Menu Fermer

Qu’est-ce qu’une attaque par ingénierie sociale

En cybersécurité, l’ingénierie sociale (social engineering) est une méthode d’attaque très connue pour mener à bien des escroqueries.
Cette forme de cyberattaque vise à tromper et manipuler les émotions humaines pour obtenir quelque chose de la victime.
La cible peut être un internaute ou une organisation (entreprise, services publics, etc).

Les cybercriminels utilisent des tactiques d’ingénierie sociale parce qu’il est généralement plus facile d’exploiter votre tendance naturelle à la confiance que de découvrir des moyens de pirater vos logiciels.

Dans ce tutoriel, je vous explique tout ce qu’il faut savoir sur l’ingénierie sociale à travers notamment de nombreux exemples.
Ensuite, je vous donne plusieurs méthodes et conseils pour ne pas en être la victime.

L'attaque par ingénierie sociale

Qu’est-ce qu’une attaque par ingénierie sociale

Le terme d’ingénierie sociale fait référence aux méthodes employées par les pirates informatiques pour gagner la confiance d’un utilisateur final afin d’obtenir des informations pouvant être utilisées pour accéder à des données ou à des systèmes. L’ingénierie sociale consiste généralement à se faire passer pour des représentants d’organisations légitimes afin de manipuler les gens pour qu’ils fournissent des informations telles que des mots de passe ou des détails personnels.

Dans le cadre d’une menace d’ingénierie sociale, un attaquant utilise les émotions humaines (généralement la peur et l’urgence) pour inciter la cible à effectuer une action, comme lui envoyer de l’argent, divulguer des informations sensibles sur un client ou divulguer des informations d’authentification.

Ainsi, en manipulant nos émotions – bonnes et mauvaises – comme la colère, la peur et l’amour, les escrocs peuvent nous amener à ne plus penser rationnellement et à agir par impulsion, sans tenir compte de ce que nous faisons réellement.

Les cybercriminels cherchent en général à obtenir les actions ou données suivantes de la cible :

  • Donner les noms d’utilisateur et les mots de passe
  • Installer des logiciels malveillants sur leur appareil
  • Envoyer de l’argent par transfert électronique de fonds, mandat ou carte cadeau
  • Autoriser un plugin de logiciel malveillant, une extension ou une application tierce
  • Agir comme une mule dans le but de blanchir et de transférer des fonds illicites

Quelles sont les différentes techniques d’une attaque par ingénierie sociale

L’un des principaux éléments de l’ingénierie sociale à tirer partie des faiblesses humaines.
Cela consiste à jouer sur les peurs et les émotions de l’utilisateur ciblé. L’attaquant ne veut pas que l’utilisateur cible digère et réfléchisse à sa demande.
Mais les attaquants peuvent aussi utiliser méthodes pour tromper l’internaute.

Voici quelques caractéristiques fréquentes :

  • La peur : Les attaquants jouent beaucoup sur la peur pour inciter à une action. Par exemple, se faire passer pour un supérieur et vous faire croire que vous allez être viré. Cela peut aussi prendre la menace d’avoir été piraté ou votre appareil a été compris
  • Sentiment d’urgence : Le sentiment d’urgence est souvent utilisée pour obtenir une action de la victime. Avec la peur, ce sentiment a tendance à paralyser la victime qui a plus de mal à réfléchir. Cela permet aux attaquants d’éviter à la personne de réfléchir et d’établir des incohérence et ainsi déceler l’arnaque
  • La menace et autorité : Obtenir la peur par la menace est aussi une forme de ces attaques. Par exemple se faire passer pour une autorité publique comme la Police ou Gendarmerie est très fréquent. Plus d’exemples : 3 arnaques d’usurpation de la Police et Gendarmerie à connaître
  • L’appât du gain : La cupidité est souvent un sentiment exploitée. L’attaquant vous fait miroiter de gagner une forte somme d’argent. On peut vous faire croire que vous avez gagné à la loterie ou encore vous faire gagner de l’argent facilement en faisant presque rien. Une fois que la personne répond, une action est à effectuer en contrepartie, il peut s’agir d’envoyer des données comme votre carte d’identité, envoyer un petite somme d’argent sous divers prétexte ou encore vous faire devenir une mule

Les méthodes pour tromper la victime :

  • Pièces jointes malveillantes : Les virus par mail peuvent utiliser l’ingénierie sociale pour vous faire ouvrir une pièce jointe malveillante. Généralement cela mélange toutes les techniques de phishing. Par exemple, le département de compatibilité peut se faire viser par une client qui envoie une facture par mail
  • Adresse de l’expéditeur usurpée : Dans le cadre des attaques par phishing, l’attaque peut utiliser de fausse adresse. En usurpant l’adresse email de l’expéditeur, ce dernier peut se faire passer pour une entité connue et de confiance
  • Se faire passer pour un ami : L’attaque compromet le compte de messagerie et envoie des mails aux contacts pour soutirer de l’argent. Cela peut prendre la forme d’une situation d’urgence, comme être bloqué dans un pays avec un problème de santé. Il faut alors envoyer de l’argent pour aider son ami. Les messages sont généralement courts et généralistes sans éléments personnalisé

Quels sont les exemples d’une attaque par ingénierie sociale

Phishing / Hameçonnage par mail

Le phishing par courriel est le type d’attaque le plus courant qui fait appel à l’ingénierie sociale.
La cible reçoit un courrier électronique non sollicité qui semble avoir été envoyé par une entreprise ou une organisation en laquelle elle a confiance.
Le but est en général d’obtenir des informations de connexion d’un compte ou vos informations bancaires.
Ces courriels sont remarquablement faciles à créer de nos jours, grâce à des kits de phishing prêts à l’emploi contenant des modèles de courriels préconçus qui donnent l’impression d’être envoyés par Apple, votre banque, EDF, Paypal, Amazon ou une autre société bien connue.
L’e-mail contient un lien vers un site de phishing conçu pour collecter des noms d’utilisateur et des mots de passe.

A noter que des dérivés existent comme le Tabnabbing ou Le phishing par Browser-in-the Browser (BITB).

Les faux liens WEB dans les mails

Arnaques africaines, Scam 419 et Brouteurs

Les arnaques africaines, scam 419 ou brouteurs sont des arnaques bien connus qui peuvent prendre plusieurs formes.

Dans le cadre de cette escroquerie, un cybercriminel vous envoie un courrier électronique en prétendant être un prince déchu, un PDG ou héritier malade qui détient une importante somme d’argent bloquée sur un compte bancaire à l’étranger.
Pour débloquer les fonds, le prince a besoin que vous fournissiez un montant initial pour corrompre le directeur de la banque.
L’escroquerie consiste à vous amener à transférer des fonds à l’escroc. Lorsque vous réalisez que vous avez été escroqué, l’argent a disparu. Alors, où l’ingénierie sociale entre-t-elle en jeu ?

Il s’agit d’une forme de Baiting. les attaquants promettent des prix ou de l’argent en échange d’un petit paiement. L’offre est généralement trop belle pour être vraie, et le paiement sert généralement à couvrir les frais d’expédition ou d’autres frais.

Arnaque de support téléphonique

Les arnaques de support téléphoniques sont une forme avancée d’ingénierie sociale conçue pour vous faire croire que votre ordinateur est infecté par un logiciel malveillant ou rencontre une erreur Windows, alors qu’il ne l’est pas, puis vous extorquer de l’argent pour le “réparer”. L’arnaque commence lorsque les victimes atterrissent sur un site Web malveillant géré par les escrocs.
Ces sites contiennent des publicités malveillantes (malvertising) conçues pour verrouiller votre navigateur internet et vous empêcher de le fermer ou de naviguer vers un autre site. La publicité malveillante comprend généralement un avertissement indiquant que votre ordinateur est infecté par un logiciel malveillant ou que votre logiciel est piraté, ainsi qu’un faux numéro de support technique que vous pouvez appeler pour obtenir de l’aide, mais cela vous coûtera cher.

Faux écran bleu et erreur Windows pour pousser des arnaques

Faux messages de virus, mises à jour

Depuis très longtemps, les cybercriminels utilisent de faux messages de virus pour faire croire à l’internaute que son PC est infecté.
Le but est en général de faire installer un faux antivirus ou logiciel de nettoyage et de faire acheter ce dernier.

Zbob et fausse alerte de virus

Ces faux logiciels se nomment scarewares ou rogues.
Vous trouverez des exemples sur ces pages :

Une autre forme est d’afficher un faux messages de mises à jour de logiciels.
Par le passé, les logiciels Adobe Flash et Java ont été visés.
Il s’agissait de faire exécuter un setup poussant de nombreux PUP et Adwares.

Les fausses mises à jour Flash ou Java

Enfin de fausses mise à jour des navigateurs internet Chrome ou Firefox ont aussi été utilisées.

Fausse mise à jour du navigateur WEB

Sexthorsion par mail

Une autre forme d’attaque par ingénierie sociale prend la forme de mail vous faisant croire que votre PC ou réseau a été piratée.
Le hacker indique avoir des vidéos de vous entrain de regarder des sites pornographiques et vous demandent de payer une somme contre son silence.
Pour rendre son mail plus véridique, un mot de passe obtenu par des fuites de sites internet peut parfois être utilisé.

Cette attaque utilise la peur et la honte comme sentiment.

Varenyky  spambot pour diffuser des sextorsions par mail

SIM Swap

Le SIMP Swap ou Sim Port Attack est une forme d’attaque par ingénierie sociale qui vise les opérateurs téléphoniques.
L’attaquant est de se faire passer pour une personne et demander à modifier le portage de la carte SIM de la victime.
Pour cela, le cybercriminel utilise un prétexte comme le vol du téléphone.
Le but est de pouvoir récupérer les SMS afin de contourner la double authentification par SMS et ainsi accéder à des comptes en ligne.

Autres exemples d’ingénierie sociale

  • Vishing et smishing : Ces messages promettent généralement des cadeaux, des services en échange d’un paiement ou encore le trait d’un colis. Ces types d’escroqueries sont appelés vishing (hameçonnage vocal) et smishing (hameçonnage par SMS)
  • Arnaque pour gagner un Iphone ou smartphone Samsung : Ces attaques utilisent de fausses actualités pousser par des publicités sur les sites internet. Elles promettent de gagner un Iphone ou téléphone Samsung pour cela, il s’inscrit dans un formulaire et donner ses informations. Au final, l’utilisateur s’inscrit à une boutique en ligne qui prélève tous les mois
  • L’arnaque au président : Elle consiste à se faire passer pour la président de la société. Une fois la confiance établie, le fraudeur demande, dans l’urgence d’effectuer une virement bancaire. Cette arnaque mélange le sentiment d’urgence et d’autorité pour manipuler la cible
  • Typosquatting : Le typosquattage, ou détournement d’URL (Hijack URL) est une forme de cybersquattage visant les personnes qui, par accident, saisissent mal l’adresse d’un site web directement dans le champ URL de leur navigateur web.

Comment ne pas être victime de l’ingénierie sociale ?

Voici quelques points pour vous aider à soutenir vos efforts de formation :

  • Recherchez tout appel, courriel ou texte suspect
  • N’ouvrez que les pièces jointes provenant de sources fiables
  • Supprimez immédiatement tout message électronique ou textuel demandant des mots de passe ou des informations personnelles identifiables (PII), telles que des numéros de sécurité sociale ou des informations financières
  • N’ouvrez pas les courriels promettant des prix ou la notification de gains
  • Ne téléchargez des logiciels qu’à partir de sources approuvées
  • Méfiez-vous des demandes urgentes ou des sollicitations d’aide. Vérifiez les éléments avancés avec un tiers
  • Assurez-vous d’avoir des filtres anti-spam et un logiciel antivirus sur votre appareil
  • En cas de doute, contactez le service informatique pour confirmer toute demande liée à la technologie

Sécuriser vos appareils et comptes internet :

Liens