâce à une bonne hygiène cybernétique et à de bons comportements. 

Références

2021 Statistiques sur la cybersécurité La liste ultime des statistiques, des données & Tendances. PurpleSec.

Rapport sur les tendances en matière d'hameçonnage. (février 2022). APWG.

Cybersécurité : 99% des attaques par courrier électronique reposent sur le fait que l'utilisateur clique sur des liens. (Septembre 2019). ZDNet.

La cybersécurité pour les petites entreprises. Commission fédérale du commerce (FTC).

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter