La cybercriminalité se concentre généralement sur le piratage d’ordinateurs et de réseaux, mais l’ingénierie sociale adopte une approche différente. Au lieu de cibler des systèmes, il exploite la psychologie humaine.
En 2022, l’ingénierie sociale est devenue la méthode la plus répandue dans les cyberattaques, représentant plus de 90% des violations de données. Un e-mail ou un appel téléphonique convaincant d’une personne se faisant passer pour votre patron peut faire de vous une victime.
Cet article explorera les escroqueries par ingénierie sociale, leurs différentes formes et les méthodes pratiques pour vous en prémunir.
|
???? Points clés à retenir:
|
Que sont les escroqueries d’ingénierie sociale ?
L’escroquerie d’ingénierie sociale est la manipulation psychologique des gens pour obtenir de l’argent et Informations personnelles identifiables (PII) pour les crimes qui en ont résulté. L’escroc utilise des compétences sociales efficaces pour vous inciter à offrir volontairement ce qu’il veut.
L’ingénierie sociale peut être un moyen d’organiser et d’améliorer la société, comme le font les ingénieurs pour les machines. Malheureusement, ces mots ont désormais une signification sombre car ils sont désormais associés à la tromperie, au vol et aux cyberattaques.
Dans de nombreux cas, l’ingénierie sociale n’est qu’une phase initiale, une partie nécessaire au déroulement de la suivante.
Par exemple, les fraudeurs peuvent inciter un employé à divulguer les mots de passe confidentiels d’une entreprise. Ils utiliseront ensuite ces mots de passe pour infiltrer le réseau de l’entreprise et commettre des vols.
10 types courants d’escroqueries d’ingénierie sociale
Vous trouverez ci-dessous dix des cyberattaques les plus courantes utilisant l’ingénierie sociale. Comprendre le fonctionnement de ces escroqueries est essentiel pour les éviter.
Escroqueries vocales
Cette arnaque est un fléau depuis la production en série des téléphones. De nos jours, cela se fait via des applications de messagerie ou de conférence en ligne.
Les fraudeurs vous appellent et se présentent comme des représentants d’une banque ou des employés d’une entreprise réputée. Ensuite, ils demandent des détails financiers confidentiels après avoir patiemment élaboré une raison plausible. Parfois, ils demandaient même à la victime d’effectuer un virement bancaire vers un compte factice.
Leurs scripts sont intelligents et sont souvent exécutés pour vous presser. Il s’agit d’un stratagème visant à susciter un sentiment d’urgence, à vous faire paniquer afin que vous soyez plus susceptible de faire ce qu’ils veulent.
|
????Fait amusant: Les fraudeurs ont amélioré leurs outils et utilisent désormais l’IA pour imiter la voix de vos proches. Actualités CBS a rapporté qu’une mère a rencontré ce problème après avoir reçu un appel téléphonique d’un fraudeur se faisant passer pour sa fille de 15 ans et prétendant avoir été kidnappée. |
Hameçonnage
Depuis 2011, les attaques de phishing contre les appareils mobiles ont augmenté de 85 % par an. C’est l’un des moyens les plus courants de lancer une cyberattaque.
Le phishing utilise des sites Web, des e-mails et des SMS trompeurs. Les campagnes emails ou SMS contiennent un message pressant et un lien.
Ils sont rédigés pour susciter la curiosité et l’urgence, obligeant les victimes à divulguer des informations privées ou à cliquer sur le lien menant à un site Web malveillant. Un exemple typique est une alerte de violation de politique nécessitant la saisie immédiate des informations d’identification du compte.
Les sites Web de phishing ont des noms de domaine similaires à ceux d’entreprises légitimes, mais l’orthographe est toujours légèrement erronée. Facebook.com comme peut l’être un site de phishing Facebook.com ou Facebook1.com. Entrer sur ce site est dangereux car cela peut transmettre à votre ordinateur des logiciels malveillants volant des informations.
Les fraudeurs utilisent les informations qu’ils obtiennent pour commettre une fraude au paiement ou un vol d’identité.
Hameçonnage
Cette arnaque est la version ciblée de la méthode de phishing typique. Comme dans la pêche au harpon, le fraudeur choisit une victime spécifique, et il s’agit généralement d’une personne qui répond à un ensemble de critères.
Les fraudeurs adaptent leurs messages en fonction des caractéristiques de la cible. Il peut s’agir d’un travail, d’une base de fans, d’une entreprise ou de tout ce qui concerne personnellement l’individu. Cela rend l’attaque moins visible.
|
????Fait amusant: Norton a révélé qu’environ 88 % des organisations sont confrontées chaque année à des attaques de spear phishing. |
En 2019, les cybercriminels ont mené une Arnaque à John Wick 3 sur les cinéphiles. Ils ciblaient des fans spécifiques qui aimaient lire des bandes dessinées sur Amazon Kindle. Ils ont été incités à télécharger une version gratuite du film qui, à l’époque, n’était même pas encore sorti. Le lien de phishing envoyait ses victimes vers plusieurs sites de streaming illégaux contenant des logiciels malveillants.
Smishing
Le smishing ou SMS phishing est une attaque d’ingénierie sociale réalisée exclusivement via des messages texte.
Le smishing est aussi répandu que son homologue par courrier électronique. En 2021, la méthode d’arnaque a augmenté de 700 % rien qu’au premier semestre.
Cette variante utilise les mêmes techniques de manipulation via les canaux SMS ou les applications de messagerie. Les victimes sont également amenées à exposer leurs informations personnelles ou à cliquer sur des liens douteux.
Attaques des outils d’accès à distance (RAT)
Les escroqueries que vous voyez publiées sur YouTube sont souvent des attaques RAT. Cette méthode de manipulation est composée de trois couches.
Dans la première partie, le fraudeur se fait passer pour le support technique de grandes entreprises ou d’institutions financières. Ils expliqueraient la nécessité de prendre le contrôle de l’ordinateur de la victime « pour résoudre un problème important ».
Une fois la victime convaincue, l’escroc la guide pour télécharger et activer un programme d’accès à distance déguisé en logiciel légitime. Cela ouvre une porte dérobée vers l’ordinateur et permet aux cybercriminels de le contrôler à distance.
L’arnaque atteint sa phase finale lorsque le fraudeur utilise le RAT pour prendre le contrôle administratif de l’ordinateur. Ils ouvraient des sessions bancaires en ligne pour voler de l’argent et accédaient à des fichiers pour voler des informations.
Logiciel effrayant
Une tactique de scareware implique de fausses alarmes ou des menaces fictives qui incitent les utilisateurs à résoudre un problème qui n’existe peut-être pas.
Une fenêtre apparaît généralement et prétend que votre système ou appareil mobile est infecté par des logiciels malveillants dangereux ou nécessite un nettoyage du stockage. Cela vous fait suffisamment peur pour vous obliger à installer un logiciel qui prétend résoudre le problème gratuitement. Mais en réalité, le logiciel trompeur n’a aucun réel avantage. Il peut même s’agir du malware lui-même.
|
✅ Conseil de pro ! Restez calme et évitez de cliquer sur quoi que ce soit si vous recevez une alarme vous indiquant de prendre des mesures urgentes. Au lieu de cela, fermez le navigateur ou l’application et exécutez une analyse de sécurité fiable pour vérifier les menaces potentielles. |
Prétexter
UN prétexte est une apparence censée dissimuler l’intention réelle d’une personne. Le faux-semblant est une arnaque d’ingénierie sociale centrée sur une fausse identité.
L’escroc usurpe une identité fabriquée, une personne en position de confiance ou d’autorité, ou un représentant d’une entreprise bien connue. Ils peuvent se faire passer pour des collègues de travail, des agents de banque, des représentants de sociétés de cartes de crédit, des services d’assistance ou des avocats.
Les escrocs persuadent leurs victimes de renoncer à des informations personnelles spécifiques grâce à des mensonges astucieux. Les informations personnelles collectées sont utilisées dans le cadre d’un vol d’identité ou vendues à des courtiers d’identité sur le dark web.
|
???? Fait amusant: Selon Verizonle prétexte représente 27 % de toutes les escroqueries d’ingénierie sociale commises en 2022. |
Quiproquo
Quid Pro Quo se traduit en gros par «une faveur pour une faveur.» Il s’agit d’une attaque subtile qui convainc ses victimes d’échanger leur argent ou leurs informations personnelles contre une récompense ou un cadeau.
L’attaquant en contrepartie se fait passer pour le support informatique et vous propose un service gratuit. Mais pour l’activer, vous devrez ouvrir un e-mail douteux, désactiver votre antivirus ou VPN, ou reconfirmer les informations d’identification de votre compte.
L’arnaque est séduisante car elle ressemble à une véritable promotion. Il est difficile de trouver des services gratuits qui nécessitent peu d’efforts de votre part.
Talonnage
Le talonnage est le moyen le plus simple pour une personne autorisée de contourner les mesures de sécurité strictes. L’agresseur utilise des prétextes pour convaincre la victime de lui permettre d’entrer, en exploitant la courtoisie sociale et en jouant sur ses émotions. Les victimes persuadées « tiendront la porte ouverte » aux attaquants pour accéder à un compte sécurisé.
Par exemple, un cybercriminel peut utiliser la politesse malavisée d’un employé pour accéder au réseau d’une entreprise. Une infiltration facile entraînerait une violation massive des données, causant de lourdes pertes à l’entreprise.
Trou d’eau
Le Water-Holing, ou Water Hole Attack, est une arnaque d’ingénierie sociale qui ratisse large pour attraper une victime.
Les cybercriminels choisissent un site Web peu sécurisé fréquemment visité par un groupe particulier d’utilisateurs. Ils exploitent les faibles défenses du site Web, l’infectant avec une charge utile de code malveillant qui attaque simultanément de nombreux utilisateurs.
Finalement, un utilisateur détectera le malware sur son appareil. Il lance ensuite une attaque pivot pour commettre un autre crime. Il espionne la victime et rassemble des informations personnelles. À l’insu de la victime, le malware peut également transformer son ordinateur en robot pour des cyberattaques plus étendues comme le DDoSing.
|
✅ Conseil de pro ! |
Les meilleures défenses contre les escroqueries d’ingénierie sociale
Les escroqueries sont répandues en ligne, mais vous ne pouvez pas les éviter simplement en restant définitivement hors d’Internet. Au lieu de cela, vous pouvez être plus prudent et dissuader les fraudeurs néfastes.
Suivez ces conseils pour éviter les escroqueries par ingénierie sociale :
Les conseils ci-dessus vous éviteront d’être une victime. Mais comme pour tout ce qui est en ligne, c’est à vous de vous sauver. Être à l’affût. Vous pouvez vaincre l’ingénierie sociale simplement en étant vigilant.
L’essentiel
Les escroqueries sont aussi vieilles que l’histoire de l’humanité. Depuis qu’il existe des informations convoitées, des personnes malveillantes cherchent à les exploiter.
L’ingénierie sociale n’est qu’une infime partie de la façon dont les criminels exploitent les humains en ligne. Ils évoluent continuellement, repoussant les limites de l’infiltration et du vol sans se faire prendre. Ainsi, de nouvelles escroqueries vont sûrement surgir dans les années à venir.
Heureusement, les gouvernements du monde entier renforcent les lois visant à lutter contre la fraude. Les solutions de sécurité améliorent également leur technologie pour dissuader les cyberattaques.
En tant qu’utilisateur quotidien, vous pouvez apprendre de nombreuses astuces pour éviter les escroqueries d’ingénierie sociale. Le mieux est de rester calme et vigilant. Si vous le faites, vous pouvez repérer les mensonges d’un escroc.