Les attaques d’ingénierie sociale exploitent la nature humaine pour en tirer profit, en abusant de notre confiance, cupidité, peur, curiosité et même de notre désir d’aider les autres. Une étude montre que 75% des personnes interrogées pensent que les attaques d’ingénierie sociale et de phishing constituent le plus grand danger pour la cybersécurité de leur entreprise. Ces menaces évoluent et, si l’incidence des attaques traditionnelles a tendance à diminuer, les attaques plus sophistiquées, elles, prospèrent. Rester vigilant et s’informer sont les clés de la sécurité.
Carlos Salas, un engineering manager chez NordLayer, présente 10 techniques d’ingénierie sociale que les pirates peuvent utiliser pour cibler à la fois les individus et les entreprises. Selon Carlos Salas, "l’ingénierie sociale est l’un des moyens les plus faciles d’accéder à des données sensibles, en particulier lorsque les employés n’ont pas été formés à la reconnaître et à la combattre. Chaque membre de l’organisation étant une cible potentielle, une formation interactive et informative permet de mettre un terme à ces attaques." Ci-dessous, il partage son expertise pour éviter toute perte potentielle et donne des exemples d’attaques de ce type.
Les attaques par appât utilisent une fausse promesse pour éveiller la cupidité ou la curiosité de la victime. Les auteurs de ces opérations utilisent un appât pour attirer les utilisateurs dans un piège qui leur vole leurs informations personnelles ou infecte leurs systèmes avec des logiciels malveillants. Par exemple, des clés USB infectées sont laissées dans des parkings ou des bureaux, incitant les gens à découvrir ce qu’elles contiennent. N’essayez jamais de vérifier le contenu d’une clé USB laissée sans surveillance et signalez-la à l’équipe de sécurité si vous en voyez traîner.
Un pirate utilise un scénario fictif (un prétexte) pour inciter un employé à divulguer des informations sensibles, par exemple des données de connexion à des systèmes informatiques ou des informations personnelles sur d’autres employés. Il est souvent nécessaire d’effectuer des recherches sur la cible avant l’attaque pour rendre le scénario plausible et gagner la confiance de la victime. Si cela se produit, la chose la plus importante est de vérifier l’identité, d’éviter de partager des détails personnels et de signaler l’incident à l’équipe informatique.
Dans une attaque de type "watering-hole", l’attaquant contamine un site Web existant ou crée un faux site qui imite un site existant souvent utilisé par un certain groupe de personnes, par exemple les employés d’une entreprise. L’objectif est d’infecter l’ordinateur de l’utilisateur ciblé et d’accéder, par exemple, au réseau de son lieu de travail. Pour vous protéger, n’accédez qu’aux sites Web dont le code URL comporte la mention HTTPS, mettez à jour vos logiciels et utilisez des outils de détection des logiciels malveillants.
Les attaques de type "quid pro quo" s’appuient sur le sens de la réciprocité. Les pirates proposent des services, une assistance ou d’autres avantages en échange d’informations. Par exemple, quelqu’un qui se fait passer pour un expert en informatique peut demander les identifiants de connexion de votre appareil afin de le faire fonctionner plus rapidement. Afin d’éviter la perte d’informations, vérifiez l’identité du technicien informatique, remettez en question les méthodes et les outils et utilisez un logiciel anti-malware.
Le scareware est une forme de logiciel malveillant, généralement une fenêtre contextuelle qui vous avertit que votre logiciel de sécurité est obsolète ou qu’un logiciel malveillant a été détecté sur votre appareil. Ils incitent les victimes à visiter des sites Web malveillants ou à acheter des logiciels antivirus sans valeur. Utilisez un bloqueur de publicité et un antivirus fiable et évitez de cliquer sur les fenêtres publicitaires.
Le talonnage et le piggybacking consistent en l’accès d’un pirate à une zone sécurisée ou restreinte. Par exemple, une personne peut suivre un employé jusqu’au bureau, en prétendant avoir perdu sa carte d’accès, en se faisant passer pour un technicien de réparation ou en tenant une tasse de café dans ses deux mains et en vous demandant de l’aider à ouvrir la porte.
Le vishing, aussi appelé hameçonnage vocal, est une pratique qui consiste à obtenir des informations ou à tenter d’influencer un interlocuteur par téléphone. Rien qu’en 2021, TrueCaller rapporte que les Américains ont perdu 29 800 000 dollars à cause d’escroqueries téléphoniques. Évitez de répondre aux courriels ou aux messages sur les réseaux sociaux qui vous demandent votre numéro de téléphone. Rappelez-vous que vos collègues ne vous appelleront jamais chez vous pour vous demander de transférer des fonds ou toute autre information sensible.
Le Shoulder surfing consiste pour le malfaiteur à observer sa victime peu méfiante pendant qu’elle saisit des mots de passe et d’autres informations sensibles. Mais cette technique ne doit pas nécessairement être utilisée de près, en regardant littéralement par-dessus l’épaule de la victime. Le pirate peut l’employer à distance en utilisant des jumelles ou des caméras cachées, par exemple. Afin d’éliminer le risque d’être espionné de cette manière, assurez-vous d’utiliser des mots de passe forts et à authentification unique, la biométrie et l’authentification à deux facteurs.
Les pirates fouillent les poubelles de votre entreprise à la recherche de documents contenant des informations sensibles ou confidentielles. Utilisez toujours un destructeur de fichiers pour éviter les fuites d’informations.
Les deepfakes ("deep learning" + "fake") sont des contenus multimédias artificiels dans lesquels une personne présente dans une image, un son ou une vidéo est remplacée par le portrait de quelqu’un d’autre. Il est possible de détecter les deepfakes. Veillez à vérifier si des ombres apparaissent sur le visage, si les yeux clignent et essayez de détecter les rides. Méfiez-vous des enregistrements d’appels téléphoniques de mauvaise qualité et faites attention à la prononciation des lettres comme f, s, v et z, les logiciels ont du mal à les différencier du bruit.