Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ingénierie sociale : comment les cybercriminels tirent profit de la psychologie humaine

septembre 2019 par NordVPN

NordVPN partage des exemples décrivant comment n’importe quel individu peut tomber dans ces pièges et donne des conseils pour les éviter 05 septembre 2019. L’ingénierie sociale est en phase de devenir l’une des méthodes les plus utilisées par les cybercriminels pour commettre des crimes, tout comme de petits délits. Pour l’essentiel, l’ingénierie sociale est un moyen d’obtenir un accès vers les réseaux, systèmes ou données, en exploitant la psychologie humaine et notre curiosité naturelle, plutôt que d’utiliser des méthodes de piratage plus techniques. Les pirates utilisent diverses méthodes, notamment des appels téléphoniques et des messages sur les réseaux sociaux, pour tromper des individus en les incitant à leur donner accès à de précieuses informations personnelles et professionnelles.

Hameçonnage

Il s’agit de la forme la plus répandue d’ingénierie sociale. Le hameçonnage consiste à envoyer de faux e-mails déguisés en e-mails légitimes, provenant généralement d’une banque ou d’une autre source d’autorité. Les pirates informatiques tentent ainsi d’obtenir des informations précieuses, telles que des références de carte bancaire, ou d’inciter les victimes à cliquer sur des liens malveillants.

Par exemple, des personnes en France ont été victimes en 2018 d’une importante attaque de hameçonnage les invitant à mettre à jour leur carte Vitale. Elles ont reçu un e-mail dans lequel il leur était demandé de cliquer sur un lien pour avoir accès à un formulaire à remplir afin de « recevoir une nouvelle carte Vitale ». En cliquant sur le lien, elles ont directement envoyé leurs informations personnelles aux fraudeurs. L’e-mail frauduleux semblait légitime et contenait le logo du site du Service public, ainsi qu’une image de La Marianne arborant les couleurs bleue, blanc et rouge.

« Certains e-mails de hameçonnage sont encore assez mal conçus, et vous pouvez facilement les repérer. Cependant, d’autres ressemblent tellement à ce que nous pourrions normalement recevoir qu’ils peuvent même tromper les internautes les plus avertis », indique Daniel Markuson, expert en confidentialité numérique chez NordVPN.

Les e-mails menaçant de poursuites judiciaires sont aussi récemment devenus particulièrement populaires parmi les pirates informatiques. Ce type d’e-mail indique que le destinataire fait l’objet d’une poursuite. Il est demandé à celui-ci d’ouvrir et de lire les documents frauduleux en pièce jointe et de répondre à l’e-mail dans les sept jours. Selon ces e-mails frauduleux, le destinataire s’expose à des poursuites s’il ne suit pas les instructions.

Appâtage

L’appâtage est la technique d’ingénierie sociale nécessitant le moins d’interaction humaine. L’auteur de l’attaque peut proposer des films, de la musique ou des logiciels gratuits. Parfois, il pourra utiliser des supports physiques tels que des clés USB, attisant la curiosité humaine. « Ils laisseront une clé USB infectée dans un café, un immeuble de bureaux ou un endroit similaire, où quelqu’un la trouvera sûrement, commente Daniel Markuson, expert en confidentialité numérique chez NordVPN. Ainsi, quelqu’un la ramasse et la branche à son ordinateur, et c’est là qu’un logiciel malveillant est installé. S’il s’agit d’un environnement professionnel, le logiciel risque d’infecter des fichiers et systèmes importants. »

L’une des attaques d’appâtage les plus intéressantes recensées était en fait un test mené par l’expert en sécurité Steve Stasiukonis, sur l’un de ses clients, une entreprise financière. Son équipe a laissé des clés USB infectées par un cheval de Troie dans un parking près des locaux de l’entreprise. De nombreux employés curieux ont ramassé les clés USB pour les brancher à leurs ordinateurs. Ces clés ont alors activé un keylogger, qui a transmis à Steve les informations de connexion des employés.

Pretexting

Les attaques de pretexting reposent sur la création d’un climat de confiance avec la cible et nécessitent habituellement de faire des recherches au préalable pour inventer une histoire crédible. Généralement, les fraudeurs prétendent qu’ils ont besoin de certaines informations pour confirmer l’identité de la cible, effectuer une transaction ou régler un problème. Selon le Rapport d’enquête sur les violations numériques de 2018 de Verizon, le nombre d’attaques de pretexting qui ont abouti a presque triplé depuis 2017.

En 2017, plusieurs personnes ont perdu de l’argent en cryptomonnaie à la suite du piratage du site Web thEthereum Classic. Les pirates informatiques se sont fait passer pour le propriétaire de Classic Ether Wallet en créant un faux compte pour mener une attaque de pretexting. Ils ont ainsi pu accéder au registre du domaine et l’ont redirigé vers leur propre serveur. Les cybercriminels ont récupéré la cryptomonnaie Ethereum auprès des victimes après avoir saisi un code sur le site Web leur permettant de visualiser les mots de passe confidentiels utilisés pour les transactions.

Lescandale News of the World, autre cas célèbre d’attaque par pretexting, a eu lieu lorsque des membres de la presse britannique ont trompé des opérateurs téléphoniques et réussi à leur faire communiquer des codes PIN, ce qui a permis aux journalistes d’écouter les messages vocaux de la famille royale.

« Contrairement aux e-mails de hameçonnage, qui misent sur la peur et tentent de créer un sentiment d’urgence, les attaques par pretexting reposent sur la création d’un climat de confiance avec les cibles. Les pirates informatiques inventent une histoire crédible à laquelle croient les victimes, qui tombent alors dans le piège », explique Daniel Markuson, expert en confidentialité numérique chez NordVPN.

Comment vous protéger contre l’ingénierie sociale

Si les techniques d’ingénierie sociale sont de plus en plus élaborées, il est encore possible de s’en prémunir.

Daniel Markuson, expert en confidentialité numérique chez NordVPN, vous donne des astuces pour assurer votre sécurité : « L’une des mesures les plus élémentaires consiste à verrouiller votre ordinateur et votre smartphone quand vous vous éloignez de votre bureau. Il faut également s’abstenir d’écrire votre mot de passe ou autres informations de connexion là où n’importe qui pourrait les lire, et d’utiliser le même mot de passe pour différents comptes. Par ailleurs, n’ouvrez pas les e-mails provenant de sources non fiables et ne cliquez pas sur les liens suspects. Pour une sécurité maximale, la meilleure solution consiste à utiliser un antivirus et un VPN fiable, tel que NordVPN. »




Voir les articles précédents

    

Voir les articles suivants