Ingénierie sociale (dans le domaine de la cybersécurité)

L'ingénierie sociale décrit une série de méthodes d'attaque non techniques utilisées par les cybercriminels pour amener les utilisateurs à contourner les protocoles de sécurité ou d'autres processus commerciaux, à effectuer des actions nuisibles ou à divulguer des informations sensibles.

5 minutes

5 minutes

Comment fonctionne l'ingénierie sociale ?

La plupart des techniques d'ingénierie sociale ne nécessitent aucune compétence technique de la part de l'attaquant, ce qui signifie que tout le monde, des petits voleurs aux attaquants les plus sophistiqués, peut opérer dans cet espace.

De nombreuses techniques relèvent du terme générique d'ingénierie sociale en cybersécurité. Parmi les plus connues figurent le spam et le phishing :

Le spam est toute forme de communication non sollicitée envoyée en masse. Le plus souvent, le spam est un courriel envoyé au plus grand nombre d'utilisateurs possible, mais il peut aussi être diffusé par des messages instantanés, des SMS et des médias sociaux. Le spam n'est pas de l'ingénierie sociale à proprement parler, mais certaines de ses campagnes utilisent des techniques d'ingénierie sociale telles que le phishing, le spearphishing, le vishing, le smishing ou la diffusion de pièces jointes ou de liens malveillants. 

Le phishing est une forme de cyberattaque dans laquelle le criminel se fait passer pour une entité digne de confiance afin de demander des informations sensibles à la victime. Ces types de fraude tentent généralement de créer un sentiment d'urgence ou utilisent des tactiques d'intimidation pour contraindre la victime à se conformer aux demandes de l'attaquant. Les campagnes de phishing peuvent cibler un grand nombre d'utilisateurs anonymes, ou une ou plusieurs victimes spécifiques.

Mais ce ne sont pas les seules techniques. Méfiez-vous aussi de celles-ci :

Le spearphishing est une forme ciblée de phishing dans laquelle l'attaquant envoie des messages hautement personnalisés à un groupe limité de personnes, voire à un seul individu, dans le but de récolter leurs données ou de les manipuler pour qu'ils effectuent des actions nuisibles. 

Le vishing et le smishing sont des techniques d'ingénierie sociale similaires au phishing mais menées par d'autres moyens que le courrier électronique. Le vishing (hameçonnage vocal) utilise des appels téléphoniques frauduleux, tandis que le smishing (hameçonnage par SMS) utilise des SMS contenant des liens ou des contenus malveillants.

L'usurpation d'identité en cybersécurité a une signification similaire à son équivalent dans le monde physique. Les cybercriminels agissent au nom d'un personnage digne de confiance et trompent les victimes pour les amener à prendre des mesures qui leur nuisent à elles-mêmes ou à leur organisation. Un exemple typique est celui d'un attaquant qui se fait passer pour le PDG d'une entreprise - alors que celui-ci n'est pas présent - pour commander et approuver des transactions frauduleuses.

Les escroqueries au support technique sont généralement de faux appels téléphoniques ou de fausses publicités sur Internet dans lesquels les attaquants proposent aux victimes des services de support technique non sollicités. En réalité, les cybercriminels essaient de gagner de l'argent en vendant de faux services et en résolvant des problèmes inexistants.

Les scarewares sont des logiciels qui utilisent diverses techniques anxiogènes pour inciter les victimes à installer d'autres codes malveillants sur leurs appareils, tout en obtenant généralement des paiements pour des logiciels non fonctionnels ou carrément malveillants. Un exemple typique est un faux produit antivirus conçu pour faire croire aux utilisateurs que leurs appareils ont été compromis et qu'ils doivent installer un logiciel spécifique (généralement dangereux) pour résoudre le problème.

Les (cyber)escroqueries sont des stratagèmes frauduleux qui utilisent souvent une, voire plusieurs, des techniques d'ingénierie sociale décrites dans cette section.

Pourquoi les PME devraient-elles se préoccuper de l'ingénierie sociale ?

Les PME sont de plus en plus conscientes d'être des cibles pour les cybercriminels, selon une enquête de 2019 menée par Zogby Analytics pour le compte de la US National Cyber Security Alliance. Près de la moitié (44 %) des entreprises de 251 à 500 employés ont déclaré avoir subi une violation officielle des données au cours des 12 derniers mois. L'enquête a révélé que 88 % des petites entreprises estiment qu'elles sont au moins une cible "assez probable" pour les cybercriminels, dont près de la moitié (46 %) qui pensent être une cible "très probable".

Les dommages sont réels et étendus, un point bien illustré par le rapport annuel du FBI's Internet Crime Center (IC3). Le FBI estime que, pour la seule année 2018, les entreprises américaines ont perdu plus de 2,7 milliards de dollars à cause de cyberattaques, dont 1,2 milliard de dollars attribués à la compromission d'e-mails professionnels (business email compromise - BEC)/compromission de comptes e-mail (email account compromise - EAC) qui ont permis des transferts de fonds non autorisés.

Comment reconnaître une attaque d'ingénierie sociale ?

Il existe plusieurs signaux d'alarme qui peuvent signaler une attaque d'ingénierie sociale. Une grammaire et une orthographe médiocres sont un signe révélateur. Il en va de même d'un sentiment d'urgence accru qui vise à inciter le destinataire à agir sans se poser de questions. Toute demande de données sensibles doit immédiatement tirer la sonnette d'alarme : les entreprises réputées ne demandent généralement pas de mots de passe ou de données personnelles par courrier électronique ou par SMS.

Voici quelques-uns des signaux d'alarme qui indiquent une ingénierie sociale :

1. Une langue médiocre et vague

En général, les attaquants ne font pas trop attention aux détails et envoient des messages pleins de fautes de frappe, de mots manquants et de mauvaise grammaire. Les salutations et formulations génériques sont un autre élément linguistique qui peut signaler une tentative d'attaque. Ainsi, si un courriel commence par "Cher destinataire" ou "Cher utilisateur", méfiez-vous.

2. Une adresse d'expéditeur étrange

La plupart des spammeurs ne prennent pas le temps d'usurper le nom ou le domaine de l'expéditeur afin de donner l'impression qu'il est digne de confiance. Par conséquent, si un courriel provient d'une adresse qui est un mélange de chiffres et de caractères aléatoires ou qui est inconnue du destinataire, il doit aller directement dans le dossier des spams et être signalé au service informatique.

3. Un sentiment d'urgence

Les criminels à l'origine des campagnes d'ingénierie sociale tentent souvent de faire peur aux victimes en utilisant des phrases anxiogènes telles que "envoyez-nous vos coordonnées immédiatement, ou votre colis sera jeté" ou "si vous ne mettez pas votre profil à jour maintenant, nous fermerons votre compte". Les banques, les sociétés de transport de colis, les institutions publiques et même les services internes communiquent généralement de manière neutre et factuelle. Par conséquent, si le message tente de pousser le destinataire à agir rapidement, il s'agit probablement d'un message malveillant et d'une arnaque potentiellement dangereuse.

4. Une demande d'informations sensibles

Les institutions et même les autres services de votre propre entreprise ne demanderont normalement pas d'informations sensibles par courrier électronique ou par téléphone - sauf si le contact a été initié par le collaborateur.

5. Si quelque chose semble trop beau pour être vrai, c'est probablement le cas.

Cela vaut aussi bien pour les cadeaux non sollicités sur les médias sociaux que pour cette "excellente opportunité commerciale, mais limitée dans le temps" qui vient d'atterrir dans votre boîte aux lettres.

5 façons de protéger votre organisation contre les attaques d'ingénierie sociale

1. Formation régulière à la cybersécurité de TOUS les employés, y compris les cadres supérieurs et le personnel informatique. N'oubliez pas que cette formation doit montrer ou simuler des scénarios réels. Les points d'apprentissage doivent être exploitables et, surtout, testés activement en dehors de la salle de formation : les techniques d'ingénierie sociale s'appuient sur la faible sensibilisation de leurs cibles à la cybersécurité.

2. Recherchez les mots de passe faibles qui pourraient potentiellement devenir une porte ouverte dans le réseau de votre organisation pour les attaquants. De plus, protégez les mots de passe avec une autre couche de sécurité en mettant en place une authentification multi-facteurs.

3. Mettre en place des solutions techniques pour lutter contre les communications frauduleuses afin que les spams et les messages de phishing soient détectés, mis en quarantaine, neutralisés et supprimés. Les solutions de sécurité, dont beaucoup sont fournies par ESET, ont certaines ou toutes ces capacités.

 

4. Créez des règles de sécurité compréhensibles que les employés peuvent utiliser et qui les aident à identifier les mesures qu'ils doivent prendre lorsqu'ils sont confrontés à l'ingénierie sociale.

5. Utilisez une solution de sécurité et des outils d'administration, tels que ESET Cloud Administrator, pour protéger les terminaux et les réseaux de votre organisation en donnant aux administrateurs une visibilité totale et la possibilité de détecter et d'atténuer les menaces potentielles sur le réseau.

 

Combattre l'ingénierie sociale dès maintenant

ESET PROTECT
Advanced

Protégez votre organisation contre l'ingénierie sociale en utilisant les solutions de sécurité des points d'extrémité à plusieurs niveaux d'ESET, y compris la protection LiveGrid® via le cloud et la protection contre les attaques de réseau, et la console ESET PROTECT basée sur le cloud, pour donner à vos administrateurs une visibilité complète et détaillée du réseau, 24/7.