Créé en 2012, le Mois européen de la Cybersécurité (European Cybersecurity Month) a pour objectif de promouvoir les sujets relatifs à la cybersécurité pour sensibiliser le public et lui permettre de mieux comprendre les cybermenaces et les appréhender. Rebaptisé Cybermoi/s en France, l’événement vise cette année à informer notamment les internautes sur ce qu’est la fraude par ingénierie sociale. Cette technique reste de loin la malveillance la plus répandue, avec 7 Français sur 10 déjà exposés à cette pratique. Pas toujours bien comprise, elle est utilisée par les cybercriminels pour manipuler les victimes afin de leur soutirer des informations confidentielles ou accéder à des systèmes informatiques protégés.
Selon une étude d’Opinon Way menée pour le site Cybermalveillance.gouv.fr à l’occasion du Cybermoi/s, l’hameçonnage est de loin la malveillance la plus répandue. Pas moins de 7 Français sur 10 ont déjà été confrontés à cette forme d’ingénierie sociale qui représente 40 % des demandes d’assistance sur la plateforme Cybermalveillance.gouv.fr. Cette pratique constitue l’une des principales menaces pour commettre d’autres formes de cyberattaques telles que le piratage de compte, l’usurpation d’identité, le cyberharcèlement, la fraude bancaire, le faux support technique, les ransomwares, etc.
Qu’est-ce qu’une fraude par ingénierie sociale ?
La fraude par ingénierie sociale touche toutes les catégories de personnes. Pour cette technique, les cybercriminels utilisent la manipulation psychologique pour tromper leurs victimes et les amener à divulguer des informations confidentielles, des données sensibles ou un accès non autorisé à des systèmes informatiques. Concrètement, ils jouent sur les émotions (confiance, curiosité, compassion, peur…) pour tromper et gagner la confiance de leurs cibles dans le but de les amener à faire ensuite ce qu’ils souhaitent. Les attaques par ingénierie sociale sont de plus en plus courantes, car elles sont relativement faciles à mettre en œuvre et peuvent se révéler d’une efficacité redoutable.
Quelles sont les méthodes d’ingénierie sociale ?
Les cybercriminels utilisent différentes méthodes pour commettre des attaques par ingénierie sociale. L’hameçonnage (ou phishing) est l’une des principales méthodes utilisées pour soutirer des informations confidentielles, mais celle-ci peut prendre plusieurs formes. Outre les classiques emails et SMS frauduleux, les attaquants n’hésitent pas utiliser le spoofing, c’est-à-dire à passer des appels téléphoniques pour se faire passer pour un technicien ou un représentant d’une entreprise ou d’un organisme gouvernemental.
Sans oublier les réseaux sociaux qui sont devenus une source d’informations inépuisable pour les cybercriminels. Ils consultent les réseaux sociaux pour collecter des données personnelles qu’ils peuvent ensuite exploiter pour cibler et approcher leurs victimes de manière plus efficace. On parle également d’ingénierie sociale inversée lorsque les escrocs utilisent des informations sur une victime pour se créer un faux profil dans le but de gagner ensuite sa confiance et obtenir des informations sensibles.
Les attaques par ingénierie sociale les plus courantes
Ce n’est pas un hasard si la fraude à l’ingénierie sociale est la thématique principale du Mois européen de la Cybersécurité 2023. En plein essor, cette méthode est à l’origine de près de la moitié des cyberattaques (toutes confondues) contre les particuliers et les entreprises.
Voici quelques exemples des méthodes les plus couramment utilisées :
- Phishing : les attaquants envoient un email ou un SMS frauduleux semblant provenir d’une source connue et légitime (opérateur, banque, marchand en ligne…) pour obtenir des informations personnelles comme un numéro de carte bancaire, des identifiants, etc. Attention, car grâce aux services d’intelligence artificielle comme ChatGPT ou Bard, les phishings de dernière génération sont de mieux en mieux écrits et deviennent plus difficiles à détecter.
- Spoofing : il s’agit d’une forme d’ingénierie sociale que les escrocs utilisent pour se faire passer pour quelqu’un d’autre afin de tromper leur victime. Pour cela ils usurpent une adresse email ou un numéro de téléphone pour les inciter à croire qu’elles communiquent avec un représentant légitime d’une entreprise ou d’une organisation gouvernementale, par exemple.
- Ingénierie sociale sur les réseaux sociaux : cette méthode très répandue consiste à utiliser les informations personnelles disponibles sur les réseaux sociaux pour pouvoir ensuite mieux tromper les victimes.
- Prétexte : les escrocs usurpent une identité pour se faire passer pour quelqu’un d’autre et utilisent un prétexte crédible pour inciter leurs victimes à partager des informations confidentielles. Ils peuvent par exemple se faire passer pour un technicien informatique d’un opérateur et demander de confirmer des identifiants ou des informations bancaires pour pouvoir mener à bien des opérations de maintenance.
- Spear phishing : cette technique est une variante du phishing qui repose sur des tactiques d’ingénierie sociale et de phishing ciblé. Contrairement au phishing traditionnel qui cible de nombreux utilisateurs simultanément, le spear phishing est plus précis et vise des individus ou des organisations sélectionnés au préalable. Les escrocs exploitent des informations concrètes relatives à leurs cibles pour élaborer des messages et/ou des faux sites Internet beaucoup plus crédibles. Ils établissent le contact en se faisant passer par exemple pour un collègue ou un ami Facebook afin d’obtenir des informations de connexion, ou toutes autres données sensibles.
Comment repérer une attaque par ingénierie sociale ?
Détecter une attaque et éviter de tomber dans le piège d’une fraude par ingénierie sociale n’est pas chose facile, car les cybercriminels peuvent utiliser des techniques de plus en plus sophistiquées. Pour minimiser les risques, il est avant tout indispensable d’être bien informé sur le sujet et connaître les risques inhérents à l’hameçonnage, aux emails/SMS/appels frauduleux, aux fausses URL, aux pièces jointes piégées, etc. Il faut toujours rester en alerte et se méfier des tentatives de manipulation émotionnelles, des demandes inhabituelles de renseignements ou d’actions pour fournir par exemple des identifiants, des mots de passe, des numéros de cartes bancaires, etc.
Idem pour les sollicitations de personnes inconnues que cela soit par email, par SMS, sur les réseaux sociaux ou même par téléphone. Il faut toujours vérifier l’adresse de l’expéditeur d’un email ou l’identité d’une personne qui vous appelle ainsi que les URL des liens avant de cliquer dessus. C’est souvent le meilleur moyen de détecter rapidement une fraude par ingénierie sociale. Pour minimiser les risques, il faut partager le moins possible d’informations personnelles sur Internet et sur les réseaux sociaux. Il est bien entendu indispensable d’utiliser des outils de sécurité tels qu’une suite de sécurité antivirus avec des modules de détection des cybermenaces, un anti-phishing, ou encore un pare-feu avancé pour pouvoir bloquer les menaces potentielles.
Article complet :
https://www.clubic.com/tutoriel-506317-qu-est-ce-l-ingenierie-sociale-et-comment-s-en-premunir.html