Qu’est-ce que l’ingénierie sociale ?
Lorsque nous pensons à la cybersécurité, la plupart d’entre nous pensent aux mesures de défense contre les pirates informatiques qui utilisent les faiblesses technologiques pour attaquer les réseaux de données. Cependant, il existe une autre façon de s’introduire dans les organisations et les réseaux : profiter des faiblesses humaines. C’est ce qu’on appelle l’ingénierie sociale, une technique qui permet d’accéder à des informations ou à des réseaux de données grâce à une technique de manipulation.
Par exemple, un intrus peut se présenter comme le personnel du service d’assistance informatique et demander aux utilisateurs de fournir des données, comme leurs noms d’utilisateur et leurs mots de passe. Il est surprenant de constater le nombre de personnes qui fournissent ces informations sans réfléchir, surtout si ces renseignements semblent être demandés par un représentant officiel.
Autrement dit, l’ingénierie sociale consiste à tromper une personne pour la manipuler de manière à accéder à des informations ou à des données ou de manière à ce que l’utilisateur divulgue celles-ci.
Les types d’attaques d’ingénierie sociale
Il existe différents types d’attaques d’ingénierie sociale. Il est important de comprendre la définition de l’ingénierie sociale ainsi que le fonctionnement de celle-ci. Une fois que le modus operandi général est défini, il est beaucoup plus facile de reconnaître des attaques d’ingénierie sociale.
Technique de l’appât
La technique de l’appât consiste à créer un piège, par exemple une clé USB contenant des logiciels malveillants. Lorsque quelqu’un est curieux de voir ce qui se trouve sur la clé, il connecte celle-ci à son lecteur USB, ce qui entraîne la contamination du système. Il existe en fait une clé USB qui permet de détruire les ordinateurs. Une fois insérée, elle se charge avec l’énergie du lecteur USB et la libère sous forme d’une surtension féroce, endommageant ainsi l’appareil dans lequel elle a été insérée. (Une telle clé USB coûte 54 dollars.)
Prétexte
Cette attaque utilise un prétexte pour attirer l’attention et inciter la victime à fournir des informations. Par exemple, un sondage sur Internet peut sembler tout à fait innocent au début, mais peut ensuite demander les détails d’un compte bancaire. Une personne munie d’un porte-bloc pourrait également se présenter et vous dire qu’elle effectue un contrôle des systèmes internes. Toutefois, il se peut qu’elle ne soit pas la personne qu’elle prétend être et qu’elle cherche à vous voler des informations précieuses.
Hameçonnage
Les attaques d’hameçonnage utilisent un email ou un message textuel qui prétend provenir d’une source fiable et qui demande des informations. Un exemple bien connu : un email est prétendument envoyé par une banque, qui veut que ses clients confirment leurs informations de sécurité et qui dirige les utilisateurs vers un faux site où leurs informations d’identification seront enregistrées. Le harponnage vise une seule personne au sein d’une entreprise. Cette pratique consiste à envoyer un email censé provenir d’un cadre supérieur de l’entreprise et qui demande des informations confidentielles.
Hameçonnage vocal et hameçonnage par SMS
Ces types d’attaques d’ingénierie sociale sont des variantes de l’hameçonnage : l’« hameçonnage » consiste simplement à appeler une personne et à lui demander de communiquer des données. Le malfaiteur peut se faire passer pour un collègue de travail, en se présentant par exemple comme un membre du service d’assistance informatique, et demander des identifiants de connexion. L’hameçonnage par SMS utilise des messages texte SMS pour tenter d’obtenir ces informations.
Quid pro quo
L’expression dit : « échange équitable n’est pas vol ». Toutefois, il s’agit bien d’un vol dans ce cas-ci. De nombreuses attaques d’ingénierie sociale font croire aux victimes qu’elles obtiennent quelque chose en échange des données ou de l’accès qu’elles fournissent. Les « faux logiciels de sécurité » fonctionnent de cette manière. Ils promettent aux utilisateurs une mise à jour pour corriger un problème de sécurité urgent, alors qu’en fait, ce sont les logiciels eux-mêmes qui représentent la menace de sécurité.
Envoi de spams et piratage de messageries électroniques
Ce type d’attaque implique le piratage des comptes de messageries ou des réseaux sociaux d’une personne pour accéder à ses contacts. Les contacts peuvent recevoir un message indiquant que cette personne a été agressée et qu’elle a perdu toutes ses cartes de crédit. Ensuite, elles seront invitées à effectuer un virement sur un compte de transfert d’argent. Ou encore, une personne qui prétend être un ami peut envoyer une « vidéo à voir obligatoirement » qui redirige vers un logiciel malveillant ou vers un cheval de Troie enregistreur de frappe.
Exploitation ou chasse
Il faut savoir que certaines attaques d’ingénierie sociale sont beaucoup plus développées. La plupart des stratégies que nous avons décrites sont une forme de « chasse ». En bref, il s’agit d’entrer, de saisir l’information et de sortir.
Cependant, certains types d’attaques d’ingénierie sociale consistent à établir une relation avec la cible afin d’extraire plus d’informations sur une période plus longue. Cette méthode est appelée « exploitation » (farming) et est plus risquée pour l’attaquant, car les chances d’être découvert sont plus élevées. Toutefois, si l’infiltration réussit, elle peut permettre d’obtenir beaucoup plus d’informations.
Comment échapper aux attaques d’ingénierie sociale ?
Les attaques d’ingénierie sociale sont particulièrement difficiles à neutraliser, car elles sont conçues pour agir sur des qualités humaines naturelles, comme la curiosité, le respect de l’autorité et le désir d’aider ses amis. Voici quelques conseils qui peuvent aider à détecter les attaques d’ingénierie sociale…
Vérifier la source
Réfléchissez un instant à la source de l’information et ne vous y fiez pas aveuglément. Une clé USB apparaît sur votre bureau, et vous ne savez pas d’où elle vient ? Un appel soudain révèle que vous avez hérité de 5 millions de dollars ? Un email du PDG de votre entreprise vous demande une série d’informations sur des employés ? Tous ces éléments semblent suspects et doivent être traités avec prudence.
Il n’est pas difficile de vérifier la source. Par exemple, dans le cas d’un email, examinez l’en-tête de l’email et comparez-le à celui d’emails reçus et vérifiés du même expéditeur. Regardez où mènent les liens. Les hyperliens usurpés sont faciles à repérer. Il suffit de les survoler avec votre souris (mais ne cliquez pas sur les liens !) Vérifiez l’orthographe : les banques emploient un ensemble de personnes qualifiées qui se consacrent à la rédaction des communications avec les clients, donc un email comportant des erreurs flagrantes est probablement faux.
En cas de doute, consultez le site officiel et prenez contact avec un représentant officiel, qui pourra vous confirmer que l’email ou le message est officiel.
De quelles informations disposent-ils ?
La source ne détient pas des informations qu’elle est censée connaître, comme votre nom complet, etc. ? Sachez que quand une banque vous appelle, le représentant devrait avoir toutes vos données sous les yeux. En plus de cela, il vous posera toujours des questions de sécurité avant de procéder à tout changement sur votre compte. Si ce n’est pas le cas, il y a de fortes chances que ce soit un faux email/appel/message, et vous devez vous méfier.
Échapper au piège
Les méthodes de l’ingénierie sociale reposent sur un sentiment d’urgence. Les attaquants attendent de leurs cibles qu’elles ne se posent pas trop de questions sur la situation. Un moment de réflexion peut ainsi prévenir des attaques ou dévoiler la fausse identité de l’appelant.
Appelez le numéro officiel ou consultez le site officiel, plutôt que de communiquer des données par téléphone ou de cliquer sur un lien. Utilisez un autre mode de communication pour vérifier la crédibilité de la source. Par exemple, si vous recevez un email d’un ami vous demandant de transférer de l’argent, envoyez-lui un SMS sur son téléphone portable ou appelez-le pour vérifier qu’il s’agit bien de lui.
Demander une preuve d’identité
L’une des attaques d’ingénierie sociale les plus faciles consiste à contourner la sécurité pour entrer dans un bâtiment en transportant une grosse boîte ou une pile de documents. Après tout, une personne bienveillante tiendra la porte et laissera passer le fraudeur. Ne vous laissez pas avoir. Demandez toujours une preuve d’identité.
Le même principe s’applique aux autres méthodes. Toute demande d’informations devrait être suivie d’une vérification du nom et du numéro d’identité de la personne qui appelle ou de la question « Quel organisme représentez-vous ? ». Il suffit ensuite de consulter l’organigramme de l’organisation ou l’annuaire téléphonique avant de communiquer des informations privées ou des données personnelles. Si vous ne connaissez pas la personne qui réclame les informations et si vous hésitez encore à les lui transmettre, dites-lui que vous devez vérifier son identité auprès d’une autre personne et que vous la rappellerez.
Use a good spam filter
If your email program isn't filtering out enough spam or marking emails as suspicious, you might want to alter the settings. Good spam filters use various kinds of information to determine which emails are likely to be spam. They might detect suspicious files or links, they may have a blacklist of suspicious IP addresses or sender IDs, or they may analyze the content of messages to determine which are likely to be fake.
Is this realistic?
Some social engineering attacks work by trying to trick you into not being analytical and taking the time to assess whether the situation is realistic can help detect many attacks. For example:
- If your friend was really stuck in China with no way out, would they send you an email or would they ring you/ text you as well?
- Is it likely that a Nigerian prince left you a million dollars in his will?
- Would the bank ring up asking for your account details? In fact, many banks note when they send emails to their customers or talk to them on the phone. So double check if you’re not sure.
Don't go too fast
Be particularly wary when you feel a sense of urgency coming into a conversation. This is a standard way for malicious actors to stop their targets thinking the issue through. If you're feeling pressured, slow the whole thing down. Say you need time to get the information, you need to ask your manager, you don't have the right details with you right now — anything to slow things down and give yourself time to think.
Most of the time, social engineers won't push their luck if they realize they've lost the advantage of surprise.
Secure your devices
It's also important to secure devices so that a social engineering attack, even if successful, is limited in what it can achieve. The basic principles are the same, whether it's a smartphone, a basic home network or a major enterprise system.
- Keep your anti-malware and anti-virus software up to date. This can help prevent malware that comes through phishing emails from installing itself. Use a package like Kaspersky's Antivirus to keep your network and data secure.
- Keep software and firmware regularly updated, particularly security patches.
- Don't run your phone rooted, or your network or PC in administrator mode. Even if a social engineering attack gets your user password for your 'user' account, it won't let them reconfigure your system or install software on it.
- Don't use the same password for different accounts. If a social engineering attack gets the password for your social media account, you don't want them to be able to unlock all of your other accounts too.
- For critical accounts, use two-factor authentication so that just having your password isn't enough to access the account. That might involve voice recognition, use of a security device, fingerprinting, or SMS confirmation codes.
- If you just gave away your password to an account and think you may have been 'engineered', change the password straight away.
- Keep yourself informed about new cybersecurity risks by becoming a regular reader of our Resource Center. You'll then know all about new methods of attack as they emerge, making you much less likely to become a victim.
Think about your digital footprint
You might also want to give some thought to your digital footprint. Over-sharing personal information online, such as through social media, can help attackers. For instance, many banks have 'name of your first pet' as a possible security question — did you share that on Facebook? If so, you could be vulnerable! In addition, some social engineering attacks will try to gain credibility by referring to recent events you may have shared on social networks.
We recommend you turn your social media settings to 'friends only' and be careful what you share. You don't need to be paranoid, just be careful.
Think about other aspects of your life that you share online. If you have an online resumé, for instance, you should consider redacting your address, phone number and date of birth - all useful information for anyone planning a social engineering attack. While some social engineering attacks don't engage the victim deeply, others are meticulously prepared - give these criminals less information to work with.
Social engineering is very dangerous because it takes perfectly normal situations and manipulates them for malicious ends. However, by being fully aware of how it works, and taking basic precautions, you'll be far less likely to become a victim of social engineering.
Related links
Social Engineering - Definition
How Malware Penetrates Computers and IT Systems
Utiliser un bon filtre spam
Si votre messagerie ne filtre pas suffisamment les spams ou ne marque pas les emails suspects, envisagez de modifier les paramètres. Les filtres anti-spam efficaces utilisent divers types d’informations pour détecter les messages suspects. Ils peuvent détecter des fichiers ou des liens suspects, avoir une liste noire d’adresses IP ou d’identifiants d’expéditeurs suspects, ou analyser le contenu des messages pour déterminer ceux qui sont susceptibles d’être faux.
Est-ce réaliste ?
Certaines attaques d’ingénierie sociale parviennent à vous piéger en essayant de vous précipiter, alors qu’en gardant la tête froide, il est possible de détecter de nombreuses attaques. Par exemple :
- Si votre ami était vraiment coincé en Chine, vous enverrait-il seulement un email ou vous appellerait-il et vous enverrait-il un SMS également ?
- Est-il probable qu’un prince nigérien vous ait laissé un million de dollars dans son testament ?
- La banque vous demanderait-elle les coordonnées de votre compte ? En réalité, beaucoup de banques journalisent les envois d’emails aux clients ou leurs conversations téléphoniques. En cas de doute, vérifiez deux fois.
Éviter d’aller trop vite
Soyez particulièrement vigilant si vous ressentez un sentiment d’urgence lors d’une conversation. Il s’agit d’une méthode classique utilisée par les personnes malveillantes, qui permet d’empêcher leurs cibles de réfléchir à la question. Si vous sentez que vous faites face à une pression, prenez le temps de réfléchir. Dites que vous avez besoin de temps pour rassembler les informations, que vous devez poser la question à votre responsable ou que vous n’avez pas les détails exacts sous les yeux pour le moment. Faites tout pour retarder la procédure et vous donner le temps de réfléchir.
Dans la plupart des cas, les acteurs d’ingénierie sociale ne tenteront pas d’aller plus loin s’ils se rendent compte qu’ils ont perdu l’avantage de la surprise.
Sécuriser vos appareils
Il est également important de sécuriser les appareils de sorte à limiter les dégâts d’une attaque d’ingénierie sociale, même si celle-ci est réussie. Les principes de base sont les mêmes, qu’il s’agisse d’un smartphone, d’un réseau domestique traditionnel ou d’un grand système d’entreprise.
- Mettez à jour vos logiciels antimalware et antivirus. Cela peut permettre d’empêcher les logiciels malveillants reçus par des emails d’hameçonnage de s’installer. Utilisez un logiciel comme Kaspersky Anti-Virus pour sécuriser votre réseau et vos données.
- Mettez régulièrement à jour les logiciels et les micrologiciels, en particulier les correctifs de sécurité.
- Évitez d’utiliser le mode super-utilisateur sur votre téléphone, ou de faire fonctionner votre réseau ou votre PC en mode administrateur. Même si des pirates obtiennent le mot de passe de votre compte d’utilisateur au moyen d’une attaque d’ingénierie sociale, celui-ci ne leur permettra pas de reconfigurer votre système ni d’y installer des logiciels.
- Évitez d’utiliser le même mot de passe pour différents comptes. Si une attaque d’ingénierie sociale permet d’obtenir le mot de passe de votre compte de réseau social, il faut éviter que l’attaquant puisse également accéder à tous vos autres comptes.
- Pour les comptes essentiels, utilisez une authentification à deux facteurs. De cette façon, le mot de passe ne suffit pas pour accéder au compte. Cela peut impliquer l’utilisation de la reconnaissance vocale, d’un appareil de sécurité, d’empreintes digitales ou de codes de confirmation par SMS.
- Si vous venez de divulguer le mot de passe d’un compte et vous pensez avoir été « manipulé », modifiez le mot de passe immédiatement.
- Restez informé des nouveaux risques en matière de cybersécurité en vous inscrivant à notre centre de ressources. Vous en apprendrez alors davantage sur toutes les nouvelles méthodes d’attaque lorsqu’elles apparaissent, ce qui vous rendra beaucoup moins vulnérable.
Penser à votre empreinte numérique
>Réfléchissez aussi un instant à votre empreinte numérique. Le partage excessif d’informations personnelles en ligne, par exemple par le biais des réseaux sociaux, peut faciliter le travail des attaquants. Par exemple, de nombreuses banques utilisent le nom de votre premier animal comme question de sécurité. Avez-vous partagé cette information sur Facebook ? Si c’est le cas, vous risquez d’être vulnérable ! En outre, les acteurs de certaines attaques d’ingénierie sociale tenteront de gagner en crédibilité en se référant à des événements récents que vous avez pu partager sur les réseaux sociaux.
Nous vous recommandons de paramétrer vos réseaux sociaux de manière à ce que les publications soient accessibles aux « amis uniquement » et de trier les informations que vous partagez. Il ne s’agit pas de paranoïa, juste de la prudence.
Pensez à d’autres aspects de votre vie que vous partagez en ligne. Par exemple, si vous affichez votre CV en ligne, vous devriez envisager de supprimer votre adresse, votre numéro de téléphone ainsi que votre date de naissance du document. Toutes ces informations sont utiles dans le cas d’une attaque d’ingénierie sociale. Si certaines attaques d’ingénierie sociale ne sollicitent pas intensément la victime, d’autres sont méticuleusement préparées. Donnez à ces criminels le moins d’informations possible.
L’ingénierie sociale est très dangereuse, car elle consiste à exploiter des situations parfaitement normales et à les utiliser à des fins malveillantes. Cependant, en étant pleinement conscient de son fonctionnement et en prenant des précautions de base, vous serez beaucoup moins vulnérable à l’ingénierie sociale.
Liens connexes
Définition de l’ingénierie sociale
Comment les logiciels malveillants infiltrent-ils les ordinateurs et les systèmes informatiques ?