La fraude à l’ingénierie sociale est une des plus dangereuses. Insidieuse, elle est réellement difficile à repérer même pour les plus aguerris. Découvrez ici comment les pirates s’y prennent pour capter vos données personnelles à votre insu.
Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale est une fraude visant à influencer et à manipuler la victime pour obtenir des informations de sécurité protégées. L’ingénierie sociale repose entièrement sur la tromperie et l’influence.
L’ingénierie sociale est particulièrement redoutable car elle s’appuie en réalité moins sur de la technique que sur les failles humaines. Elle exploite ainsi les faiblesses humaines (curiosité, fierté, ambition…) pour inspirer confiance à la victime ou susciter la peur.
C’est donc une attaque peu prévisible et difficile à déjouer car elle trompe la vigilance des personnes les plus attentives. La seule parade existante est la formation des salariés à repérer ce type de menaces informatiques et à s’en protéger.
En juillet 2020, Twitter a été victime d’une attaque d’ingénierie sociale particulièrement efficace. Grâce à la manipulation de plusieurs employés, les pirates ont pu accéder à des comptes Twitter célèbres (dont celui de Barack Obama !). Les hackers ont publié des messages sur ces comptes demandant des bitcoins. De nombreux utilisateurs se sont fait berner !
Quels sont les différents types d’attaques d’ingénierie sociale ?
Le harponnage ou « spear phishing »
Le spear phishing est un type d’hameçonnage visant plus particulièrement une personne en particulier.
Le pirate s’appuie sur la connaissance de sa victime pour la duper, par exemple en fouillant ses réseaux sociaux. Grâce aux informations récoltées, il est ainsi capable de produire un e-mail de phishing encore plus convaincant.
Le plus souvent, le pirate cherche à obtenir la réalisation d’un transfert de fonds présenté comme urgent.
Appâtage ou « baiting »
Cette technique consiste à laisser un appât apparent dans un lieu public ou sur un bureau.
La façon la plus simple de faire ? Une clé USB infectée portant la mention « important » qui traîne sur un bureau. Sur Internet, les appâts prennent souvent la forme de promesses trop belles pour être vraies vous incitant à cliquer dessus…
Le prétexte ou « pretexting »
Le pirate usurpe l’identité d’une autre personne et essaye de conduire la victime à révéler des informations confidentielles comme des identifiants de connexion.
L’attaque se fonde sur l’établissement d’une relation de confiance entre la victime et le pirate qui cherche avant tout à élaborer un scénario crédible. Le pirate peut ainsi se faire passer pour un faux fournisseur, le PDG de l’entreprise ou un simple collègue de travail.
Le quid pro quo
Ce type d’attaque informatique propose à la victime un cadeau ou une aide en échange d’informations.
Par exemple, le pirate se fait passer pour un membre du service informatique de l’entreprise en prétextant résoudre un problème rencontré par la victime. Il la prend au piège en lui demandant alors de désactiver son anti-virus et d’installer un logiciel malveillant.
Ces attaques informatiques particulièrement sophistiquées demandent une vigilance de tous les instants. Contactez-nous pour protéger votre système informatique contre les individus malveillants !