Les pièges de l’ingénierie sociale

Prétexte, leurre, ransomware, phishing, vishing, usurpation d'identité... Toutes ces techniques ont un seul nom : l'ingénierie sociale. Elles sont utilisées par des criminels qui exploitent les vulnérabilités psychologiques de leurs victimes potentielles pour accéder à des informations sensibles, voler des données ou de l'argent. Le mois d'octobre a été le mois européen de la sensibilisation aux dangers de l'ingénierie sociale. Cybersécurité.

Roxana Vasile, 06.11.2024, 09:51

Octobre, le mois de la sécurité cybernétique en Europe

L’Union européenne a fait du mois d’octobre le mois de la sécurité cybernétique. Cette année l’accent a été mis sur une menace de plus en plus présente dans nos quotidiens, à savoir l’ingénierie sociale. Les spécialistes lancent un avis clair : nous devons rester informés, pas seulement un mois par an, mais tout le temps, en mettant en place quelques mesures de   prévention simples, afin d’éviter les pièges générés par les escrocs de l’ingénierie sociale.

L’ingénierie sociale, qu’est-ce que c’est ?

En effet, prétexte, leurre, rançongiciel, hameçonnage informatique ou téléphonique, usurpation d’identité… sont l’ensemble des techniques regroupées sous le nom d’ingénierie sociale. Elles sont utilisées par des criminels seuls ou en groupe qui exploitent les vulnérabilités psychologiques de leurs victimes potentielles pour accéder à des informations sensibles, voler des données ou de l’argent. En d’autres termes, les attaquants ne s’appuient pas tant sur des connaissances techniques, que sur la psychologie et le comportement humain – ou l’art de la manipulation.

Le fraudeur se fait souvent passer pour une personne ou une source digne de confiance et utilise la persuasion ou diverses astuces pour obtenir des mots de passe, des informations financières ou l’accès à des systèmes et à des réseaux. Si la manipulation fonctionne, l’attaquant encourage la victime à fournir des informations personnelles ou sensibles, à visiter un faux site web ou à installer un logiciel malveillant qui pourrait affecter son appareil ou même en prendre le contrôle.

L’email, un moyen de voler les données sensibles

Le mail personnel est l’un des moyens par lesquels des données sensibles peuvent être volées. Mais les attaquants privilégient de plus en plus les réseaux sociaux, comme nous l’explique Mihai Rotariu, responsable de la communication à la direction nationale de la cybersécurité :

 « Malheureusement, les attaquants ont beaucoup utilisé les attaques par ingénierie sociale ces derniers temps, en particulier au cours de l’année écoulée. Ils ont migré vers les réseaux sociaux, les médias sociaux, parce que cela leur permet de réduire considérablement leurs coûts. Ils n’ont plus nécessairement besoin de maintenir un site de hameçonnage, de payer pour l’héberger, de payer des spécialistes pour le soutenir en ligne, mais ils peuvent simplement compromettre certains comptes de médias sociaux, par exemple, de certains utilisateurs, utiliser les codes de confiance de ces comptes, les pages que ces comptes gèrent, pour lancer ensuite des messages, généralement des messages sponsorisés, vers certains pièges, pour certaines tentatives de fraude ».

Dans le cas de l’hameçonnage, les attaquants envoient des courriels, des messages ou des liens trompeurs vers des sites web d’apparence légitime afin de persuader les destinataires de cliquer et de révéler des mots de passe, des numéros de carte de crédit ou des données personnelles. L’hameçonnage vocal s’effectue par le biais de communications vocales, généralement des appels téléphoniques. Avec les rançongiciels, les criminels menacent de divulguer des informations sensibles ou de perturber les systèmes si la victime ne paie pas une rançon.

Pour l’argent, mais pas seulement

Les ingénieurs sociaux sont intéressés par l’argent mais pas uniquement comme le souligne Mihai Rotariu :

 « S’ils ont accès à nos appareils ou à nos comptes, ils essaient généralement de prélever de l’argent directement sur le compte. Mais s’ils n’y parviennent pas, ils essaient d’extraire autant de données que possible – données personnelles, données financières, données sensibles, données d’authentification. Toutes ces données ont une valeur sur le marché noir et peuvent être vendues. Les attaquants peuvent même échanger ces données entre eux, précisément pour cibler le plus grand nombre d’utilisateurs possible avec ces pièges en ligne. Dès qu’un hacker a réussi une attaque contre un utilisateur, sachez que cet utilisateur sera sur la liste des attaquants, soit des bons payeurs, soit des utilisateurs qui ne sont pas prudents et qui transmettent facilement leurs données, juste pour devenir une cible pour d’autres arnaques ».

Il faut acquérir une routine de la cybersécurité

Lorsque nous voulons traverser la route, nous nous assurons que nous regardons à gauche, à droite, que nous regardons les feux de circulation… En d’autres termes, nous avons dans le sang une routine comportementale qui s’applique toujours dans de telles situations.

Idéalement, nous devrions également acquérir une routine, une hygiène de la cybersécurité, dans l’environnement en ligne – insiste Mihai Rotariu, responsable de la communication de la Direction nationale de la cybersécurité :

« Il faut être vigilants et patients lorsque nous sommes en ligne et penser logiquement. Nous devrions nous habituer à traiter et à agir à une vitesse décente sur la Toile, car nous savons qu’en général nous traitons les informations beaucoup plus rapidement en ligne que dans la vie réelle. Il nous faut donc effectuer les vérifications nécessaires avant d’entreprendre des actions qui pourraient compromettre nos données ou notre équipement  ».

Si quelque chose semble étrange ou trop beau pour être vrai, il peut s’agir d’une escroquerie

Plus précisément, si quelque chose semble étrange ou trop beau pour être vrai, pensez qu’il peut s’agir d’une escroquerie. Évitez alors de cliquer sur des liens ou d’ouvrir des courriels provenant de sources inconnues. Vous ne devez jamais partager de données sensibles telles que des mots de passe, des numéros de carte de crédit ou des informations personnelles dans des messages ou des emails, quelle que soit la personne qui vous les demande. Il convient de vérifier l’identité de la personne ou de l’entité qui demande les informations et de définir des mots de passe robustes. Enfin, si par malchance on devient la victime de cyber-vilains, il faut avertir les autorités locales compétentes, changer nos mots de passe, activer l’authentification multifactorielle, rechercher les logiciels malveillants sur nos appareils et alerter nos amis ou collègues. (trad. Clémence Lheureux)