Les organisations sont soumises à la cybermenace des auteurs de menace,
notamment les cybercriminels, les hacktivistes (pirates informatiques
militants) et les agents gouvernementaux. Si toutes les organisations
doivent se doter de puissants moyens de défense pour prévenir les
cyberattaques, les auteurs de menace disposent de tactiques, de techniques
et de procédures conçues pour contourner ces défenses. L’ingénierie sociale
est l’une des principales méthodes d’attaque.
Qu’est-ce que l’ingénierie sociale?
L’ingénierie sociale consiste à utiliser la tromperie pour exploiter la
nature humaine, nos habitudes et notre confiance afin d’obtenir des
informations ou accéder à des systèmes d’information. Les auteurs de menace
tentent d’influencer le comportement souhaité en faisant appel à la peur,
notamment la peur de manquer quelque chose, l’intimidation, la coercition,
l’urgence, l’opportunité ou même en se liant d’amitié avec l’utilisateur.
Les informations recherchées par les auteurs de menace à des fins
frauduleuses peuvent inclure :
des informations confidentielles, telles que les mots de passe et les
identifiants de connexion;
des renseignements personnels, tels que les informations bancaires.
Comment cela fonctionne-t-il ?
Les attaques par ingénierie sociale sont efficaces, car elles exploitent la
nature humaine tout en contournant les défenses de cybersécurité
habituelles.
Ces attaques sont particulièrement insidieuses, car elles sont furtives et
souvent bien exécutées avant de devenir apparentes.
Les auteurs de menace font leurs recherches. Ils ciblent les personnes moins
susceptibles de vérifier avant d’entreprendre la démarche demandée. En
d’autres termes, ils ciblent des personnes qui sont plus faciles à
manipuler.
Êtes-vous une cible facile? Si vous recevez un courrier électronique d’un
dirigeant de votre organisation vous demandant d’accomplir une tâche
rapidement, prendriez-vous le temps d’analyser le message pour y déceler les
signes d’une attaque d’ingénierie sociale? De plus, vous sentiriez-vous à
l’aise de confirmer l’authenticité de la demande avant d’entreprendre toute
autre action?
Les auteurs de menace cherchent à recueillir suffisamment d’informations
pour s’infiltrer dans le réseau d’une organisation ou dans vos comptes
financiers.
Pour réussir, l’auteur de cybermenace doit simplement amener la personne à
faire ce qu’on lui demande. Malheureusement, comme ces attaques reposent sur
notre curiosité, notre insécurité ou notre confiance pour obtenir un accès,
elles ont tendance à être très efficaces.
Tactiques d’ingénierie sociale
Il est essentiel de savoir comment les auteurs de menace peuvent vous
exploiter pour accéder aux informations et aux systèmes.
Les tactiques et techniques utilisées dans les attaques d’ingénierie sociale
comprennent :
Pre-texting – élaboration d’un scénario, ou prétexte,
pour augmenter la probabilité que la cible adopte le comportement
souhaité.
Hameçonnage – simuler une communication par courrier
électronique légitime qui incite les individus à fournir des
informations, le courrier électronique étant le vecteur d’attaque.
Hameçonnage par texto – une forme d’hameçonnage, avec
les SMS/messages texte
comme vecteur d’attaque.
Hameçonnage vocal – une forme d’hameçonnage, utilisant
les appels téléphoniques vocaux comme vecteur d’attaque.
Hameçonnage ciblé – cibler spécifiquement une personne
utile ou de grande valeur avec une attaque d’hameçonnage.
Attaque de pointe d’eau – recueillir des informations
sur les sites Internet régulièrement visités et trouver des
vulnérabilités dans ces sites qui peuvent être utilisées pour lancer des
logiciels malveillants contre les individus qui les visitent,
fournissant ainsi une voie d’accès aux systèmes organisationnels.
Appâtage – utilisation de supports de stockage
contenant des logiciels malveillants pour infecter les systèmes, par
exemple en laissant des clés
USB malveillantes près des
bureaux de l’organisation cible.
