ARIADNEXT devient IDnow.En savoir plus.

Ingénierie sociale

Qu'est-ce que l'ingénierie sociale ?

En cybersécurité, l'ingénierie sociale, ou social engineering en anglais, se définit comme un vecteur d'attaque utilisant le facteur humain. En d'autres termes, les techniques d'ingénierie sociale exploitent les erreurs et les comportements humains afin d'accéder à des informations d'identification, des lieux physiques, des codes d'accès, etc. Ainsi, l'ingénierie sociale, contrairement aux cyberattaques, fait appel aux vulnérabilités humaines. Elle est considérée comme le moyen le plus efficace d'obtenir l'accès aux éléments cités précédemment, sans avoir à mener une cyberattaque. Le terme a été popularisé par le célèbre pirate informatique Kevin Mitnick, qui utilisait régulièrement des techniques d'ingénierie sociale en complément de ses attaques.

Dans le domaine de l'usurpation d'identité, le social engineering se présente souvent sous la forme d'une structure frauduleuse impliquant un transfert d'argent. En général, les fraudeurs piègent des personnes crédules pour qu'elles s'inscrivent à un service en utilisant leurs documents d'identité valides. Le compte de la victime est alors usurpé par le fraudeur et utilisé pour générer de l'argent en retirant des sommes ou en effectuant des transferts en ligne.

Qu'est-ce qu'une attaque par ingénierie sociale ?

Les attaques par ingénierie sociale sont menées par des ingénieurs sociaux spécialisés dans les techniques de psychologie, de duperie et de manipulation. Les ingénieurs sociaux peuvent utiliser différentes tactiques pour réaliser une attaque, en fonction de leurs victimes, des moyens dont ils disposent et de l'objectif de l'attaque. Les attaques par ingénierie sociale sont donc un puissant vecteur de cyber-malveillance. Une attaque par ingénierie sociale est généralement perpétrée en quatre étapes :

  1. Collecte d'informations et enquête : Les attaquants commencent par identifier leur(s) victime(s) et collectent des éléments en utilisant des techniques de renseignement sur source ouverte (OSINT - Open Source Intelligence, Technique), qui les aideront à rendre leur approche plus crédible, ainsi qu'à choisir la méthode qu'ils utiliseront pour mener leur attaque.
  2. L'approche de la cible : Une fois la phase de collecte effectuée, il est temps pour les attaquants d'exploiter les informations obtenues afin de contacter la victime et de se faire passer pour une personne de confiance. Différents moyens peuvent être utilisés pour effectuer une approche, comme les courriels, le téléphone ou même une rencontre directe avec la victime.
  3. Exploitation : Lorsque la relation ou le contact a été établi grâce aux informations obtenues, c'est à ce moment que l'attaquant va atteindre son objectif. Par exemple, il obtiendra des informations d'identification, exposera des secrets commerciaux, infectera le réseau d'une entreprise par le biais d'une clé USB ou obtiendra un accès physique à un site de l'entreprise.
  4. Sortie : L'attaque se termine lorsque l'attaquant a obtenu ce qu'il cherchait. À ce stade, l'attaquant s'en va généralement rapidement avant que la victime ne commence à se rendre compte de ce qui s'est passé et à s'interroger sur les actions de l'attaquant. Selon la technique utilisée, l'attaquant couvrira ses traces en effaçant les empreintes et objets numériques grâce à des outils dédiés, ne laissant aucune information derrière lui, restant non détecté et gardant son identité en sécurité.

Illustrons ces quatre étapes en prenant l'exemple d'une attaque d'hameçonnage visant les employés d'une entreprise stratégique.

Tout d'abord, les attaquants tenteront de collecter un maximum d'informations sur l'entreprise et ses derniers développements, ainsi que sur ses partenaires, fournisseurs et clients, afin de pouvoir se faire passer pour l'un de ces derniers.

Ensuite, ils créeront un e-mail en utilisant l'identité et le modèle de l'entité usurpée. L'attaquant contactera la cible sous un faux prétexte, comme une facture impayée à un fournisseur, et inclura un lien malveillant.

Dans ce scénario, les employés du service comptable sont susceptibles d'être les victimes d'une telle attaque. Provenant d'une source connue, l'e-mail est envoyé pendant la période de facturation appropriée et est lié à un projet en cours, de sorte que les comptables sont susceptibles de cliquer sur le lien hypertexte qu'il contient.

L'objectif final peut dépendre, mais il peut très bien s'agir d'accéder aux réseaux de l'entreprise pour voler des secrets commerciaux ou installer un ransomware pour obtenir une importante compensation financière.

Quelles sont les différentes formes d'une attaque par ingénierie sociale ?

Bien que les attaques par ingénierie sociale soient souvent associées à l’hameçonnage (phishing), d'autres formes d'attaques sont englobées dans son cadre :

  • Baiting : Utilisant de fausses promesses pour attirer l'attention de la victime, une attaque par "bait" tente de susciter la cupidité ou la curiosité d'un individu. En proposant quelque chose qui sort de l'ordinaire, l'attaquant tentera d'inciter la victime à cliquer sur un lien, afin de gagner un prix important, comme un smartphone ou même de l'argent. Une autre technique de baiting utilisée consiste à disperser des clés USB devant le bâtiment d'une entreprise, dans l'espoir qu'un employé trop curieux branchera cette clé sur son ordinateur professionnel pour en vérifier le contenu, et infectera ainsi le réseau de son entreprise.
  • Pretexting : Le pretexting est un type d'attaque d'ingénierie sociale, visant à manipuler la victime pour qu'elle fournisse des informations ou accomplisse une action. Généralement menée en se faisant passer pour une personne de confiance ayant une certaine autorité, comme des collègues de travail, la police ou des responsables administratifs, l'attaquant prétendra avoir besoin d'informations sensibles dans le cadre de ses missions, ou que la victime effectue des actions spécifiques. La confiance est le principal moteur de cette technique, car l'attaquant tentera d'établir une relation à travers un faux récit avec sa victime avant d'agir;
  • Phishing et spear-phishing (Hameçonnage et hameçonnage ciblé) : Le phishing est le processus qui consiste à tenter de recueillir des informations personnelles telles que des identifiants ou des informations de paiement, ou à amener un utilisateur à cliquer sur un lien ou une pièce jointe malveillante. Alors que le phishing vise les masses en envoyant des courriels, des SMS ou en appelant des centaines ou des milliers de personnes, le spear-phishing consiste à cibler des individus ou des entreprises spécifiques, pour atteindre un objectif prédéterminé. Par conséquent, seules quelques victimes seront sélectionnées afin d'élaborer un e-mail personnalisé qui sera attrayant pour la personne qui le reçoit.
  • Scareware (faux logiciel de sécurité) : Bien qu'utilisant la technologie, le scareware est un logiciel conçu pour tromper les utilisateurs en leur faisant croire qu'ils doivent télécharger un antivirus ou un logiciel pour prévenir les cyberattaques, alors qu'ils téléchargent en fait un programme malveillant, comme un ransomware (rançongiciel). Apparaissant généralement sous la forme d'une fenêtre contextuelle, les scarewares visent à effrayer la victime afin qu'elle agisse le plus rapidement possible sans remettre en question la véracité de la demande.

Comment prévenir les attaques par ingénierie sociale ?

Étant donné que le succès d'une attaque par ingénierie sociale repose en grande partie sur les vulnérabilités des acteurs humains impliqués, la formation et l'éducation sont les moyens les plus efficaces de prévenir ces menaces. En effet, l'un des meilleurs moyens de défenses est d'apprendre au personnel à détecter et à donner l'alerte en cas de soupçons.

Quelques conseils pour détecter une attaque par ingénierie sociale :

  • Vous recevez un e-mail, un appel téléphonique ou un SMS d'une personne ou d'une entreprise connue, mais l'e-mail semble étrange;
  • Il y a un sentiment d'urgence dans le message que vous recevez;
  • Vous recevez une offre qui semble trop belle pour être vraie (par exemple, une offre d'emploi avec un salaire bien au-dessus du marché, un prix);
  • Quelqu'un vous appelle sous un faux prétexte et vous demande des informations qui peuvent être sensibles (informations sur des clients ou des fournisseurs, évolution future de l'entreprise, éléments financiers, etc.
  • L'identité de l'expéditeur n'est pas vérifiée et le courriel peut apparaître comme suspect.

Ainsi, les bonnes habitudes doivent être partagées avec les employés et faire partie de la culture de l'entreprise. Les bonnes pratiques suivantes peuvent contribuer à dissuader les attaques par ingénierie sociale :

  1. Le "réflexe du clic" est une mauvaise pratique qu'il convient d'effacer afin d'éviter de lancer des téléchargements non désirés ou des sites web malveillants;
  2. Lorsqu'un courriel semble étrange, suspect ou contient des fautes de grammaire, le destinataire devrait toujours vérifier l'identité de l'expéditeur, afin de confirmer l'authenticité de la demande;
  3. Alerter la personne concernée en cas de réception d'un courriel ou d'un appel téléphonique suspect ou de tout autre contact suspect.
  4. Améliorer les défenses techniques, en mettant en place une authentification multi-facteurs, des filtres anti-spam, une politique de mot de passe et en menant une campagne de sensibilisation à l'ingénierie sociale.

Quelle est la différence entre l'ingénierie sociale et les mules financières ?

Contrairement aux mules financières, les victimes de l'ingénierie sociale ne sont pas conscientes que leurs actions peuvent avoir des conséquences juridiques... En fait, leur collaboration avec le fraudeur n'est pas aussi apparente car elles s'impliquent par le biais d'une manipulation psychologique. Elles sont amenées à ouvrir des comptes, par exemple, par le biais d'annonces d'emploi, qui ressemblent à première vue au site de Pole Emploi. D'autres exemples concernent la demande d'un prêt. Les utilisateurs sont alors convaincus que le crédit ne peut être accordé qu'à certaines conditions, qui consistent généralement à ouvrir un compte auprès d'une institution financière et à transmettre ensuite les informations d'identification aux fraudeurs.

Grace au Social Engineering, les criminels récupèrent les accès aux comptes bancaires récemment créées, ce qui peut engendrer des malversations financières au nom de la victime. L'escroc restera ainsi non détecté, et la conséquence reposera directement sur la personne sans qu'elle en ait conscience.

 

Rapport de tendances : Fraude à l'identité 2022

Découvrez les dernières tendances en matière de fraude et comment les prévenir dans notre rapport de tendances 2022.

Téléchargez-le dès maintenant !

RAPPORT-FRAUDE-IDENTITE

Des questions ?

Contactez-nous!
Play