Blog sur la cybersécurité en entreprise
Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.
Six façons dont les cybercriminels utilisent l’ingénierie sociale
Luke Noonan
Phishing et ransomwareLes rapports tels que le Verizon Data Breach Investigations Report (DBIR) de 2022 placent les êtres humains comme composante centrale dans 82% des cyberattaques. Les escrocs utilisent des techniques basées sur l'ingénierie sociale pour inciter les gens à effectuer des actions qui profitent au pirate.
L'ingénierie sociale (social engineering) est un terme générique couvrant de nombreuses tactiques utilisées pour manipuler les employés et les autres utilisateurs. Voici six des types les plus courants d'escroquerie par ingénierie sociale et des moyens pour empêcher les pirates de les exploiter avec succès dans votre organisation.
Six des attaques d'ingénierie sociale les plus courantes
1. L'hameçonnage et l'ingénierie sociale (phishing et social engineering)
Le hameçonnage par harponnage (spear phishing), une forme avancée de phishing qui cible spécifiquement une organisation ou un individu, a été impliqué dans 93 % des cyberattaques selon le rapport DBIR de 2018. Cependant, même la forme moins ciblée de phishing reste une tactique de cyberattaque courante, étant la deuxième méthode la plus utilisée après le spear phishing, selon les données de Cisco.
Le phishing (hameçonnage) est le moyen idéal pour permettre aux pirates de manipuler les êtres humains et relève donc de l'ingénierie sociale. Le phishing se manifeste sous plusieurs formes. Nous avons déjà mentionné le phishing et le spear phishing, mais les pirates utilisent tous les moyens de communication, y compris les SMS et les appels téléphoniques (smishing et vishing), pour encourager les gens à cliquer sur un lien vers un site web malveillant, à fournir des informations personnelles ou à télécharger une pièce jointe infectée. En somme, le phishing est une technique de piratage courante qui exploite la vulnérabilité humaine et qui peut prendre plusieurs formes pour atteindre son objectif.
En savoir plus : Sensibilisation phishing – Qu’est-ce que l’hameçonnage en entreprise ?
2. Les médias sociaux pour l'ingénierie sociale
Les médias sociaux sont devenus une partie intégrante de nos vies personnelles et professionnelles, mais ils constituent également une mine d'or d'informations pour les cybercriminels. Les escrocs peuvent utiliser ces informations pour cibler des personnes, des applications, des réseaux et des données dans le but de mener des cyberattaques, y compris la compromission d'e-mails professionnels (Business Email Compromise abrégé en BEC).
Lorsque des individus partagent des informations sur les médias sociaux, les fraudeurs les surveillent de près. Selon cette recherche, les entreprises font face à plusieurs problèmes lorsque les employés partagent des informations sur les médias sociaux :
- la sur-partage d'informations
- la perte d'informations confidentielles
- une exposition accrue aux litiges
L'article conclut que les médias sociaux sont un moyen de partage ouvert qui aggrave les défis de l'ingénierie sociale.
En savoir plus : Hameçonnage et arnaques Instagram ? Protégez-vous !
3. Le talonnage (tailgating ou piggybacking)
Le talonnage (tailgating ou piggybacking) est l'une des plus anciennes escroqueries d'ingénierie sociale. Souvent considérée comme une escroquerie physique, elle peut également être numérique. Dans le monde physique, le tailgating est illustré par un fraudeur qui se faufile dans les locaux d'une entreprise sans se faire remarquer. Les fraudeurs sont souvent très habiles à passer inaperçus, ce qui leur permet d'accéder à un bâtiment sans autorisation ou de se faire passer pour quelqu'un d'autorisé à entrer.
Une fois à l'intérieur, les fraudeurs peuvent utiliser diverses méthodes pour obtenir des informations confidentielles, comme inciter les employés à partager leurs informations d'identification, telles que les mots de passe. Ils peuvent également utiliser des outils de piratage pour voler des données directement sur les ordinateurs ou utiliser des méthodes plus simples telles que regarder par-dessus l'épaule d'une personne connectée à une zone sensible du réseau.
4. Le prétexte (pretexting)
Le prétexte (pretexting) est une forme d'ingénierie sociale "par faux-semblant" que les escrocs utilisent souvent pour obtenir les données nécessaires à la réussite d'une arnaque. Comme mentionné précédemment, un pirate informatique peut collecter des informations pour tromper une personne en utilisant les médias sociaux, le phishing (hameçonnage) et le tailgating (talonnage). Le pretexting utilise également l'ingénierie sociale pour faire croire aux gens que le fraudeur est une personne en autorité ou autorisée à se trouver dans un lieu particulier. En d'autres termes, le fraudeur se fait passer pour quelqu'un d'autre.
Par exemple, il peut se faire passer pour un entrepreneur ou un cadre supérieur. Bien que cela puisse sembler improbable, un fraudeur confiant peut y parvenir dans une grande organisation possédant plusieurs bureaux.
5. L'appâtage (baiting)
L'appâtage est une technique d'ingénierie sociale qui profite du désir des gens d'obtenir des choses gratuitement pour inciter les employés à divulguer des informations confidentielles ou des détails financiers. Par exemple, un fraudeur peut cibler un employé en envoyant un e-mail de masse proposant un produit gratuit, comme le téléchargement d'un film. Si l'employé clique sur le bouton de téléchargement, cela peut entraîner l'infection de son appareil avec un logiciel malveillant.
Cette méthode est souvent utilisée pour installer des logiciels malveillants, comme ce fut le cas avec la version piratée de Game of Thrones. En 2018, elle est devenue l'émission de télévision la plus infectée par des logiciels malveillants de tous les temps, infectant ainsi 126 340 utilisateurs qui ont téléchargé la version piratée de l'émission. Il est donc important de rester vigilant face à ces offres alléchantes et de ne pas télécharger de fichiers suspects, même s'ils sont gratuits.
6. Le Quid Pro Quo
Le "Quid Pro Quo" est une technique d'ingénierie sociale utilisée par les cybercriminels pour obtenir des données. Cette expression latine signifie littéralement "ceci pour cela" et décrit un échange de quelque chose contre des biens ou des services. Les cybercriminels veulent des données, et un Quid Pro Quo est un moyen d'obtenir ces données.
Une attaque de type "Quid Pro Quo" commence souvent par un appel d'un fraudeur se faisant passer pour un technicien du support technique. L'employé est informé qu'une attaque par ransomware (rançongiciel) est en cours et qu'il doit supprimer le virus immédiatement pour éviter de perdre ses données de travail. Le pirate demande ensuite à l'employé de lui donner son nom d'utilisateur et son mot de passe pour supprimer le virus. Si l'employé tombe dans le piège et divulgue ses informations d'identification, le pirate peut alors accéder au réseau de l'entreprise et s'élever jusqu'à des zones plus sensibles. Il est donc important d'être vigilant et de ne jamais divulguer d'informations confidentielles ou de mots de passe à des personnes inconnues, même si elles prétendent être des techniciens de support technique.
Ingénierie sociale en entreprise : trois façons de protéger vos employés contre les attaques de social engineering
1. Mettre en place des processus et des politiques
Souvent, les ingénieurs sociaux exploitent des failles de sécurité dans les processus déficients. Par exemple, dans le cas du "tailgating" (talonnage), l'intrus peut s'appuyer sur l'absence de contrôle des personnes entrant dans un bâtiment. Les ingénieurs sociaux profitent de la confiance dans les figures d'autorité pour encourager un employé à agir, tel que transférer de l'argent, comme cela a été le cas dans une arnaque BEC (Business Email Compromise).
La plupart des escroqueries par ingénierie sociale nécessitent des données. Les escrocs se tournent donc vers les médias sociaux ou le phishing (hameçonnage) pour obtenir les informations nécessaires pour mener à bien une cyberattaque. Des processus robustes qui ajoutent des contrôles et des contre-mesures à chaque fois qu'une action telle qu'un transfert d'argent ou de données est effectuée peuvent aider à prévenir une attaque par ingénierie sociale. Des politiques qui garantissent que les employés ne partagent pas trop d'informations sur les plateformes de médias sociaux contribuent également à éviter cette forme de collecte de données.
2. Former les employés aux tactiques d'ingénierie sociale
L'ingénierie sociale prend de nombreuses formes, et les cybercriminels à l'origine des attaques d'ingénierie sociale adaptent ces escroqueries pour éviter d'être détectés. Par conséquent, les programmes de formation à la sensibilisation à la sécurité devraient inclure une formation aux astuces d'ingénierie sociale, y compris les six escroqueries décrites ci-dessus.
La formation doit être réalisée de manière attrayante et utiliser des modules de formation intéressants, amusants et informatifs.
La plateforme de sensibilisation à la sécurité doit également permettre de mesurer le taux de réussite d'un programme de formation afin que votre organisation puisse mettre à jour et adapter la formation pour obtenir les meilleurs résultats possibles. La formation des employés à la reconnaissance des attaques d'ingénierie sociale doit être effectuée régulièrement afin de prendre en compte les changements dans les modèles de menaces.
3. Utiliser des programmes de simulation d'attaque par hameçonnage (simulation de phishing)
L'hameçonnage (phishing) est une technique de base sur laquelle reposent de nombreuses attaques d'ingénierie sociale. Repérer les signes révélateurs d'un courriel ou d'un autre message de phishing est une première ligne de défense essentielle contre les attaques d'ingénierie sociale.
Les logiciels de simulation d'attaque par hameçonnage fournissent des modèles qui peuvent être adaptés pour refléter les astuces actuelles d'ingénierie sociale. Ceux-ci sont ensuite envoyés comme d'habitude aux employés et aux autres associés de l'entreprise. Si un utilisateur clique sur un lien malveillant ou tente de télécharger une pièce jointe, la plateforme de simulation de phishing interviendra avec une leçon sur les conséquences de ces actions.
En savoir plus : Sensibilisation cybersécurité en entreprise – 10 conseils pour améliorer la sensibilisation du personnel