L’ingénierie sociale (Social Engineering) exploite la bonne volonté des gens pour s’emparer d’informations personnelles ou corporatives qui peuvent ensuite être utilisées pour commettre d’autres cybercrimes.
Elle peut prendre plusieurs formes : un courriel, un message texte ou un appel téléphonique1. Dans tous les cas, ces communications proviennent d’un soi-disant collègue ou ami ou d’une compagnie connue. De plus, dans son message, le cybercriminel peut utiliser un ton pressant pour convaincre sa victime d’agir sans y penser à deux fois.
Il est difficile de se défendre contre l’ingénierie sociale, car notre attitude fluctue selon les circonstances. Les « bons » cybercriminels piègent leurs victimes au moment et dans des contextes où elles ne s’y attendent pas.
Une bonne amie trop prompte à nous trahir
En effet, qui que nous soyons, nous ne sommes pas à l’abri d’un faux pas. Même si les victimes savent qu’elles doivent se méfier des messages qui promettent mer et monde ou qui les menacent d’être emprisonnées sans avertissement, il arrive parfois que nous prêtions foi à ces allégations.
Qui plus est, une même personne peut être victime d’une attaque d’ingénierie sociale plus d’une fois, car les raisons de flancher sont nombreuses : être trop occupé, temporairement distrait, se croire trop confiant ou particulièrement chanceux peuvent tous engendrer les mêmes conséquences fâcheuses.
En fait, un être humain est beaucoup plus facile à pirater que le réseau d’une entreprise.
Une grande famille… hélas!
Malheureusement pour nous, la famille de l’ingénierie sociale est nombreuse. Et comme dans une famille, chacune des formes a sa personnalité :
L’hameçonnage (Phishing) est une tactique par laquelle un cybercriminel utilise des courriels, des sites Web et des messages textes qui semblent familiers à la victime visée – à quelques subtilités près – afin de lui soutirer des informations confidentielles.
Le harponnage (Spear Phishing) est une attaque contre des individus et des entreprises ciblés. Le criminel met en place des tactiques ingénieuses pour recueillir des données personnelles sur ses cibles pour ensuite envoyer des courriels qui semblent familiers et dignes de confiance.
L’appâtage (Baiting) promet une récompense à la victime en échange d’une action. Un rabais monstre en retour du branchement d’une clé USB ou du téléchargement d’une pièce jointe, par exemple, qui enregistrera par la suite des données de l’appareil de la victime.
L’attaque de point d’eau (Water-holing) repère un site Web visité fréquemment par un groupe d’utilisateurs précis. Le cybercriminel trouve une faille de sécurité dans ce site et y introduit un maliciel, afin que l’un des membres du groupe y soit piégé lors d’une prochaine visite. Ce procédé sournois est très difficile à détecter.
L’hameçonnage vocal (Vishing) a recours à la messagerie vocale pour avertir les victimes qu’elles courent un grave danger si elles n’agissent pas rapidement pour s’en prémunir. Par exemple, un message vocal pourrait demander à la victime de réinitialiser immédiatement ses informations bancaires, son compte ayant été piraté.
Prétexter (Pretexting) utilise une fausse identité pour amener les victimes à se compromettre à la suite d’un comportement. Par exemple, le cybercriminel apprend qu’une personne a acheté un produit chez un marchand précis. Il communique alors avec elle par courriel en prétendant être un représentant du service à la clientèle, et en lui demandant de préciser ses informations de carte de crédit.
L’arnaque de la contrepartie (Quiproquo) offre un service à la victime en échange d’une action. Dans une de ses formes classiques, un faux employé des TI joint les victimes ayant fait des demandes d’assistance technique et leur promet une solution rapide si elles désactivent leur logiciel antivirus ou confirment leurs données d’accès.
Le talonnage (Tailgating) permet à une personne dépourvue d’autorisation de pénétrer dans un bâtiment ou une zone sécurisée, soit en suivant quelqu’un de près ou en prétendant avoir oublié sa carte magnétique et en demandant qu’on lui donne l’accès.
Vous souhaitez en savoir plus afin de naviguer sur le Web en toute sécurité? Consultez nos conseils pour rester à l’abri des cybercriminels.
1 https://cba.ca/social-engineering?l=fr