Qu'est-ce que l'ingénierie sociale?

L'ingénierie sociale décrit la manière dont les victimes sont manipulées pour partager des informations, télécharger des logiciels malveillants et envoyer de l'argent à des criminels. Contrairement aux logiciels malveillants, le cerveau humain ne peut pas être corrigé : à la base, tout le monde est également vulnérable à l’ingénierie sociale. Et même si la perception du public à l’égard de l’ingénierie sociale n’a pas beaucoup évolué depuis l’arnaque du prince nigérian, les attaquants ont pu profiter de niveaux extrêmement élevés de violations de données pour tester certaines des techniques les plus néfastes et les plus manipulatrices à ce jour.

Comment fonctionne l’ingénierie sociale ?

L'ingénierie sociale peut prendre différentes formes, selon l'approche des attaquants. Pour les attaques contre des organisations, se faire passer pour une marque ou un partenaire de confiance est l’une des méthodes les plus lucratives. En 2019, des cybercriminels ont utilisé des logiciels basés sur l’IA pour usurper l’identité d’un PDG. 

Le PDG d’une société énergétique basée au Royaume-Uni a reçu un appel téléphonique de son patron – du moins c’est ce qu’il pensait – lui demandant de transférer d’urgence une somme de € 220,000 ($ 243,000) à un fournisseur hongrois. Bien qu’il s’agisse d’un rare cas d’attaquants tirant parti de l’IA, la plupart des ingénieurs sociaux sont toujours conscients de l’importance de se faire passer pour une organisation de confiance. Dans le même esprit, il existe des attaques visant à imiter des personnalités gouvernementales et des autorités. La confiance accordée aux institutions gouvernementales offre aux attaquants une opportunité fructueuse d’abuser : se faire passer pour l’IRS peut également donner aux attaques d’ingénierie sociale un avantage limité dans le temps ou punitif, poussant les victimes à agir sans y réfléchir. 

Les méthodes d’ingénierie sociale s’attaquent en grande partie à deux groupes d’émotions. La première implique la peur et l’urgence. Des décennies d’évolution ont vu les cybercriminels perfectionner leurs techniques de peur. Par exemple, un e-mail inattendu indiquant qu’une transaction récente par carte de crédit n’a pas été approuvée soumet le cerveau à un niveau de stress plus élevé, car la victime suppose que sa carte a été utilisée de manière frauduleuse. Cette panique les voit cliquer sur le lien associé, saisir leurs informations d'identification sur la page de connexion bancaire convaincante, pour ensuite être redirigés vers une page légitime. Inutile, la victime vient de remettre ses identifiants bancaires à des fraudeurs. Bien que rentables pour les attaquants, les finances ne sont pas le seul moyen de semer la panique : les propriétaires de petits sites Web et d'entreprises peuvent recevoir un message prétendant faussement qu'une image sur leur site viole la loi sur le droit d'auteur, ce qui les amène à divulguer des informations personnelles – ou même de l'argent sous la forme d'une amende. Certaines attaques basées sur l'urgence utilisent même la façade d'accords à durée limitée, afin de faire pression sur les victimes pour qu'elles cliquent dès que possible.

L’autre forme d’attaque d’ingénierie sociale fait appel à la cupidité ; l’attaque du Prince Nigérian en est l’exemple traditionnel. Ici, la victime reçoit un email d'une personne prétendant être un membre en fuite d'une famille royale nigériane. L'expéditeur a besoin du compte bancaire de quelqu'un pour envoyer ses millions, mais il a d'abord besoin des informations bancaires de sa victime. La victime, désireuse de profiter des millions à déposer, peut être persuadée d'envoyer une avance relativement modeste ou ses coordonnées. Dans le secteur de la cybercriminalité, cette attaque est ancienne – mais en 2018, elle rapportait encore des centaines de milliers de dollars.

Types d'attaques d'ingénierie sociale

L’ingénierie sociale couvre un large éventail de modèles d’attaque, chacun adoptant sa propre approche pour manipuler les victimes. 

Attaques de phishing

Le phishing englobe l’un des types d’attaques d’ingénierie sociale les plus connus. Ces attaques voient une victime recevoir des messages visant à la manipuler pour partager des informations sensibles ou télécharger des fichiers malveillants. Les fraudeurs reconnaissent que la boîte de réception est la zone la plus vulnérable de chaque organisation et que les messages sont rédigés avec une légitimité croissante, imitant des organisations connues, des amis du destinataire ou des clients crédibles. 

Il existe cinq formes principales d'attaque de phishing ; dont la plus dangereuse est la technique du spear phishing. Cette tactique cible une personne spécifique – généralement une personne bénéficiant d'un accès privilégié à des informations et à des réseaux sensibles. L’attaquant mènera une longue enquête sur la personne ciblée, utilisant souvent les médias sociaux pour suivre ses comportements et ses mouvements. L’objectif est de créer un message qui a été envoyé de manière crédible par quelqu’un que la cible connaît et en qui il a confiance – ou qui fait référence à des situations que la cible connaît bien. La chasse à la baleine fait référence à ce processus utilisé contre des personnalités de haut niveau telles que les PDG. Le spear phishing peut être rendu quasiment infaillible grâce au Business Email Compromise (BEC), qui permet d'envoyer des e-mails malveillants à partir du véritable compte de messagerie de l'autorité.  

Les deux types de phishing suivants font référence au support par lequel la victime a été contactée. Si le phishing fait généralement penser aux emails, les attaquants sont plus que disposés à utiliser toute forme de contact potentiel avec leurs victimes. Cela peut inclure le vishing – comme la dupe vocale du PDG susmentionnée – et l’inclusion d’une personne (apparente) à l’autre bout du fil peut renforcer davantage un sentiment d’urgence chez les victimes. 

IBM a publié des données qui montrait que l'inclusion du vishing dans une campagne augmentait ses chances de succès jusqu'à 300 %. Le smishing, quant à lui, permet aux attaquants d'utiliser des messages texte pour atteindre le même objectif.. La manière dont ces différents messages et e-mails parviennent à leurs victimes est aussi multiple que les attaquants eux-mêmes : la forme la plus élémentaire est le phishing en masse. Des e-mails très similaires – généralement basés sur un modèle – sont envoyés à des millions de destinataires à la fois. Les attaquants en masse savent que le phishing n’est qu’un jeu de chiffres : envoyez-les à suffisamment de personnes et quelqu’un finira par en être la victime. Ces e-mails sont aussi génériques que possible et semblent provenir de banques mondiales et de grandes entreprises en ligne. Les sujets courants sont les faux e-mails de réinitialisation de mot de passe et les demandes de mises à jour de crédit. Le phishing sur les moteurs de recherche, quant à lui, tente de générer des victimes « organiques » ; les attaquants créent des sites Web malveillants qui se classent ensuite suffisamment haut dans les résultats de recherche Google pour que les victimes supposent qu'ils sont légitimes. Sur les plateformes de réseaux sociaux, les pêcheurs à la ligne hameçonnent leurs victimes en se faisant passer pour les comptes officiels d'entreprises de confiance. Lorsqu'un client les contacte, ces faux comptes profiteront de leurs requêtes et préoccupations afin de collecter leurs informations personnelles et les détails de leur carte de crédit. 

Attaques d'appâtage

Alors que le phishing repose souvent sur des tactiques d'urgence à haute pression, les attaques d'appâtage incitent les victimes à agir contre leurs meilleurs intérêts. En 2020, le FBI a émis un avertissement aux organisations basées aux États-Unis ; il a été découvert que le groupe de cybercriminalité notoire FIN7 utilisait des clés USB malveillantes pour transmettre des ransomwares à plusieurs organisations. Ces clés USB ont été envoyées sous forme de colis de relations publiques et d'avis de sécurité publique ; un colis saisi avait été trouvé imitant le ministère américain de la Santé, faisant référence aux directives de Covid-19, et un autre tentait d'imiter un colis cadeau Amazon, rempli de fausse carte-cadeau et de clé USB malveillante.

Attaques de talonnage

Le talonnage, ou ferroutage, découle d’idées autour de la sécurité du périmètre physique. Ici, un attaquant suit de près une personne légitime et autorisée dans la zone contenant des actifs de valeur. Le talonnage numérique est l’une des formes les plus simples de cyberattaque, qui repose en grande partie sur la négligence des employés. Cela peut ressembler à un employé laissant son appareil sans surveillance alors qu’il se rend aux toilettes de sa bibliothèque locale – c’est légitimement ainsi que le Le FBI a arrêté Ross Ulbricht, propriétaire du site de vente de drogue Silk Road, en 2013.

Prétexter des attaques

Les attaques par prétexte impliquent que l'attaquant crée une situation crédible mais fausse pour la victime. Une fois qu’elles ont adhéré au mensonge, les victimes deviennent beaucoup plus manipulables. Par exemple, de nombreuses attaques sous prétexte se concentrent sur le fait que la victime est touchée par une faille de sécurité et propose ensuite de résoudre le problème, soit en prenant le contrôle à distance de l'appareil de la victime par son « assistance informatique », soit en récupérant des informations de compte sensibles. Techniquement, presque toutes les tentatives d’ingénierie sociale impliqueront un certain degré de prétexte, grâce à leur capacité à rendre une victime plus malléable.

Attaques en contrepartie

Les attaques de contrepartie utilisent la méthode d'appâtage – en faisant miroiter un bien ou un service désirable – devant le visage de la victime – mais uniquement lorsque la victime donne des informations personnelles en retour. Qu'il s'agisse de faux gains de concours ou d'un quiz « Quelle princesse Disney êtes-vous », les informations transmises par ces attaques peuvent contribuer à des attaques plus graves plus tard. 

Attaques de logiciels effrayants

Le scareware décrit toute forme de logiciel malveillant visant à effrayer ses victimes pour qu'elles partagent des informations ou téléchargent d'autres logiciels malveillants. Alors que les faux messages d’assistance technique constituent l’exemple traditionnel, les attaques les plus récentes exploitent pleinement les sentiments de peur et de honte. Récemment, des adresses e-mail ont été volées sur un site de recrutement et de fausses offres d'emploi ont été envoyées à chacun ; cliquer sur le document ci-joint lancerait le téléchargement d'un virus cheval de Troie. L’attaque visait spécifiquement les adresses e-mail des entreprises, sachant que les employés victimes hésiteraient à dire à leur employeur qu’ils avaient été infectés lorsqu’ils cherchaient un autre emploi.

Attaques de point d'eau

Enfin, les attaques par points d’eau permettent aux attaquants de cibler des pages Web légitimes et populaires. En injectant du code malveillant dans des sites fréquemment fréquentés par les cibles, les attaquants sont capables d'attraper indirectement leurs victimes grâce à des téléchargements en voiture et au vol d'informations d'identification. 

Comment identifier les attaques d'ingénierie sociale

Les attaques d’ingénierie sociale connaissent un grand succès grâce à leur capacité à passer inaperçues. Par conséquent, reconnaître une attaque – de préférence avant qu’elle ne vous prenne au piège – est un élément clé de la prévention des attaques. Voici les 6 principaux identifiants d’une tentative d’attaque d’ingénierie sociale :

Expéditeur suspect

L’usurpation d’e-mails est l’un des moyens les plus simples d’usurper l’identité d’une entreprise légitime. Ici, l'adresse de l'attaquant sera presque identique à celle de l'organisation réelle – mais pas tout à fait. Certains caractères peuvent être légèrement modifiés ou carrément omis ; cela peut devenir incroyablement sournois, comme changer un « I » majuscule en un « l » minuscule.

Salutations et signatures génériques

Les e-mails de phishing en masse utilisent presque toujours un message d'accueil générique tel que monsieur ou madame. Cependant, les documents marketing authentiques commencent généralement par un nom, car les organisations de confiance utilisent normalement les coordonnées incluses dans leur base de données. Cette forme de contact émanant d'organisations de confiance s'étendra également jusqu'à la fin de l'e-mail, car la signature de l'expéditeur comprendra souvent les informations de contact. La combinaison d’un message d’accueil générique et d’un manque d’informations de contact est un indicateur fort de phishing.

Liens hypertextes et sites Web falsifiés

L’un des moyens les plus simples de compromettre un appareil consiste à utiliser un site Web chargé de code malveillant. Grâce au formatage des hyperliens des appareils modernes, n'importe quel texte peut être lié à n'importe quelle URL. Bien qu'il soit possible de vérifier cela sur un PC en survolant le lien et en évaluant sa validité, les utilisateurs de mobiles et de tablettes courent plus de risques de cliquer involontairement dessus. La possibilité pour les attaquants d'imiter fidèlement des sites Web légitimes, ajoutant ainsi de la crédibilité à une attaque, aggrave encore la multiplication des hyperliens usurpés. Une URL usurpée suivra le même modèle qu'une adresse e-mail usurpée : une variation de l'orthographe ou du domaine, comme changer .gov en .net, fait partie des techniques les plus efficaces.

Destinations secondaires

Il est très courant que les supports marketing et autres messages incluent des documents joints. Les attaquants en profitent en dirigeant la victime vers un véritable document – ​​ou site d’hébergement – ​​qui à son tour la dirige vers une page malveillante. Cette technique est couramment utilisée contre les équipes d'employés qui coopèrent régulièrement au travail. Si un document légitime inclut un lien vers un fichier malveillant, il est non seulement plus crédible pour ses victimes, mais contourne également les mécanismes de sécurité de base de la boîte de réception.

Orthographe et mise en page

L’indication la plus évidente des attaques de phishing : une mauvaise grammaire et une mauvaise orthographe. Les organisations réputées consacrent presque toujours du temps à la vérification et à la relecture de la correspondance des clients. Dans le même temps, la mauvaise grammaire associée à l’art de l’ingénierie sociale des attaques de piratage humain agit comme un mécanisme de filtrage inhérent. Les attaquants ne veulent pas perdre leur temps à s'attaquer à des personnes suspectes : ceux qui tombent dans le piège d'une mauvaise grammaire et d'une mauvaise orthographe sont suffisamment vulnérables pour devenir des proies faciles.

Pièces jointes suspectes

Les e-mails non sollicités demandant à l’utilisateur de télécharger et d’ouvrir des pièces jointes devraient déclencher l’alarme. Lorsqu’elle est combinée à un ton d’urgence, il est important de rediriger cette panique vers un sentiment de prudence. Dans les cas de compromission de la messagerie professionnelle, il est possible que même des messages incroyablement courts déclenchent un chaos généralisé : recevoir un e-mail d'un haut dirigeant déclarant « J'ai besoin que ce document soit imprimé, sur mon bureau dans 10 minutes » pourrait tromper un stagiaire en lui faisant négliger le problème. erreur grammaticale par peur.

Comment prévenir les attaques d'ingénierie sociale

S'il est courant de considérer les attaques de phishing comme un problème purement individuel, il existe une demande croissante pour considérer la prévention de l'ingénierie sociale comme un effort collectif. Après tout, les attaquants ne font qu'exploiter les réactions naturelles des utilisateurs face à la peur et à la panique. La protection d’une organisation – et de ses utilisateurs – se résume à trois domaines clés.

#1. Formation de sensibilisation à la sécurité

Avant tout : donner aux salariés les outils nécessaires pour se défendre. Les formations de sensibilisation à la sécurité doivent être pertinentes pour leurs utilisateurs, tout en mettant l'accent sur quelques règles unilatérales. Les employés doivent comprendre qu’il ne faut pas cliquer sur les liens contenus dans les e-mails et les messages. Au lieu de cela, ils doivent prendre l’habitude de simplement rechercher une version légitime. Les vitesses Internet modernes en font une solution facile. 

L’hygiène des mots de passe est, à ce stade, un rappel que chaque employé a entendu mille fois. Étant donné les dizaines de comptes en ligne que chaque personne possède désormais, les mots de passe uniques et complexes ne sont réellement réalisables que via l'utilisation d'un gestionnaire de mots de passe. Soutenir les employés de cette manière peut grandement contribuer à limiter la portée des attaques réussies. 

Enfin, les employés doivent comprendre que tout le monde est vulnérable. La fuite d’informations personnelles via les réseaux sociaux est le moteur de l’industrie du phishing aux baleines, qui connaît un énorme succès. Même s'il est bon de garder à l'esprit que les écoles, les animaux domestiques et les lieux de naissance doivent rester hors de la vue du public, certains employés peuvent trouver plus facile de poser des questions de sécurité mémorisables mais techniquement fausses. Par exemple, poser la question de sécurité « Où es-tu allé à l'école ? » avec « Poudlard » pourrait repousser complètement tous les attaquants indiscrets. 

#2. Politiques de contrôle d'accès

Le contrôle de l’accès à chaque point de terminaison est un élément essentiel de la prévention de l’ingénierie sociale. Depuis l’utilisateur jusqu’aux processus d’authentification, il doit y avoir un contrôle strict sur qui accède à quoi. Les utilisateurs finaux doivent verrouiller leurs ordinateurs et appareils chaque fois qu’ils s’éloignent – ​​cela doit être renforcé et automatisé via de courtes minuteries de mise en veille. Lorsque les appareils sont utilisés dans des espaces publics, ils doivent être conservés à tout moment en possession des employés. Toute authentification doit être renforcée avec MFA. Cela peut éliminer complètement la menace de vol de BEC et d’identifiants de connexion.

En fin de compte, la simple vérification de l'identité avec une empreinte digitale ou un téléphone peut faire la différence entre un e-mail usurpé qui est intercepté et une attaque BEC qui cause des millions de dommages.

#3. Technologies de sécurité

Les employés doivent être pleinement soutenus par une suite complète de technologies de sécurité. Par exemple, si le filtrage anti-spam d'un programme de messagerie autorise toujours les e-mails suspects dans les boîtes de réception, des filtres tiers peuvent aider à surveiller et à prévenir les attaques d'ingénierie sociale grâce à une approche de liste noire d'URL. Si la prévention basée sur la boîte de réception est importante, la mise en œuvre de sécurité du navigateur de haute qualité. Idéalement, cela permettra de lutter contre les rootkits, les chevaux de Troie et les usurpations d'identifiants, offrant une protection bien plus étendue que la reconnaissance partielle d'URL. 

La solution LayerX

L'extension de navigateur axée sur l'utilisateur de LayerX offre une approche unique et complète pour lutter contre les attaques d'ingénierie sociale. Les sessions du navigateur sont surveillées au niveau de la couche application, offrant une visibilité complète sur tous les événements de navigation. Chaque page Web peut aller au-delà du processus « bloquer ou refuser », avec une analyse approfondie permettant la neutralisation des menaces en temps réel. De cette façon, une application granulaire peut empêcher même les attaques BEC très avancées de fournir des charges utiles. Plutôt que de s'appuyer sur une approche progressive via des listes de blocage DNS, l'approche évolutive de LayerX associe des renseignements de pointe sur les menaces à une application approfondie à chaque point final.