09 73 40 00 00
Mon Compte

Panorama des différentes techniques d’attaques utilisant l’ingénierie sociale

Panorama des différentes techniques d’attaques utilisant l’ingénierie sociale
-
Mathieu CARLIER Mathieu CARLIER
Sécurité
27 février 2024

Les différentes techniques d’attaques utilisant l’ingénierie sociale tirent parti de la nature humaine, comme la volonté de faire confiance aux autres, pour inciter les individus à divulguer des informations sensibles.

Malgré sa prévalence, l’ingénierie sociale peut être difficile à résumer en une formule unique. C’est l’une des raisons pour lesquelles 82 % des violations de données sensibles impliquent un élément humain.

L’ingénierie sociale est devenue l’épine dorsale de nombreuses cybermenaces, des e-mails de phishing aux attaques par smishing et vishing. Cet article présentera différentes techniques d’attaques utilisant l’ingénierie sociale populaires et les émotions utilisées par les escrocs pour tromper leurs victimes.

Nous terminerons avec quelques conseils et techniques pour s’en prémunir.

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale est le terme utilisé pour désigner un large éventail d’activités malveillantes réalisées via des interactions humaines. Elle utilise la manipulation psychologique pour inciter les utilisateurs à commettre des erreurs de sécurité ou à divulguer des informations sensibles.

Les attaques d’ingénierie sociale se déroulent en une ou plusieurs étapes. Un cyber-attaquant  enquête d’abord sur la victime prévue pour recueillir les informations de base nécessaires, telles que les points d’entrée potentiels et les protocoles de sécurité faibles, nécessaires pour poursuivre l’attaque. Ensuite, l’attaquant tente de gagner la confiance de la victime et de la stimuler pour des actions ultérieures qui enfreignent les pratiques de sécurité ; comme révéler des informations sensibles ou accorder l’accès à des ressources critiques.

Voici les différentes techniques d’attaques utilisant l’ingénierie sociale les plus courantes 

Sans ordre particulier, voici neuf cybermenaces courantes qui exploitent des tactiques d’ingénierie sociale pour accéder à des informations sensibles. Même si la plupart de ces attaques se produisent en ligne, plusieurs d’entre elles peuvent surgir dans des espaces physiques comme des bureaux, des immeubles d’habitation et des cafés.

1. Phishing ou Hameçonnage

Au premier rang de ces différentes techniques d’attaques utilisant l’ingénierie sociale, nous avons le phishing. Moyen le plus répandu de mise en œuvre de l’ingénierie sociale, les pirates informatiques utilisent des e-mails, des sites web, les réseaux sociaux et des messages texte trompeurs pour voler des informations personnelles ou organisationnelles sensibles à des victimes sans méfiance.

Malgré la notoriété des techniques de phishing par courrier électronique, 1 employé sur 5 continue de cliquer sur ces liens suspects. EXTER peut vous proposer de simuler une campagne de phishing afin de sensibiliser vos salariés. 

2. Phishing ciblé ou Spear Phishing

Cette arnaque par courrier électronique est utilisée pour mener des attaques ciblées contre des particuliers ou des entreprises. Le spear phishing est plus complexe qu’un e-mail de phishing de masse, car il nécessite de la part de l’attaquant, des recherches approfondies sur les cibles potentielles et leurs organisations.

3. Appâtage ou Baiting

Poursuivons notre état des lieu des différentes techniques d’attaques utilisant l’ingénierie sociale avec le baiting ; ou appâtage en bon français.

Ce type d’attaque peut être perpétré en ligne ou dans un environnement physique. L’escroc promet généralement à la victime une récompense en échange d’informations sensibles ou de connaissances sur sa localisation.

les différentes techniques d'attaques utilisant l'ingénierie sociale les plus courantes

4. Logiciels malveillants ou Malware

Ensuite, parmi les différentes techniques d’attaques utilisant l’ingénierie sociale les plus répandues, nous avons les malwares ou logiciels malveillants. 

Cette catégorie d’attaques, qui inclut les ransomwares, cible des victimes qui reçoivent un message urgent et sont amenées à installer des malwares sur leur(s) appareil(s). Ironiquement, une tactique populaire consiste à dire à la victime qu’un logiciel malveillant a déjà été installé sur son ordinateur et que l’expéditeur supprimera le malware s’il paie des frais.

5. Prétexte ou Pretexting

Pour continuer, nous avons le pretexting, une technique où l’escroc invente un scénario pour voler les informations personnelles de sa victime. Cette méthode repose sur la création d’une fausse identité. Souvent, l’escroc prétendra avoir besoin de certaines informations de la victime pour confirmer son identité.

6. Quid pro quo

Cette attaque s’articule autour d’un échange d’informations ou de services pour convaincre la victime d’agir. Normalement, les cybercriminels qui mettent en œuvre ces stratagèmes ne font pas de recherche avancée sur leurs cibles et proposent de fournir une « assistance », en se faisant passer pour des professionnels du support technique.

7. Talonnage ou Tailgating

Ensuite, le tailgating est une attaque qui cible un individu capable de donner à un cyber criminel un accès physique à un bâtiment ou une zone sécurisée. Ces escroqueries réussissent souvent grâce à la courtoisie malavisée de la victime ; par exemple si elle tient la porte ouverte à un « employé » inconnu.

8. Vishing

Dans un scénario de vishing, les cybercriminels laisseront des messages vocaux urgents pour convaincre les victimes qu’elles doivent agir rapidement pour se protéger d’une arrestation ou d’une autre sanction. Les banques, les agences gouvernementales et les forces de l’ordre sont généralement des personnes ou institutions usurpées dans les escroqueries par hameçonnage vocal.

9. Attaque de point d’eau ou Watering Hole

Enfin, terminons ce tour d’horizon des différentes techniques d’attaques utilisant l’ingénierie sociale avec le Watering Hole. 

Cette attaque utilise des techniques avancées d’ingénierie sociale pour infecter un site web et ses visiteurs avec des logiciels malveillants. L’infection se propage généralement via un site Web spécifique au secteur d’activité de la victime ; comme un site Web populaire visité régulièrement.

Comment se produit l’ingénierie sociale ou social engineering ?

Si ces différentes techniques d’attaques utilisant l’ingénierie sociale sont si efficaces, c’est parce que l’ingénierie sociale se produit en raison de l’instinct humain de confiance.

Les escrocs ont appris qu’un e-mail, un message vocal ou un message texte soigneusement rédigé peut convaincre les gens de transférer de l’argent, de fournir des informations personnelles et confidentielles ou de télécharger un fichier qui installe un logiciel malveillant sur le réseau de l’entreprise.

Prenons cet exemple de spear phishing qui a convaincu un employé de transférer 500 000 € à un investisseur étranger :

  • Grâce à des recherches minutieuses, le cybercriminel sait que le PDG de l’entreprise est en voyage.
  • Un e-mail est envoyé à un employé de l’entreprise et semble provenir du PDG. Il y a une légère différence dans l’adresse e-mail, mais l’orthographe du nom du PDG est correcte.
  • Dans le courriel, il est demandé à l’employé d’aider le PDG en transférant 500 000 € à un nouvel investisseur étranger. L’e-mail utilise un langage urgent mais amical, convainquant l’employé qu’il aidera à la fois le PDG et l’entreprise.
  • L’e-mail souligne que le PDG effectuerait lui-même ce transfert, mais qu’il ne peut pas effectuer le transfert de fonds à temps pour garantir le partenariat puisqu’il est en voyage.
  • Sans vérifier les détails, l’employé décide d’agir. Il croit sincèrement qu’il aide le PDG, l’entreprise et ses collègues en se conformant à la demande par courrier électronique.
  • Quelques jours plus tard, l’employé, le PDG et les collègues de l’entreprise victimes réalisent qu’ils ont été la cible d’une attaque d’ingénierie sociale, entraînant une perte de 500 000 €.

Besoin d’une formation de sensibilisation à la cybersécurité ?
Un devis ?

Contactez-nous !

Exemples de scénarios d’attaques d’ingénierie sociale en cybersécurité

Les cybercriminels avisés savent que l’ingénierie sociale fonctionne mieux lorsqu’elle se concentre sur les émotions et les risques humains. Tirer parti des émotions humaines est bien plus simple que de pirater un réseau ou de rechercher des failles de sécurité.

Voici quelques émotions exploitées dans les différentes techniques d’attaques utilisant l’ingénierie sociale :

Peur

Vous recevez un message vocal indiquant que vous faites l’objet d’une enquête pour fraude fiscale et que vous devez appeler immédiatement pour éviter une arrestation et une enquête criminelle. Cette attaque d’ingénierie sociale se produit pendant la période des impôts, alors que les gens sont déjà stressés par ce qu’ils vont devoir payer au trésor public.

Les cybercriminels exploitent le stress et l’anxiété liés à la déclaration de revenus et utilisent ces émotions de peur pour inciter les gens à se conformer à la messagerie vocale.

Avidité

Imaginez si vous pouviez transférer 10 € à un investisseur et voir ce montant se transformer en 10 000 € sans aucun effort de votre part. Les escrocs utilisent les émotions humaines fondamentales de confiance et d’avidité pour convaincre leurs victimes qu’elles peuvent vraiment obtenir quelque chose pour rien.

Un e-mail d’appâtage soigneusement rédigé par l’attaquant qui indique aux victimes de fournir leurs coordonnées bancaires, et les fonds seront transférés le jour même.

Curiosité

Les cybercriminels prêtent attention aux événements qui font l’objet d’une grande couverture médiatique. Ensuite, ils profitent de la curiosité humaine pour inciter les victimes d’ingénierie sociale à agir.

Par exemple, après le deuxième accident de l’avion Boeing MAX8, les fraudeurs ont envoyé des courriels avec des pièces jointes prétendant inclure des données divulguées sur l’accident. La pièce jointe installait une version du Hworm RAT sur l’ordinateur de la victime.

Obligeance

Les humains veulent se faire confiance et s’entraider. Après avoir effectué des recherches sur une entreprise, les cybercriminels ciblent deux ou trois employés avec un e-mail qui semble provenir du manager de la personne ciblée.

L’e-mail leur demande d’envoyer au responsable le mot de passe de la base de données comptable, soulignant que le responsable en a besoin pour s’assurer que tout le monde soit payé à temps.

Le ton des e-mails est urgent, faisant croire aux victimes qu’elles aident leur responsable en agissant rapidement.

Urgence

Enfin, si ces différentes techniques d’attaques utilisant l’ingénierie sociale fonctionnent aussi bien, c’est parce que les pirates informatiques savent jouer sur le sentiment d’urgence.

Par exemple, vous recevez un e-mail du service client d’un site web d’achats en ligne sur lequel vous achetez fréquemment, vous indiquant qu’il doit confirmer les informations de votre carte de crédit pour protéger votre compte.

Le langage des e-mails vous invite à réagir rapidement pour garantir que les criminels ne volent pas les informations de votre carte de crédit.

Sans y réfléchir à deux fois, vous envoyez les informations personnelles, ce qui amène l’attaquant à utiliser vos coordonnées pour effectuer des milliers d’euros d’achats frauduleux.

Comment protéger vos informations contre les attaques d’ingénierie sociale ?

Bien que les tactiques d’ingénierie sociale soient courantes, les exemples présentés dans cet article soulignent à quel point il peut être difficile de les repérer ; et, plus important encore, d’y résister. Réagir en fonction de la nature de l’être humain pousse de nombreuses personnes vers le résultat souhaité par un cybercriminel.

Pour se prémunir contre la prévalence de ces tentatives d’ingénierie sociale, il est essentiel de s’armer des bons outils et connaissances.

Bonus – 3 différentes techniques d’attaques utilisant l’ingénierie sociale supplémentaires

Bonus 1 – Smishing : un type de hameçonnage par SMS

Comme le suggère la définition du smishing, le terme combine « SMS » et « phishing ». Lorsque les cybercriminels effectuent du « phishing », ils envoient des e-mails frauduleux visant à inciter le destinataire à cliquer sur un lien malveillant. Le smishing utilise simplement des messages texte au lieu d’e-mails.

Essentiellement, ces cyberattaques ont pour objectif de voler vos données personnelles, qu’ils peuvent ensuite utiliser pour commettre des fraudes ou d’autres cybercrimes. Cela inclut généralement le vol d’argent, généralement le vôtre, mais parfois aussi celui de votre entreprise.

Bonus 2 – Arnaque au président : tentative d’usurpation d’identité du dirigeant

La « fraude au faux président » est un type d’attaque de whaling dans laquelle un criminel se faisant passer pour un dirigeant d’une entreprise convainc un employé à transférer volontairement une grosse somme d’argent directement sur le compte du criminel. Il peut être difficile d’imaginer que l’un de vos employés autoriserait un virement bancaire vers un compte inconnu, mais on a constaté une augmentation des usurpations d’identité et la survenue de cette arnaque au cours des dernières années.

Bonus 3 – L’ingénieur social et la fraude par fax

Le diable se cache parfois dans les détails, ou plutôt dans la soit disant réception d’un fax … Parfois, l’attaquant cherche à tromper les destinataires en leur envoyant une notification par courrier électronique indiquant qu’ils ont reçu un fax.

L’objectif est d’inciter les destinataires à ouvrir le fichier joint et à saisir leurs identifiants de connexion sur un site de collecte d’identifiants se faisant passer pour un service e-Fax légitime.

Prévention contre ces différentes techniques d’attaques utilisant l’ingénierie sociale

Les conseils suivants peuvent vous aider à améliorer votre vigilance face aux différentes techniques d’attaques utilisant l’ingénierie sociale ; mais ils ne replaceront jamais une bonne sensibilisation à la sécurité informatique. 

  • N’ouvrez pas les e-mails et les pièces jointes provenant de sources suspectes – Si vous ne connaissez pas l’expéditeur en question, vous n’avez pas besoin de répondre à un e-mail. Même si vous les connaissez et que vous vous méfiez de leur message, recoupez et confirmez les informations provenant d’autres sources, par exemple par téléphone ou directement depuis le site d’un fournisseur de services. N’oubliez pas que les adresses e-mail sont constamment usurpées ; même un e-mail censé provenir d’une source fiable peut en réalité avoir été envoyé par un fraudeur.
  • Utiliser l’authentification multifacteur – L’une des informations les plus précieuses recherchées par les attaquants sont les informations d’identification des utilisateurs. L’utilisation de l’authentification multifacteur permet de garantir la protection de votre compte en cas de compromission du système.
  • Méfiez-vous des offres alléchantes – Si une offre semble trop alléchante, réfléchissez-y à deux fois avant de l’accepter comme un fait. Rechercher le sujet sur Google peut vous aider à déterminer rapidement si vous avez affaire à une offre légitime ou à un piège.
  • Maintenez votre logiciel antivirus/antimalware à jour – Assurez-vous que les mises à jour automatiques des votre logiciel antivirus professionnel sont activées ou prenez l’habitude de télécharger les dernières mises à jour chaque jour à la première heure. Vérifiez périodiquement que les mises à jour ont été appliquées et analysez votre système pour détecter d’éventuelles infections.
DEVIS EXTER GRATUIT

Recevez votre devis personnalisé dans la journée

Dites-nous ce qu'il vous faut, on s'occupe de tout !

Demander un devis
Mathieu CARLIER
Mathieu CARLIER
CMO

Spécialiste des télécommunications, de l'informatique et de la cybersécurité depuis 2005, Mathieu CARLIER a travaillé pour plusieurs opérateurs télécoms B2B et des éditeurs de logiciels.

Related Posts
Close
Search

Hit enter to search or ESC to close