Qu’est ce qu' Ingénierie sociale? 11 exemples à surveiller
Table des matières
Qu'est-ce que l'ingénierie sociale, de toute façon ?
L'ingénierie sociale fait référence à l'acte de manipuler les gens pour extraire leurs informations confidentielles. Le type d'informations recherchées par les criminels peut varier. Habituellement, les individus sont ciblés pour leurs coordonnées bancaires ou leurs mots de passe de compte. Les criminels tentent également d'accéder à l'ordinateur de la victime afin qu'ils installent des logiciels malveillants. Ce logiciel les aide ensuite à extraire toutes les informations dont ils pourraient avoir besoin.
Les criminels utilisent des tactiques d'ingénierie sociale car il est souvent facile d'exploiter une personne en gagnant sa confiance et en la convainquant de donner ses données personnelles. C'est un moyen plus pratique que de pirater directement l'ordinateur de quelqu'un à son insu.
Exemples d'ingénierie sociale
Vous pourrez mieux vous protéger en étant informé des différentes manières dont se fait l'ingénierie sociale.
1. Prétexter
Le faux-semblant est utilisé lorsque le criminel veut accéder à des informations sensibles de la victime pour effectuer une tâche critique. L'attaquant tente d'obtenir l'information à travers plusieurs mensonges soigneusement élaborés.
Le criminel commence par établir une relation de confiance avec la victime. Cela peut être fait en usurpant l'identité de leurs amis, collègues, responsables de banque, police ou autres autorités susceptibles de demander ces informations sensibles. L'attaquant leur pose une série de questions sous prétexte de confirmer leur identité et recueille des données personnelles dans ce processus.
Cette méthode est utilisée pour extraire toutes sortes de détails personnels et officiels d'une personne. Ces informations peuvent inclure des adresses personnelles, des numéros de sécurité sociale, des numéros de téléphone, des enregistrements téléphoniques, des coordonnées bancaires, des dates de vacances du personnel, des informations de sécurité liées aux entreprises, etc.
2. Vol de détournement
Il s'agit d'un type d'escroquerie qui cible généralement les entreprises de messagerie et de transport. Le criminel tente de tromper l'entreprise cible en lui faisant fournir son colis de livraison à un lieu de livraison différent de celui initialement prévu. Cette technique est utilisée pour voler des biens précieux qui sont livrés par la poste.
Cette escroquerie peut être effectuée à la fois hors ligne et en ligne. Le personnel qui transporte les colis peut être approché et convaincu de déposer la livraison à un autre endroit. Les attaquants pourraient également accéder au système de livraison en ligne. Ils peuvent alors intercepter le calendrier de livraison et y apporter des modifications.
3. Phishing
L'hameçonnage est l'une des formes les plus populaires d'ingénierie sociale. Les escroqueries par hameçonnage impliquent des e-mails et des SMS qui peuvent créer un sentiment de curiosité, de peur ou d'urgence chez les victimes. Le texte ou l'e-mail les incite à cliquer sur des liens qui mèneraient à des sites Web malveillants ou à des pièces jointes qui installeraient des logiciels malveillants sur leurs appareils.
Par exemple, les utilisateurs d'un service en ligne peuvent recevoir un e-mail affirmant qu'il y a eu un changement de politique qui les oblige à changer leurs mots de passe immédiatement. Le courrier contiendra un lien vers un site Web illégal identique au site Web d'origine. L'utilisateur saisira ensuite les informations d'identification de son compte sur ce site Web, le considérant comme le site légitime. En soumettant leurs coordonnées, les informations seront accessibles au criminel.
4. Harponnage
Il s'agit d'un type d'escroquerie par hameçonnage qui cible davantage un individu ou une organisation en particulier. L'attaquant personnalise ses messages en fonction des postes, des caractéristiques et des contrats liés à la victime, afin qu'ils puissent sembler plus authentiques. Le spear phishing nécessite plus d'efforts de la part du criminel et peut prendre beaucoup plus de temps que le phishing classique. Cependant, ils sont plus difficiles à identifier et ont un meilleur taux de réussite.
Par exemple, un attaquant tentant de harponner une organisation enverra un e-mail à un employé se faisant passer pour le consultant informatique de l'entreprise. L'e-mail sera encadré d'une manière qui est exactement similaire à la façon dont le consultant le fait. Il semblera suffisamment authentique pour tromper le destinataire. L'e-mail invitera l'employé à changer son mot de passe en lui fournissant un lien vers une page Web malveillante qui enregistrera ses informations et les enverra à l'attaquant.
5. Le trou d'eau
L'escroquerie à l'eau profite de sites Web fiables qui sont régulièrement visités par de nombreuses personnes. Le criminel recueillera des informations concernant un groupe ciblé de personnes pour déterminer les sites Web qu'ils visitent fréquemment. Ces sites Web seront ensuite testés pour les vulnérabilités. Avec le temps, un ou plusieurs membres de ce groupe seront infectés. L'attaquant pourra alors accéder au système sécurisé de ces utilisateurs infectés.
Le nom vient de l'analogie de la façon dont les animaux boivent de l'eau en se rassemblant à leurs endroits de confiance lorsqu'ils ont soif. Ils n'hésitent pas à prendre des précautions. Les prédateurs en sont conscients, ils attendent donc à proximité, prêts à les attaquer lorsque leur garde est baissée. Les trous d'eau dans le paysage numérique peuvent être utilisés pour effectuer certaines des attaques les plus dévastatrices contre un groupe d'utilisateurs vulnérables en même temps.
6. Appâtage
Comme son nom l'indique, l'appâtage implique l'utilisation d'une fausse promesse pour déclencher la curiosité ou la cupidité de la victime. La victime est attirée dans un piège numérique qui aidera le criminel à voler ses données personnelles ou à installer des logiciels malveillants dans ses systèmes.
L'appâtage peut avoir lieu via des supports en ligne et hors ligne. À titre d'exemple hors ligne, le criminel peut laisser l'appât sous la forme d'un lecteur flash qui a été infecté par des logiciels malveillants à des endroits bien en vue. Il peut s'agir de l'ascenseur, de la salle de bain, du parking, etc. de l'entreprise ciblée. Le lecteur flash aura un aspect authentique, ce qui incitera la victime à le prendre et à l'insérer dans son ordinateur de travail ou à la maison. Le lecteur flash exportera alors automatiquement les logiciels malveillants dans le système.
Les formes d'appâtage en ligne peuvent prendre la forme de publicités attrayantes et attrayantes qui encouragent les victimes à cliquer dessus. Le lien peut télécharger des programmes malveillants, qui infecteront ensuite leur ordinateur avec des logiciels malveillants.
7. Quiproquo
Une attaque quid pro quo signifie une attaque « quelque chose pour quelque chose ». C'est une variante de la technique d'appâtage. Au lieu d'appâter les victimes avec la promesse d'un avantage, une attaque en contrepartie promet un service si une action spécifique a été exécutée. L'agresseur offre un faux avantage à la victime en échange d'un accès ou d'informations.
La forme la plus courante de cette attaque est lorsqu'un criminel se fait passer pour le personnel informatique d'une entreprise. Le criminel contacte alors les employés de l'entreprise et leur propose un nouveau logiciel ou une mise à niveau du système. L'employé sera alors invité à désactiver son logiciel antivirus ou à installer un logiciel malveillant s'il souhaite la mise à niveau.
8. Talonnage
Une attaque de talonnage est également appelée ferroutage. Cela implique que le criminel cherche à entrer dans un lieu restreint qui ne dispose pas de mesures d'authentification appropriées. Le criminel peut y accéder en marchant derrière une autre personne qui a été autorisée à entrer dans la zone.
À titre d'exemple, le criminel peut se faire passer pour un chauffeur-livreur qui a les mains pleines de colis. Il attend qu'un employé autorisé franchisse la porte. Le livreur imposteur demande alors à l'employé de lui tenir la porte, lui permettant ainsi d'accéder sans aucune autorisation.
9. Piège à miel
Cette astuce implique que le criminel prétende être une personne attirante en ligne. La personne se lie d'amitié avec ses cibles et simule une relation en ligne avec elles. Le criminel profite alors de cette relation pour extraire les données personnelles de ses victimes, leur emprunter de l'argent ou leur faire installer des logiciels malveillants sur leurs ordinateurs.
Le nom «honeytrap» vient des anciennes tactiques d'espionnage où les femmes étaient utilisées pour cibler les hommes.
10. Voleur
Les logiciels escrocs peuvent apparaître sous la forme d'un anti-malware escroc, d'un scanner escroc, d'un scareware escroc, d'un anti-spyware, etc. Ce type de logiciel malveillant incite les utilisateurs à payer pour un logiciel simulé ou faux qui promet de supprimer le logiciel malveillant. Les logiciels de sécurité malveillants sont devenus une préoccupation croissante ces dernières années. Un utilisateur peu méfiant pourrait facilement devenir la proie de tels logiciels, qui sont disponibles en abondance.
11. Malware
L'objectif d'une attaque de logiciel malveillant est d'amener la victime à installer un logiciel malveillant dans ses systèmes. L'attaquant manipule les émotions humaines pour que la victime autorise le logiciel malveillant à pénétrer dans son ordinateur. Cette technique implique l'utilisation de messages instantanés, de messages texte, de médias sociaux, d'e-mails, etc., pour envoyer des messages de phishing. Ces messages incitent la victime à cliquer sur un lien qui ouvrira un site Web contenant le logiciel malveillant.
Des tactiques alarmistes sont souvent utilisées pour les messages. Ils pourraient dire qu'il y a quelque chose qui ne va pas avec votre compte et que vous devez immédiatement cliquer sur le lien fourni pour vous connecter à votre compte. Le lien vous fera alors télécharger un fichier par lequel le malware sera installé sur votre ordinateur.
Restez conscient, restez en sécurité
Se tenir informé est la première étape pour se protéger de attaques d'ingénierie sociale. Un conseil de base consiste à ignorer tout message demandant votre mot de passe ou des informations financières. Vous pouvez utiliser les filtres anti-spam fournis avec vos services de messagerie pour signaler ces e-mails. Obtenir un logiciel antivirus de confiance aidera également à sécuriser davantage votre système.
