Bienvenue dans notre série “C’est quoi…”
qui rend le jargon technique compréhensible par tous.
L’ingénierie sociale est l’acte de manipuler des gens pour les inciter à faire une action spécifique, au profit d’un cybercriminel. Vous pourriez penser que cela ressemble aux méthodes d’un escroc, et vous avez bien raison, il s’agit bien d’une arnaque.
Puisque l’ingénierie sociale utilise les faiblesses inhérentes à chacun de nous, cette technique peut s’avérer très efficace. Et sans une formation appropriée, il est très difficile de s’en protéger.
Si vous avez déjà reçu un email de phishing, vous avez donc déjà été exposés à une potentielle attaque par ingénierie sociale. La partie ingénierie sociale d’une attaque de phishing est la première étape cruciale : inciter la victime à ouvrir une pièce jointe ou à visiter un site web malveillant.
Les cybercriminels ont beaucoup d’armes dans leur arsenal d’ingénierie sociale pour inciter les destinataires à agir, par exemple en :
- Créant un sentiment d’urgence, peut-être en fixant un délai d’action.
- Utilisant quelqu’un d’important comme le PDG de votre entreprise (Arnaque au Président).
- Mentionnant des événements actuels pour rendre les messages plus authentiques.
- Masquant des URLs malveillantes pour qu’elles aient l’air officiel.
- Offrant un cadeau comme un remboursement ou une réduction.
Le phishing ne peut pas fonctionner sans cette première étape, à savoir l’ingénierie sociale, pour vous convaincre de passer à l’action. Mais l’ingénierie sociale utilisée dans les attaques de phishing deviennent chaque jour de plus en plus ciblées et sophistiquées, au fur et à mesure que les cybercriminels tentent de garder une avance sur les utilisateurs, ou tentent d’atteindre voire de dépasser des objectifs plus importants et plus stratégiques.
Bien sûr, l’ingénierie sociale ne se limite pas aux campagnes de phishing par email.
L’ingénierie sociale peut se retrouver sur les réseaux sociaux, en personne, et par téléphone aussi, un appel supposé innocent passer à votre bureau par le “support technique” pour recueillir quelques détails apparemment mineurs sur le type de système d’exploitation que votre entreprise utilise, peut effectivement représenter un véritable trésor d’informations pour un cybercriminel.
Il peut être difficile d’éviter systématiquement d’être piégé par une attaque par ingénierie sociale, mais il existe quelques astuces que vous pouvez toujours garder à l’esprit :
- Faites confiance à votre intuition, si quelque chose semble suspect, faites attention, ne faites rien et vérifier la situation. Par exemple, parlez à votre patron en personne si vous ne savez pas si un email vient vraiment de lui.
- Si quelqu’un demande des informations sensibles comme un nom d’utilisateur et un mot de passe par téléphone, raccrochez ! Le service client officiel ou le support technique ne demandera jamais ce type d’information.
- Évitez de cliquer sur les liens dans des emails ou bien d’ouvrir des pièces jointes, surtout lorsque vous n’attendiez rien de particulier. Rappelez-vous que les cybercriminels peuvent facilement imiter quelqu’un que vous connaissez ou avec qui vous travaillez.
- Rappelez-vous que vous pouvez garder le contrôle à tout moment. Ne laissez personne vous inciter à faire quelque chose dont vous n’êtes pas sûr, ignorez les tactiques de mise sous pression pour vous inciter à agir, et prenez le recul nécessaire.
Pour finir, restez vigilant et attentif. Si quelque chose semble trop beau pour être vrai, c’est presque toujours le cas !
Billet inspiré de What is … social engineering ?, sur Sophos nakedsecurity.