La plupart des cybercriminels sont des maîtres de la manipulation, mais cela ne signifie pas qu'ils sont tous des manipulateurs de technologie. En d'autres termes, ils privilégient l'ingénierie sociale, c'est-à-dire l'exploitation des erreurs et des comportements humains pour mener une cyberattaque. Comme c'est le cas pour la plupart des cybermenaces, l'ingénierie sociale peut prendre de nombreuses formes et évolue constamment.
Ce qui rend l'ingénierie sociale particulièrement dangereuse, c'est qu'elle repose sur l'erreur humaine, plutôt que sur les vulnérabilités des logiciels et des systèmes d'exploitation. Les erreurs commises par les utilisateurs légitimes sont beaucoup moins prévisibles, ce qui les rend plus difficiles à identifier et à contrecarrer qu'une intrusion basée sur un logiciel malveillant.
Quelles sont les quatre principales techniques d'attaque par ingénierie sociale ?
- L’appâtage
Comme son nom l'indique, les attaques par appât utilisent une fausse promesse pour piquer l'avidité ou la curiosité de la victime. Elles attirent les utilisateurs dans un piège qui leur permet de voler leurs informations personnelles ou d'infecter leurs systèmes avec des logiciels malveillants.
La forme la plus éprouvée d'appât reste les supports physiques pour disperser les logiciels malveillants. Par exemple, les attaquants laissent l'appât - généralement des clés USB infectées par des logiciels malveillants - dans des endroits bien en vue. L'appât a une apparence authentique, par exemple une étiquette le présentant comme la liste des salaires de l'entreprise. Les victimes ramassent l'appât par curiosité et l'insèrent dans un ordinateur professionnel ou personnel, ce qui entraîne l'installation automatique d'un logiciel malveillant sur le système.
- Le Scareware
Le scareware consiste à bombarder les victimes de fausses alarmes et de menaces fictives. Les utilisateurs sont trompés et pensent que leur système est infecté par un logiciel malveillant, ce qui les incite à installer un logiciel qui n'a aucun avantage réel (si ce n'est pour l'auteur du crime) ou qui est lui-même un logiciel malveillant.
Un exemple courant de scareware est celui des bannières “pop up” qui apparaissent dans votre navigateur lorsque vous surfez sur le Web et qui affichent un texte tel que "Votre ordinateur peut être infecté par des programmes espions dangereux." Elle propose soit d'installer l'outil (souvent infecté par un logiciel malveillant) pour vous, soit de vous diriger vers un site malveillant où votre ordinateur sera infecté.
- Le phishing
Le phishing est l'un des types d'attaques d'ingénierie sociale les plus populaires. Il s'agit d'une campagne de courriels et de messages textes visant à créer un sentiment d'urgence, de curiosité ou de peur chez les victimes. Elles les incitent ensuite à révéler des informations sensibles, à cliquer sur des liens vers des sites web malveillants ou à ouvrir des pièces jointes contenant des logiciels malveillants.
Un exemple est un courriel envoyé aux utilisateurs d'un service en ligne qui les avertit d'une violation de la politique exigeant une action immédiate de leur part, comme un changement de mot de passe obligatoire. Il contient un lien vers un site web illégitime qui invite l'utilisateur peu méfiant à saisir ses informations d'identification actuelles et son nouveau mot de passe. Les informations sont ensuite envoyées à l'attaquant.
Étant donné que des messages identiques, sont envoyés à tous les utilisateurs dans le cadre de campagnes de phishing, leur détection et leur blocage sont beaucoup plus faciles pour les serveurs de messagerie ayant accès à des plates-formes de partage des menaces.
- Le spear phishing
Il s'agit d'une version plus ciblée de l'escroquerie par hameçonnage dans laquelle un attaquant choisit des personnes ou des entreprises spécifiques. Il adapte ensuite ses messages en fonction des caractéristiques, des postes et des contacts de ses victimes afin de rendre son attaque moins visible. Le spear phishing exige beaucoup plus d'efforts de la part de l'auteur de l'attaque et peut prendre des semaines, voire des mois, pour aboutir. Il est beaucoup plus difficile à détecter et son taux de réussite est meilleur s'il est réalisé avec habileté.
Par exemple, un attaquant en se faisant passer pour le consultant informatique d'une organisation, envoie un e-mail à un ou plusieurs employés. Le message est formulé et signé exactement comme le consultant le fait normalement, ce qui fait croire aux destinataires qu'il s'agit d'un message authentique. Le message invite les destinataires à changer leur mot de passe et leur fournit un lien qui les redirige vers une page malveillante où l'attaquant saisit leurs informations d'identification.
Comment se prémunir de l'ingénierie sociale ?
- S'assurer que les départements de technologie de l'information effectuent régulièrement des pentests qui utilisent des techniques d'ingénierie sociale.
- Lancez un programme de formation à la sensibilisation à la sécurité, qui peut contribuer grandement à prévenir les attaques par ingénierie sociale.
- Mettez en place des passerelles sécurisées pour le courrier électronique et le Web afin de rechercher les liens malveillants dans les courriers électroniques
- Maintenez les logiciels anti-malware et antivirus à jour, ainsi que les correctifs logiciels
- Gardez une trace des membres du personnel qui traitent des informations sensibles et activez des mesures d'authentification avancées pour eux.
- Mettez en place un système 2FA pour accéder aux comptes clés, par exemple un code de confirmation par SMS ou par reconnaissance vocale.
- Veillez à ce que les employés ne réutilisent pas les mêmes mots de passe pour leurs comptes personnels et professionnels.
- Mettez en place des filtres anti-spam pour déterminer quels e-mails sont susceptibles d'être des spams.