L'ingénierie sociale: la tactique de fraude la plus dévastatrice?
L'ingénierie sociale est l'un des plus gros risques dans le domaine de la cybersécurité. Découvrez quel est ce concept de fraude, ainsi que des exemples d'attaques utilisant ce procédé de psychologie. Enfin, on vous donne des solutions pour vous protéger.
La sensibilisation aux risques de cybersécurité continue sans cesse d'évoluer. Les entreprises, les institutions financières et les gouvernements investissent massivement pour protéger leurs argents et les données des usagers.
Les fraudeurs doivent alors redoubler d'efforts pour trouver des failles informatiques, des façons de contourner ces systèmes de défense ou carrément percer la carapace du jugement humain. Cela leur demande du temps et de l'argent.
Ils en sont donc venus à se demander: "et si je réussissais à convaincre quelqu'un de me laisser entrer dans le système plutôt que tenter de le percer?".
Ainsi, plutôt que chercher la faille informatique, ils cherchent la faille humaine!
Parce que oui, un être humain deumeure un humain! Ça veut donc dire qu'on peut être naïf, qu'on a parfois la confiance facile, qu'on ne sait pas tout, puis qu'on peut faire des erreurs.
C'est exactement ce sur quoi les pirates vont chercher à abuser pour commettre une attaque d'ingénierie sociale.
C'est quoi une attaque d'ingénierie sociale?
Une attaque d'ingénierie sociale, ou social engineering en anglais, est une attaque qui cherche à profiter des faiblesses des êtres humains. Ce sont des attaques qui cherchent à manipuler nos émotions.
Il y a ainsi de grands aspects psychologiques qui sont appliqués dans ces types de fraude.
Nous ne sommes pas dans des fraudes qu'on pourrait qualifier de "froide" avec des messages génériques et impersonnels.
Non, on est précisément dans l'inverse avec des messages ultras personnalisés utilisant nos données personnelles notamment.
S'ajoutent au cocktail des incitatifs qui jouent constamment sur les émotions des individus que ce soit la peur, la curiosité, la tristesse, la surprise, la colère, la culpabilité, l'amour ou l'avarice par exemple.
C'est en jouant sur nos émotions que les cybercriminels espèrent que l'on donnera volontairement nos informations ou carrément qu'on procédera à une action précise.
Ça peut être des informations personnelles, des informations confidentielles liées à notre entreprise, mais carrément nos identifiants et mots de passe pour nos comptes.
Certaines vont carrément chercher à nous inciter à envoyer de l'argent volontairement.
Quels sont les différents types d'attaques d'ingénierie sociale?
Il existe plusieurs types d'attaques et de techniques d'ingénierie sociale.
Celles-ci ont pour but de nous soutirer de l'argent ou d'infecter nos machines de logiciels malveillants.
Attaques d'hameçonnage et harponnage (phishing)
L'hameçonnage est largement utilisé par les cybercriminelles pour tenter d'infecter nos appareils.
On reçoit un courriel ou un message texte où l'on soulève un problème avec l'un de nos comptes bancaires ou de cartes de crédit. Ou bien à l'inverse, un courriel comme quoi on a gagné un prix.
Le but est de nous faire cliquer sur un lien ou d'ouvrir un fichier en pièce jointe qui s'avère infecté d'un programme malveillant.
Seulement, ces courriels peuvent prendre un ton et une forme beaucoup plus personnelle basés sur de vraies informations à notre sujet.
On parle alors de harponnage, alors qu'on est spécifiquement visé par les fraudeurs.
En utilisant nos données, les pirates donnent de la véracité à leur fraude et sont plus susceptibles de générer des émotions telles que la peur ou l'angoisse.
Dans cette circonstance, on s'avère vulnérable et à risque d'infection.
Attaques par hameçonnage vocal (vishing)
On est dans le même registre que les courriels ou messages d'hameçonnages, mais cette fois c'est via une interaction vocale.
Ça peut-être à l’aide d’un appel téléphonique, un appel WhatsApp ou bien via des fonctions de messages vocaux comme sur Messenger par exemple.
On peut chercher à nous faire croire que quelque chose cloche avec l'un de nos comptes, que l'un de nos proches est en danger ou dans une situation précaire.
Ensuite, on nous encourage à poser une action pour remédier à la situation que ce soit de se rendre sur un site en particulier ou d'appeler à un numéro de téléphone précis.
En exécutant ce qui est demandé, on s'enfonce dans le piège et on est alors susceptible de compromettre des informations confidentielles ou notre argent.
Attaques par prétexte (pretexting)
C'est en quelque sorte un mélange d'hameçonnage vocal et de scareware.
Essentiellement, le pirate entre en communication avec nous via téléphone, courriel ou service de messagerie.
Il nous explique que notre appareil est touché par une faille de sécurité et qu'il est là pour nous aider à la réparer.
On peut notamment penser à ces fameux appels frauduleux des soi-disant techniciens de Microsoft.
Ils veulent alors qu'on leur donne accès à distance à notre appareil afin de régler la situation.
Le problème c'est que c'est l'inverse. Une fois qu'ils y ont accès, ils nous infectent d'un programme malveillant.
Attaques par appâtage (baiting)
Une attaque d'appâtage va chercher à abuser de notre curiosité pour nous amener à dévoiler des informations personnelles et confidentielles.
On peut tenter de nous appâter avec une offre exclusive ou gratuite notamment.
Ça peut également être quelque chose d'aussi anodin qu'une clé USB volontairement abandonnée par un cybercriminel dans un espace public.
Bref, on cherche à nous faire poser une action en suscitant notre curiosité. Quelle est cette fameuse offre? Que peut-il avoir sur cette clé USB?
Moindrement qu'on clique sur le lien ou qu'on branche l'appareil, on se trouve infecté.
Attaque par talonnage (tailgating)
Une attaque par talonnage cherche à abuser de notre confiance pour accéder physiquement à un bâtiment ou à une zone sécurisée de celui-ci.
Ça peut être quelqu'un qui prétend avoir oublié sa carte d'accès, qui se fait passer pour un fournisseur de service, ou simplement quelqu'un qui se faufile derrière un employé.
Une fois que le malfaiteur est dans le bâtiment ou l'entreprise, il peut s'immiscer sur le réseau informatique et commettre ses crimes.
Attaque de point d'eau (Watering hole)
Une attaque de point d'eau vise à infecter des sites web qui sont beaucoup visités.
Les pirates vont chercher des vulnérabilités dans l'infrastructure du site afin de réussir à injecter leurs logiciels malveillants.
Une fois qu'ils y parviennent, ils peuvent carrément usurper le site web pour voler de l'argent des internautes ou les rediriger vers des pages malveillantes où des virus peuvent se cacher.
Attaques de Quid Pro Quo
Dans le langage commun, un quid pro quo est un échange de bons procédés ou du donnant-donnant grosso modo.
Or, ça peut aussi être une technique d'ingénierie sociale.
On cherche ainsi à nous offrir quelque chose en retour de nos données personnelles.
On peut notamment penser à des concours frauduleux ou bien des propositions de sondages en ligne nous promettant de l'argent en retour.
Ultimement, nous donnons nos informations et n'obtenons rien en échange. On se fait avoir par l'appât de la récompense soi-disant promise.
Attaques par scareware
Les attaques de scareware reposent sur un type de fausses pages internet ou des programmes malveillants qui vont chercher à susciter un sentiment de peur chez nous.
Ils vont générer des avertissements pour nous avertir que notre ordinateur est infecté ou que notre compte a été piraté.
On peut notamment penser aux notifications malveillantes sur Chrome, les calendriers infectés de messages malveillants, ou bien les pages qui disent qu'on doit appeler un technicien chez Microsoft.
Le but est de nous faire cliquer sur la "soi-disant solution", mais qui s'avère en fait être un virus.
Des exemples de fraude d'ingénierie sociale
Arnaque amoureuse
L’arnaque amoureuse, aussi appelée arnaque sentimentale, fraude de l’amour ou escroquerie romantique, est un type de fraude où les escrocs simulent un intérêt amoureux envers nous. Le but ultime est de nous soutirer de l'argent ou des informations personnelles.
Le malfaiteur nous contacte via des sites de rencontres, des réseaux sociaux ou des applications de messagerie.
Il crée une fausse identité et un faux profil attrayant, souvent avec des photos volées, puis entame une conversation.
Il déploie des efforts pour gagner notre confiance et affection. Il va envoyer des messages romantiques, faire des compliments, partager des intérêts communs et même déclarer son amour rapidement.
Une fois qu'on est émotionnellement investie, il commence à demander de l'argent. Les raisons invoquées peuvent varier: une urgence médicale, des difficultés financières, un billet d'avion pour venir nous rencontrer, etc.
Le pirate utilise des techniques de manipulation pour faire pression et nous culpabiliser si on hésite à donner de l'argent. Il peut jouer sur nos émotions en menaçant de rompre la relation ou inventer des histoires dramatiques.
Une fois qu'il a obtenu ce qu'il voulait, il disparaît souvent sans laisser de trace.
Fraude du faux représentant
Dans le cas d’une fraude du faux représentant, l’arnaqueur va tenter de se faire passer pour un employé d’une compagnie ou du gouvernement.
Ces derniers vont alors tenter de nous faire croire que quelque chose cloche avec notre compte et qu’il faut remédier à la situation maintenant.
On peut notamment penser aux fameux faux appels de personnes qui se font passer pour des techniciens Microsoft. Ces derniers tentent de nous faire croire qu’il y a un problème avec notre ordinateur et veulent ainsi y accéder à distance pour soi-disant le réparer.
En réalité, le but est de soutirer des informations personnelles notamment en nous faisant croire que c’est pour valider notre identité.
Fraude du président
La fraude du président ou attaque de type whaling est une escroquerie qui cible spécifiquement les entreprises.
Les criminels effectuent une recherche approfondie sur l'entreprise et ciblent les personnes en position de pouvoirs.
Le nom parle de président, mais ça peut être le directeur général, le directeur commercial, le trésorier, etc.
Ils utilisent des informations publiques (sites web, réseaux sociaux, articles de presse) et parfois des données piratées pour se familiariser avec la structure de l'entreprise, les noms des dirigeants, leur style de communication, etc.
Les cybercriminels créent une fausse adresse e-mail ou usurpent celle d'un dirigeant. Ils peuvent également utiliser des techniques de manipulation vocale pour imiter la voix du dirigeant lors d'appels téléphoniques.
Ils envoient un courriel ou passent un appel téléphonique à un employé, se faisant passer pour le dirigeant. Ils demandent à l'employé d'effectuer un virement urgent vers un compte bancaire spécifique, souvent à l'étranger, en prétextant une transaction confidentielle, une acquisition imminente ou une autre raison urgente.
Les malfaiteurs utilisent des techniques de manipulation pour inciter l'employé à agir rapidement et sans poser de questions. Ils peuvent insister sur la confidentialité de la transaction, menacer de représailles en cas de non-respect des instructions ou jouer sur la loyauté de l'employé envers l'entreprise.
Une fois le virement effectué, les fraudeurs transfèrent rapidement l'argent vers d'autres comptes pour le blanchir et le faire disparaître.
Fraude du prince nigérien
La fraude du prince nigérian est une tactique d'ingénierie sociale
qui a vu le jour dans les années 1980.
Elle repose sur l'envoi massif de courriels ou de messages sur les réseaux sociaux promettant une importante somme d'argent à la victime en échange d'une petite avance de fonds.
On reçoit ainsi un message d'une personne se présentant comme un prince nigérian, un membre du gouvernement, un avocat ou un autre personnage haut placé. Le message explique qu'elle a besoin d'aide pour transférer une importante somme d'argent hors du pays et promet une généreuse récompense en échange de cette aide.
Pour débloquer les fonds, l'escroc nous demande de lui envoyer une somme d'argent pour couvrir des frais (frais de transfert, taxes, pots-de-vin, etc.). Ces demandes peuvent se répéter à plusieurs reprises, alors qu'il invente toujours de nouvelles excuses pour extorquer plus d'argent.
Une fois qu'on a envoyé l'argent, l'escroc disparaît sans laisser de trace.
Fraude de petites annonces
La fraude de petites annonces est une technique d'ingénierie sociale qui se produit sur les plateformes en ligne de petites annonces, comme Kijiji ou Marketplace.
Le fraudeur publie une annonce attrayante pour un produit ou un service, souvent à un prix inférieur à la valeur marchande. L'annonce peut être accompagnée de photos volées ou de descriptions trompeuses.
Lorsqu'un acheteur ou un vendeur potentiel contacte le fraudeur par e-mail ou message texte, celui-ci répond rapidement et de manière convaincante. Il peut prétendre être pressé de vendre, avoir plusieurs acheteurs intéressés ou proposer une livraison rapide.
Le fraudeur demande à la victime d'effectuer un paiement anticipé, souvent par virement bancaire ou mandat postal, avant même que la transaction ne soit finalisée. Il peut également demander des informations personnelles, comme une adresse ou un numéro de téléphone, sous prétexte d'organiser la livraison ou de vérifier l'identité de la victime.
Une fois qu'on a envoyé l'argent ou fourni nos informations personnelles, le fraudeur disparaît sans laisser de trace. Le produit ou le service n'est jamais livré, et on se retrouve lésée.
Fraude des grands-parents
La fraude des grands-parents est une escroquerie téléphonique qui cible plus spécifiquement les personnes âgées. La plupart du temps, les fraudeurs exploitent l'amour et la préoccupation des grands-parents pour leurs petits-enfants afin de leur soutirer de l'argent.
Le fraudeur appelle une personne âgée et se fait passer pour son fils, sa fille ou l’un de ses petits-enfants. Il prétend être dans une situation d'urgence (accident de voiture, arrestation, problème à l'étranger, etc.) et avoir besoin d'argent rapidement.
Il joue sur les émotions du grand-parent, en insistant sur l'urgence de la situation et en le suppliant de ne rien dire à personne d'autre, par exemple aux parents, pour ne pas les inquiéter.
Il demande au grand-parent de lui envoyer de l'argent par virement bancaire, mandat postal ou même en espèces par messager. Il donne des instructions précises sur la façon de procéder et insiste pour que l'argent soit envoyé le plus rapidement possible.
Une fois que le grand-parent a envoyé l'argent, le fraudeur disparaît et devient injoignable.
Quels sont les indices pour reconnaître une attaque d'ingénierie sociale?
Il y a plusieurs dénominateurs communs dans les attaques d'ingénierie sociale et ceux-ci s'avèrent des indices clés pour pouvoir les détecter.
Sentiment d'urgence
Bien souvent elles vont vouloir créer un sentiment d'urgence ou bien une pression d'agir rapidement. Plus cet aspect est perceptible, plus grandes sont les chances qu'ils s'agissent d'une fraude.
Pression pour contourner les règles
Un autre indice qui abonde un peu dans le même sens est quand on tente de nous faire contourner les règles et procédures habituelles.
Ceci prend surtout du sens en milieu de travail, alors qu'on tente de nous pousser à agir sans consulter d'autres membres de l'équipe.
Jouer avec notre curiosité
Est-ce trop beau pour être vrai? Voilà la question qu'on doit se poser devant une offre qui nous apparaît trop alléchante.
Demandes d'informations sensibles
Enfin, ces fraudes cumulent toujours par des demandes inhabituelles liées à des informations sensibles.
Ça peut être des données personnelles, nos identifiants et nos mots de passe ou carrément des transferts d'argents.
Comment éviter les attaques d'ingénierie sociale?
Connaître les indices des attaques d'ingénierie sociale est une chose, mais on peut se doter de moyens et d'outils pour carrément éviter de se retrouver confronté à celles-ci.
Sensibilisation et vigilance
Comme pour n'importe quel type de fraude, la vigilance et la sensibilisation à la sécurité sont l'une des meilleures façons d'éviter d'en être victime.
En connaissant les indices de l'ingénierie sociale et l'aspect émotif qui y est rattaché, ceci doit allumer ce que j'appelle notre :"bullshitomètre".
Pourquoi cherche-t-on à me faire agir rapidement? Est-ce trop beau pour être vrai? Est-ce que ce message provient vraiment de la personne en question?
Voilà autant de questions qu'on peut et doit se poser devant une communication qui nous semblent anormales.
Regarder la provenance d'un appel ou l'expéditeur d'un e-mail. Questionner la véritable identité de la personne qui rentre en contact avec nous.
Utiliser les trucs pour déceler les courriels d'hameçonnages. Voilà autant de techniques qui peuvent nous prémunir de la fraude.
Utiliser des solutions de protection
On peut et doit également s'équiper de solution pour identifier et bloquer les tentatives de fraudes et d'intrusions sur nos appareils.
Antivirus
Avoir un logiciel antivirus est la base. Celui-ci va nous identifier les courriels ou sites malveillants en plus de nous empêcher de télécharger par mégarde un logiciel malveillantpouvant se cacher dans une pièce jointe.
Nos recommandations d'antivirus
VPN
Moindrement qu'on se connecte sur un WiFi public, on met nos données à risque.
En effet, un pirate connecté sur le même réseau peut alors intercepter nos informations.
C'est pourquoi il est judicieux d'utiliser un VPN dans ces circonstances, puisqu'il va protéger notre connexion internet via chiffrement. Ceci fait en sorte que nos informations sont illisibles pour quelqu'un d'autre.
Gestionnaire de mots de passe
La gestion des mots de passe peut être compliquée, je le sais. Mais ce n'est pas une raison pour utiliser des mots de passe faibles ou pire utiliser les mêmes mots de passe à gauche et à droite.
Si un de nos mots de passe tombe entre de mauvaises mains, ce sont l'ensemble des comptes qui l'utilisent qui sont à risque.
L'utilisation d'un gestionnaire de mots de passe nous permet de générer des mots de passe forts et longs, puis de les enregistrer de façon sécuritaire en employant un protocole de chiffrement.
On peut même protéger l'ensemble de notre famille ou notre entreprise, puisqu'il existe des licences pouvant être utilisées par plusieurs personnes.
Nos recommandations de gestionnaires de mots de passe
Limiter l'accès à ses données personnelles
Pour générer ces fraudes d'ingénierie sociale, les pirates ont souvent besoin de nos données personnelles. C'est ce qui donne de la véracité à leur fraude.
Ainsi, si on coupe l'accès à ce type de données, nous sommes bien moins susceptibles d'être victimes de l'une de ces fraudes.
Ça veut donc dire qu'on doit faire attention à ce qu'on publie sur les réseaux sociaux et s'assurer de limiter qui peut voir nos publications. Si on rend tout public, bien ça veut dire que même des pirates peuvent les voir.
Ça peut être aussi anodin que des photos de voyage. Ça peut ensuite être utilisé dans une fraude en nous relatant que nous sommes allés par exemple au Mexique en juin dernier.
Toutes publications vont donner encore une fois un aspect véridique aux propos des fraudeurs et vont nous rendre plus susceptibles de gober la supercherie.
Il en va de même pour tous les comptes que l'on se crée en ligne ou sur des applications.
Ces données peuvent être collectées, partagées et vendues par des entreprises. Notamment les courtiers de données.
On est alors à la merci de ces compagnies. Si leur système est victime d'une fuite, ce sont toutes nos informations qui sont compromises.
À cet effet, il existe des solutions comme Incogni ou Delete Me notamment qui vont nous être utile pour exiger à ces compagnies de courtages d'effacer nos données.