04 70 96 18 36
contact@axis-solutions.fr
Espace client
title
Logo Axis Solutions entreprise accompagnement technique et développement informatique vichyLogo Axis Solutions entreprise accompagnement technique et développement informatique vichy

Cyberattaques & Ingénierie sociale

Cybersécurité, Web

L’ingénierie sociale, c’est une méthode de plus en plus utilisée par les cybercriminels, dans leurs cyberattaques. Leur objectif ? Vous manipuler, vous piéger et ainsi arriver à leurs fins (vol de données, intrusion dans votre système informatique, etc…). Alors, pour vous aider à déjouer les plans sournois des pirates, nous vous présentons comment ce concept se manifeste concrètement dans les cyberattaques ainsi que les méthodes et outils à adopter, pour vous en prémunir.

L’ingénierie sociale : point de départ des cyberattaques

A la base, l’ingénierie sociale est un concept qui englobe de nombreuses techniques psychologiques exploitant nos biais cognitifs. La plupart du temps elle est utilisée dans un but constructif. Par exemple, pour encourager des comportements ayant une portée sociétale positive (respect des lois, de l’environnement, promotion de mesures d’hygiène, etc…). Mais depuis plusieurs années les pirates s’en servent également à des fins d’escroquerie ou d’arnaque.

Les techniques de manipulations psychologiques des pirates

Pour les cybercriminels, il est plus facile et moins coûteux de tromper un humain que de pirater un système informatique équipé de mesures de protection sophistiquées. C’est pourquoi, pour vous soutirer de l’argent ou l’accès à vos comptes et données, les hackers exploitent vos émotions.

La peur

Vous remarquerez que les tentatives d’escroquerie par email vous menacent souvent de conséquences désagréables (perte d’argent, résiliation de contrat, poursuites judiciaires, etc…) si vous n’obéissez pas aux demandes de l’émetteur.

L’urgence

Les hackers utilisent souvent un ton et un vocabulaire qui exprime une certaine urgence. Et pour plus d’efficacité ils l’associe généralement à la peur. L’idée étant de de vous stresser afin que vous obéissiez sans réfléchir à la légitimité de leur demande.

L’empathie

Pour obtenir des informations confidentielles les pirates jouent sur le sentiment d’appartenance à un groupe (comme une entreprise) et l’empathie qui peut exister entre ses membres. Ils se font ainsi passer pour l’un d’eux et sollicitent un autre membre. Celui-ci est alors plus enclin à leur apporter de l’aide que s’il avait été sollicité par une personne extérieure au groupe.

La curiosité

N’importe quel prétexte est bon pour vous faire cliquer là où les cybercriminels veulent que vous cliquiez. En choisissant bien leurs mots ils savent piquer cet instinct naturel chez l’humain et déclencher une action de votre part. Comme par exemple, télécharger un logiciel malveillant, renseigner un formulaire avec vos données personnelles etc…

L’appât du gain

Pour attirer votre attention les hackers vous proposent souvent une opportunité immanquable (versement de grosses sommes d’argent, accès gratuit à des services payants, réduction sur des produits, etc…). En misant sur votre peur de passer à côté d’une bonne affaire, ils cherchent ainsi à baisser votre vigilance et vous inciter à agir.

La confiance

Pour parvenir à leurs fins, les cybercriminels cherchent à gagner votre confiance et vous persuader de leur obéir. Ils utilisent donc les informations que vous laissez sur le web pour rendre leur discours plus crédible. Par exemple, ils peuvent passer au crible vos réseaux sociaux pour en savoir plus sur vous, votre lieu de travail, vos loisirs, vos contacts, etc. Tout élément que vous avez posté à la vue de tous ou qui est trouvable dans les résultats des moteurs de recherche pourra être utilisé contre vous.

illustration vos informations personnelles présentes sur le net pourront être utilisée contre vous dans une cyberattaque faisant appel à l'ingénierie sociale

Comment l’ingénierie sociale se manifeste dans les cyberattaques ?

Voici les principaux types de cyberattaques qui utilisent l’ingénierie sociale.

Le phishing et affiliés

Le phishing, que nous avons déjà évoqué en détail dans un précédent article, est la technique d’escroquerie par email la plus répandue. D’ailleurs, il existe désormais des variantes que vous pouvez recevoir par texto (SMiShing) ou message vocal (Vishing). Leur mode de fonctionnement est similaire à celui du phishing, seul le support utilisé pour la communication change.

L’augmentation significative des campagnes de phishing au fil des ans a d’ailleurs poussé les pirates à perfectionner leurs arnaques pour qu’elles soient moins repérables. C’est pourquoi les campagnes de phishing ciblées remplacent peu à peu les envois de mail en gros et au hasard (Spear-Phishing).

Parmi elles, on trouve notamment les escroqueries de type « Arnaques au président ». Où les cybercriminels réclament à un collaborateur de l’entreprise ciblée un versement d’argent en se faisant passer pour le dirigeant de la société ou pour un organisme de confiance. Ces arnaques étant particulièrement redoutables, nous vous invitons à consulter notre étude de cas client, qui vous apprendra à déjouer les « Arnaques au président »

L’appâtage

Vous avez sûrement déjà reçu un email ou message privé sur les réseaux sociaux, provenant de l’un de vos contacts (dont le compte a été piraté). Le texte est souvent énigmatique : « C’est toi dans cette vidéo ?!? 😱😱😱 », « J’ai pensé que ça pourrait t’intéresser… », « Accès gratuit à mon-service-de-streaming-préféré ». Et toujours accompagné d’un lien ou d’une pièce-jointe sur laquelle la curiosité a tendance à nous pousser à cliquer. Il s’agit là d’une technique d’appâtage courante.

Tout comme celle de laisser traîner une clé USB contenant un dossier « Privé » ou « Confidentiel » dans un lieu public. En espérant qu’un curieux la trouve et infecte son PC en cliquant sur ce dossier à l’intitulé mystérieux. Notons toutefois qu’elle semble un peu plus hasardeuse en terme de réussite que celle du message privé.

L’extorsion

Il existe tellement de scénarios possible pour vous extorquer de l’argent qu’il est impossible de tous les lister. On peut simplement évoquer :

  • les escroqueries sentimentales, aussi appelées « catfishing » : où les pirates nouent une relation avec leurs proies. Ils profitent alors de ses potentiels sentiments pour lui soutirer de l’argent (demande de virements pour rendre possible une rencontre physique, demande de photos intimes pour faire chanter la victime, etc…).
  • les escroqueries reposant sur un manque de connaissances informatiques : comme ces pop-ups recouvrant entièrement l’écran du PC de la cible et affichant un message mensonger. Son PC est soit disant infecté et elle doit appeler un numéro pour être dépannée par un service technique. Bien entendu le service technique n’existe pas. Ce sont les cybercriminels qui en profitent pour installer de vrais malwares ou vous voler vos informations bancaires. Comme par exemple, lors du détournement de Quick Assist par les pirates pour déployer des ransomwares à grande échelle, courant 2024.
illustration des manifestations de l'ingénierie sociale dans les cyberattaques ayant pour but l'extorsion d'argent

Comment vous protéger face à l’ingénierie sociale ?

Les cyberattaques faisant appel à l’ingénierie sociale sont redoutables. Alors pour éviter qu’elles n’aboutissent il faut vous préparer.

Sensibilisez vos collaborateurs aux cyber risques

Étant donné que les hackers ciblent plus facilement les failles humaines que matérielles, il faut donc préparer vos collaborateurs. Ils seront surement confrontés un jour ou l’autre à une cyberattaque utilisant l’ingénierie sociale. Et il vaut donc mieux qu’ils sachent comment réagir dans ce type de situation.

Pour ce faire nous vous conseillons vivement de sensibiliser vos équipes à la cybersécurité. Partage d’information autour des cyberattaques actuelles, fausses-campagnes de phishing, formation en continue, etc… Ce sont les clés pour que vos collaborateurs acquièrent l’expérience et les automatismes nécessaires pour éviter de mordre à l’hameçon des pirates.

Enfin en cas de doutes vous pouvez retenir ces 4 principes qui vous sauveront dans la plupart des cas :

  1. Un organisme de confiance (banque, administration, société commerciale…) ne vous demandera jamais de divulguer vos informations confidentielles par email ou téléphone (données bancaires, mots de passe…)
  2. Si la proposition que l’on vous fait est trop belle pour être vraie, c’est sûrement le cas !
  3. Ne vous laissez pas intimider par les messages menaçants ou pressants et prenez votre temps pour les analyser
  4. Si un message vous semble suspect ou inhabituel, n’hésitez pas à contacter votre prestataire informatique pour avoir son avis

Vérifiez l’identité de votre interlocuteur

Rien ne vous interdit de contacter par un autre canal, l’émetteur du message qui vous semble douteux. Vous aurez ainsi une confirmation de vive voix concernant la légitimité de l’email reçu. Si votre interlocuteur ne voit pas de quoi vous parlez, vous êtes sûrement face à une tentative d’escroquerie. Mais vous l’aurez au moins informé d’une faille de sécurité sur sa boîte mail.

Faîtes de votre boîte-mail une forteresse anti-spam

Grâce aux outils disponibles (anti-spam, options de configuration de vos boîtes mails, etc…) limitez au maximum la réception d’emails à caractère malveillant. Mathématiquement, vous réduirez les risques de donner malgré vous vos informations confidentielles à un cybercriminel.

Gardez votre antivirus actif et à jour

Comme l’erreur est humaine, vous pouvez tout de même tomber dans un piège. Il est donc indispensable d’assurer vos arrières.
Et pour cela vous devez absolument posséder une solution antivirus professionnelle et veiller à ce qu’elle soit à jour. C’est le meilleur moyen de protéger votre PC et le système informatique de votre entreprise. Si jamais vous faîtes une erreur, l’antivirus bloquera immédiatement la menace.

Activez l’authentification à deux facteurs

Sur tous vos comptes en ligne où vous avez la possibilité de le faire : activez la double authentification. Vous les protégez ainsi avec une couche de sécurité supplémentaire. Dans le cas où les cybercriminels parviendraient à obtenir vos identifiants, il sera plus difficile pour eux d’accéder à vos données.

Maintenant que vous connaissez les techniques des pirates, il ne vous reste qu’à vous entraîner pour éviter les arnaques. Avec un peu de pratique, vous identifierez de plus en plus rapidement les pièges que l’on vous tend. Et vous pourrez tranquillement les esquiver.
Bien entendu, cela ne vous dispense pas pour autant de protéger votre matériel (PC’s, réseaux, etc…). Car si l’erreur est humaine, la machine peut vous sauver la mise, à condition de lui en donner les moyens.

Je souhaite savoir si mon matériel informatique est assez protégé

Vous pourriez lire aussi :

keyboard_arrow_up