Secu
Top 10 des attaques d’ingénierie sociale les plus courantes
Par Laurent Delattre, publié le 15 novembre 2022
Les attaques d’ingénierie sociale, également appelées « piratage humain », utilisent des tactiques de manipulation psychologique pour influencer le comportement d’un utilisateur. On distingue 10 principaux types d’attaques d’ingénierie sociale. Les voici.
Par Matthieu Jouzel, Solutions Engineer de BeyondTrust
Jouer sur les peurs collectives, les craintes de chacun, l’urgence des situations, l’actualité du moment, les mauvais réflexes, les couleurs, les habitudes, la curiosité des uns et l’insouciance des autres… Les techniques d’ingénierie sociale utilisent les faiblesses humaines pour tromper l’internaute et l’amener à cliquer là où il ne devrait pas.
En la matière, voici les 10 principaux vecteurs d’attaques exploités par les cybercriminels…
#1 Attaques de phishing (e-mail)
Ici, l’agresseur se fait passer pour une entité de confiance pour tromper l’utilisateur, l’inciter à ouvrir un e-mail et cliquer sur un lien malveillant, ouvrir une pièce jointe ou exécuter une forme ou une autre de programme encodé. Une fois le contenu malveillant activé, celui-ci peut commander le système ou installer différents types de malwares (ou ransomwares) pour tenter de voler des données, des identifiants, créer une voie d’accès, ou prendre un ou plusieurs systèmes en otage.
#2 Attaques de Spear Phishing
Cette variante du phishing vise des personnes ou groupes dans une entreprise via des e-mails (souvent avec pièce jointe), les réseaux sociaux, etc. L’intention est d’amener l’utilisateur à divulguer des informations personnelles ou effectuer une action pour compromettre le réseau, provoquer des fuites de données ou de capitaux. Ces attaques supposent souvent que l’on ait mené des enquêtes sur les personnes visées, pour atteindre un très haut niveau de personnalisation afin de les tromper et les inciter à agir. Elles sont préparées de telle sorte que la victime ait le sentiment d’avoir affaire à un interlocuteur de confiance ayant des informations qu’elle seule connaît ou reconnaît comme légitimes.
#3 Attaques de whaling
Les attaques de whaling (chasse à la baleine/ pêche au gros poisson) sont une forme sophistiquée de spear phishing qui vise des hauts dirigeants ou cadres supérieurs. Elles se font généralement par le biais d’e-mails frauduleux extrêmement bien préparés, reprenant le ton et le langage professionnel avec un sentiment d’urgence qui incitent l’utilisateur à effectuer une action de suite, comme autoriser un transfert bancaire. Les institutions financières, les sites de stockage cloud, les sites d’hébergement de fichiers et les sites de e-commerce sont les plus fréquemment visés étant donné que leurs dirigeants sont facilement identifiables sur Internet. Ces attaques sont le plus souvent très lucratives et entrainent donc de très gros risques pour les entreprises qui en sont victimes.
À LIRE AUSSI :
#4 Attaques de smishing et vishing
Les attaques de smishing prennent la forme d’un faux message texte contenant un lien vers un formulaire conçu pour collecter des informations ou exploiter une vulnérabilité. Un clic sur le lien peut aussi déclencher le téléchargement d’un malware. Il s’agit souvent de demandes urgentes de la part d’un service de livraison, d’une banque ou d’un supérieur au travail. Les attaques de vishing quant à elles prennent la forme d’appels vocaux ou de messages vocaux frauduleux de la part d’entreprises prétendues légitimes pour solliciter des informations personnelles (nom, adresse, numéro de sécurité sociale, données de carte bancaire…). Ces attaques peuvent aussi servir à enregistrer la voix de la victime pour la réutiliser afin d’autoriser des dépenses ou l’accès à ses comptes.
#5 Attaques d’appâtage (Baiting)
Il s’agit d’ « appâter » des utilisateurs avec des offres séduisantes ou des dispositifs infectés (un clé USB trouvée par terre par exemple) avec l’intention d’infecter le système de l’utilisateur avec un malware ou de lui voler des informations sensibles. Comme une attaque d’appâtage peut prendre des formes très ordinaires, le mieux est de se dire que si c’est trop beau, mieux vaut se méfier et surtout ne jamais brancher à son PC aucun dispositif dont on ignore l’origine.
#6 Compromission d’e-mail professionnel
Elle est souvent associée à un scam de compromission de compte de messagerie utilisant abusivement un véritable compte e-mail. Les deux attaques sont difficiles à détecter et à empêcher et s’intensifient avec le déploiement des infrastructures cloud. Elles peuvent faire perdre des milliards aux entreprises. Les cybercriminels se font passer pour un employé ou partenaire et en viennent à interagir avec des workflows ou créer des exceptions pour détourner des fonds ou des informations vers une destination criminelle. L’exemple le plus courant est celui d’une fausse facture enregistrée pour paiement.
#7 Scam impliquant le support technique, des rabais ou la justice
Dans ce cas, le cybercriminel se fait passer pour un agent du support technique ou un représentant de la justice et tente de convaincre sa victime qu’elle a besoin de ses services en profitant de l’effet de surprise. Ces attaques procèdent de liens malveillants, via un navigateur web, ou prennent la forme d’attaques de phishing, smishing ou vishing. Par exemple, un message d’erreur fictif qui redirige vers une ligne d’assistance ou un site web frauduleux. L’objectif est de convaincre l’utilisateur de l’existence d’un problème ou d’une opportunité, et d’obtenir des fonds par des moyens intraçables, des cartes-cadeau par exemple. Soit la motivation est financière, soit il s’agit d’infecter le système avec un malware (comme un antivirus gratuit) en prétendant aider la victime.
#8 Scams romantiques
Les scams dits romantiques sont le fait d’escrocs qui usurpent une identité en ligne et tentent de gagner la confiance ou l’affection de la victime. Ils opèrent souvent sur des sites de rencontre ou sur les réseaux sociaux. Parfois, l’escroc prétend être à l’étranger et avoir besoin d’aide, autrement dit d’argent pour financer une urgence médicale ou des frais d’avocat. Certains se procurent l’accès aux comptes bancaires de la victime pour perpétrer d’autres vols et opérations frauduleuses.
#9 Scarewares et menaces personnelles
Ces attaques ont vocation à faire peur aux victimes pour qu’elles se connectent à un site web frauduleux et infecté ou qu’elles téléchargent des malwares. Elles prennent souvent la forme d’annonces publicitaires de type pop-up ou d’avertissement par e-mail, indiquant qu’une menace imminente doit absolument être traitée en urgence en cliquant sur un lien. Mais une fois que l’utilisateur a cliqué, un malware se déploie sur son système. Ces attaques ressemblent aux scams du support technique mais ici le message est empreint de peur, d’urgence et de menaces de poursuites en justice. Ce vecteur d’attaque joue sur la crainte d’une enquête des autorités ou de la perte d’accès à des services, assurance, électricité, etc.
#10 Attaques du trou d’eau (Watering Hole)
Les attaques dites du trou d’eau visent à capturer des identifiants et d’autres informations personnelles à réutiliser dans des scams fondés sur l’identité. Les cibles sont amenées à visiter des sites web fictifs (en clonant des sites et en utilisant une URL ressemblante) ou infectés. L’objectif est de capturer des identifiants et d’autres informations personnelles. Des e-mails publicitaires frauduleux peuvent encourager celui qui les reçoit à se désinscrire soit en cliquant sur un lien malveillant, soit en renseignant un formulaire de désinscription tout aussi frauduleux. Cette attaque doit son nom à la tactique qui vise à attirer des animaux sauvages venus se désaltérer à une marre tandis qu’un prédateur les attend soigneusement caché.
Les attaques d’ingénierie sociale comptent parmi les attaques les plus fréquemment rencontrées par les entreprises. Et les salariés sont une cible privilégiée de la plupart de ces attaques car ils utilisent des outils tournés vers l’extérieur, e-mails, réseaux sociaux, qui peuvent faciliter le premier contact avec l’agresseur, l’aider à s’infiltrer et progresser latéralement sur le réseau de l’entreprise, une fois leurs identifiants usurpés.
À LIRE AUSSI :