Comment fonctionne l'ingénierie sociale ?
La plupart des techniques d'ingénierie sociale ne nécessitent aucune compétence technique de la part de l'attaquant, ce qui signifie que n'importe qui, des petits voleurs aux attaquants les plus sophistiqués, peut opérer dans cet espace.
Il existe de nombreuses techniques qui relèvent du terme générique d'ingénierie sociale dans le domaine de la cybersécurité. Parmi les plus connues figurent le spam et le phishing :
Spam est toute forme de communication non sollicitée envoyée en masse. Le plus souvent, le spam est un courrier électronique envoyé au plus grand nombre d'utilisateurs possible, mais il peut également être diffusé par des messages instantanés, des SMS et des médias sociaux. Le spam n'est pas de l'ingénierie sociale en soi, mais certaines de ses campagnes utilisent des techniques d'ingénierie sociale telles que le phishing, le spearphishing, le vishing, le smishing ou la diffusion de pièces jointes ou de liens malveillants.
Phishing est une forme de cyberattaque dans laquelle le criminel se fait passer pour une entité digne de confiance pour demander des informations sensibles à la victime. Ces types de fraude tentent généralement de créer un sentiment d'urgence, ou emploient des tactiques de peur pour contraindre la victime à se conformer aux demandes de l'attaquant. Les campagnes de phishing peuvent cibler un grand nombre d'utilisateurs anonymes, ou une ou plusieurs victimes spécifiques.
Mais ce ne sont pas les seules techniques. Méfiez-vous de celles-ci aussi :
Spearphishing est une forme ciblée de phishing dans laquelle l'attaquant envoie des messages hautement personnalisés à un groupe limité de personnes, ou même à un simple individu, dans le but de récolter leurs données ou de les manipuler pour effectuer des actions nuisibles.
Pêche et pêche à la ligne sont des techniques d'ingénierie sociale similaires au phishing mais menées par d'autres moyens que le courrier électronique. Le vishing (phishing vocal) utilise des appels téléphoniques frauduleux, tandis que le smishing (phishing par SMS) utilise des SMS contenant des liens ou des contenus malveillants.
Usurpation d'identité dans la cybersécurité a une signification similaire à son équivalent dans le monde physique. Les cybercriminels agissent au nom d'une personne digne de confiance et trompent leurs victimes en les incitant à prendre des mesures qui leur nuisent à eux-mêmes ou à leur organisation. Un exemple typique est celui d'un agresseur qui se fait passer pour le PDG d'une entreprise - lorsque celui-ci n'est pas en fonction - et qui commande et approuve des transactions frauduleuses.
Escroqueries au soutien technique sont généralement de faux appels téléphoniques ou des publicités sur le web dans lesquels les attaquants proposent aux victimes des services d'assistance technique non sollicités. En réalité, les cybercriminels essaient de gagner de l'argent en vendant de faux services et en supprimant des problèmes inexistants.
Scareware est un logiciel qui utilise diverses techniques anxiogènes pour manipuler les victimes afin qu'elles installent d'autres codes malveillants sur leurs appareils, tout en extrayant généralement des paiements pour des logiciels non fonctionnels ou carrément malveillants. Un exemple typique est celui d'un faux antivirus conçu pour faire croire aux utilisateurs que leurs appareils ont été compromis et qu'ils doivent installer un logiciel spécifique (généralement nuisible) pour supprimer le problème.
(Cyber)escroqueries sont des systèmes frauduleux qui utilisent souvent une ou même plusieurs des techniques d'ingénierie sociale décrites dans cette section.
Pourquoi les PME devraient-elles s'intéresser à l'ingénierie sociale ?
Les PME sont de plus en plus conscientes qu'elles sont des cibles pour les cybercriminels, selon un Enquête 2019 menée par Zogby Analytics pour le compte de la National Cyber Security Alliance des États-Unis. Près de la moitié (44 %) des entreprises comptant entre 251 et 500 employés ont déclaré avoir subi une violation de données officielles au cours des 12 derniers mois. L'enquête a révélé que 88 % des petites entreprises estiment qu'elles sont au moins "quelque peu probable" pour les cybercriminels, dont près de la moitié (46 %) pensent qu'ils sont "très probable" cible.
Les dégâts sont réels et importants, un point bien illustré par le Rapport annuel de l'Internet Crime Center (IC3) du FBI. Le FBI estime qu'en 2018 seulement, les entreprises américaines ont perdu plus de 2,7 milliards de dollars à la suite de cyberattaques, dont 1,2 milliard de dollars attribués à la compromission de courriels d'affaires (BEC)/compte de courriel (EAC) qui a permis des transferts de fonds non autorisés.
Comment reconnaître une attaque d'ingénierie sociale ?
Il existe plusieurs drapeaux rouges qui peuvent signaler une attaque d'ingénierie sociale. Une grammaire et une orthographe médiocres sont un indice. Il en va de même pour un sentiment d'urgence accru qui cherche à inciter le destinataire à agir sans poser de questions. Toute demande de données sensibles doit immédiatement tirer la sonnette d'alarme : les entreprises réputées ne demandent normalement pas de mots de passe ou de données personnelles par courrier électronique ou SMS.
Certains des drapeaux rouges qui pointent vers l'ingénierie sociale :
1. Un langage pauvre et générique
Généralement, les attaquants ne prêtent pas trop attention aux détails, envoyant des messages pleins de fautes de frappe, de mots manquants et de grammaire médiocre. Un autre élément linguistique qui peut signaler une tentative d'attaque est les salutations et les formulations génériques. Ainsi, si un courriel commence par "Cher destinataire" ou "Cher utilisateur", méfiez-vous.
2. Adresse de l'expéditeur étrange
La plupart des spammeurs ne prennent pas le temps d'usurper le nom ou le domaine de l'expéditeur afin de donner l'impression qu'ils sont dignes de confiance. Ainsi, si un courriel provient d'une adresse qui est un mélange de nombres et de caractères aléatoires ou qui est inconnue du destinataire, il doit aller directement dans le dossier de spam et être signalé au service informatique.
3. Sens de l'urgence
Les criminels à l'origine des campagnes d'ingénierie sociale tentent souvent d'effrayer les victimes en utilisant des phrases anxiogènes telles que "envoyez-nous vos coordonnées tout de suite, ou votre colis sera jeté" ou "si vous ne mettez pas à jour votre profil maintenant, nous fermerons votre compte". Les banques, les entreprises de colis, les institutions publiques et même les services internes communiquent généralement de manière neutre et factuelle. Par conséquent, si le message tente de pousser le destinataire à agir rapidement, il s'agit probablement d'une escroquerie malveillante et potentiellement dangereuse.
4. Demande d'informations sensibles
Les institutions et même les autres départements de votre propre entreprise ne demanderont normalement pas d'informations sensibles par courrier électronique ou par téléphone - sauf si le contact a été initié par l'employé.
5. Si quelque chose semble trop beau pour être vrai, c'est probablement
C'est aussi vrai pour les cadeaux non sollicités sur les médias sociaux que pour cette "excellente opportunité commerciale, mais limitée dans le temps" qui vient d'arriver dans votre boîte de réception.
5 façons de protéger votre organisation contre les attaques d'ingénierie sociale
1. Régulier formation à la cybersécurité de TOUS les employés, y compris les cadres supérieurs et le personnel informatique. N'oubliez pas que cette formation doit montrer ou simuler des scénarios de la vie réelle. Les points d'apprentissage doivent pouvoir être mis en pratique et, surtout, être activement testés en dehors de la salle de formation : les techniques d'ingénierie sociale reposent sur la faible sensibilisation à la cybersécurité de leurs cibles.
2. Recherche de mots de passe faibles qui pourrait potentiellement devenir une porte ouverte dans le réseau de votre organisation pour les attaquants. En outre, protégez les mots de passe avec une autre couche de sécurité en mettant en œuvre une authentification à plusieurs facteurs.
3. Mettre en œuvre des solutions techniques pour lutter contre les communications frauduleuses afin que les messages de spam et de phishing soient détectés, mis en quarantaine, neutralisés et supprimés. Les solutions de sécurité, dont beaucoup sont fournies par l'ESET, ont tout ou partie de ces capacités.
4. Créer des politiques de sécurité compréhensibles que les employés peuvent utiliser et qui les aident à identifier les mesures à prendre lorsqu'ils sont confrontés à l'ingénierie sociale.
5. Utiliser une solution de sécurité et des outils administratifs, tels que ESET PROTECT Cloud, pour protéger les terminaux et les réseaux de votre organisation en donnant aux administrateurs une visibilité totale et la possibilité de détecter et d'atténuer les menaces potentielles sur le réseau.
Combattre l'ingénierie sociale maintenant
ESET PROTECT
Advanced
Protégez votre organisation contre l'ingénierie sociale en utilisant les solutions de sécurité multicouches ESET, y compris la protection LiveGrid® via le cloud et la protection contre les attaques réseau, et la console ESET PROTECT basée sur le cloud, pour donner à vos administrateurs une visibilité réseau complète et détaillée, 24 heures sur 24, 7 jours sur 7.
