Social Engineering - Qu'est-ce que c'est ?

Le Social Engineering, ou programmation neurolinguistique, est le terme courant pour désigner différentes approches permettant de faire en sorte que les gens pensent ou agissent comme vous le souhaitez.

Vous pourriez être intéressé par nos autres outils antivirus:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

Qu'est-ce que le Social Engineering ūüĒ• Techniques d'Attaque et Conseils de Pr√©vention

Social Engineering

October 06, 2023

Certaines personnes ont un talent naturel pour convaincre les autres de faire quelque chose ou de penser comme elles le souhaitent. Certains disent que c'est √† cause du charisme et des comp√©tences d'orateur. D'autres bl√Ęment la cr√©dulit√© des gens. Mais les effets sont les m√™mes - et ils apportent rarement quelque chose de positif √† la partie passive.

Le Social Engineering regroupe un ensemble d'approches et de techniques qui d√©crivent les moyens d'influencer les opinions et les actions des autres. Cela peut concerner des individus isol√©s, ainsi que des foules. Ces m√©thodes se concentrent g√©n√©ralement sur les probl√®mes et proposent la solution choisie comme r√©ponse √† ce probl√®me. Gr√Ęce au d√©veloppement des communications, il est devenu √©l√©mentaire de r√©aliser des √©v√©nements de social engineering - sur les messageries, les r√©seaux sociaux, par e-mail, voire m√™me par t√©l√©phone. Le social engineering est une forme sp√©cifique de m√©thode de publicit√© directe.

Social engineering

En mati√®re de cybers√©curit√©, le social engineering joue un r√īle majeur dans la propagation des logiciels malveillants. Sa polyvalence permet aux pirates de l'utiliser √† la fois dans les cyberattaques contre les entreprises et dans les campagnes massives de spams visant les individus. Et le nombre global de m√©thodes d'ing√©nierie lui permet d'√™tre efficace dans diff√©rents environnements. Il est √©galement relativement facile √† mettre en Ňďuvre - tout ce dont vous avez besoin est un texte o√Ļ la victime sera motiv√©e voire forc√©e de r√©agir. Pas de logiciel compliqu√©, pas d'espoir d'√©v√©nements al√©atoires - c'est id√©al pour n'importe quelle cat√©gorie de cybercriminels.

Comment fonctionne le Social Engineering

Il est important de mentionner que nous examinerons les m√©thodes de social engineering utilis√©es dans les cyberattaques. Il existe de nombreuses autres m√©thodes, mais elles sont pour la plupart similaires, et les diff√©rences g√©n√©rales r√©sident dans leur utilisation. Comme nous l'avons mentionn√© pr√©c√©demment, les crimes informatiques utilisant ce sujet peuvent √™tre commis par e-mail ou sous forme de message sur diff√©rents canaux de communication (messageries, forums, chats en ligne). L'un des objectifs les plus courants du social engineering est de faire en sorte que les gens vous fassent confiance et fassent ce que vous dites. Ce n'est pas instantan√© et peut prendre des jours, voire des semaines. Mais cela vaut la peine de consacrer un certain temps lorsque l'on vise un large public. Il est √©vident que plus vous gagnerez en confiance, plus vous aurez de chances que les gens mordent √† l'app√Ęt. Cependant, plus vous essayez de tromper de personnes, plus de temps vous aurez besoin.

Social engineering

Lors de la falsification d'e-mails, vous avez besoin de beaucoup moins d'efforts pour faire croire √† quelqu'un que vous √™tes l√©gitime. Vous n'entrez pas en contact direct - tout ce que vous avez √† faire est de d√©guiser votre message comme s'il provenait d'un exp√©diteur l√©gitime. Certains analystes s√©parent la falsification de l'ing√©nierie sociale - car elle est trop simple. Mais pour toutes les autres pratiques, vous aurez besoin de beaucoup plus de travail. Jetons un coup d'Ňďil √† plusieurs exemples d'ing√©nierie sociale qui ont eu lieu dans la vie r√©elle.

Exemples d'Attaques de Social Engineering:

1. Hameçonnage (Phishing)

La manière la plus répandue d'utiliser des tactiques de social engineering, les pirates utilisent des e-mails trompeurs, des sites web et des messages texte pour voler des informations personnelles ou organisationnelles sensibles à des victimes non méfiantes.

2. Hameçonnage Ciblé (Spear Phishing)

Cette escroquerie par e-mail est utilisée pour mener des attaques ciblées contre des individus ou des entreprises. L'hameçonnage ciblé est plus complexe que l'e-mail d'hameçonnage de masse habituel, nécessitant des recherches approfondies sur les cibles potentielles et leurs organisations.

Nous avons mentionné la falsification d'e-mails comme l'un des exemples de base de l'ingénierie sociale. Cependant, des cas beaucoup plus sophistiqués ont eu lieu lors de différentes cyberattaques. Lors de l'infection d'une entreprise via un message e-mail falsifié, vous devez effectuer beaucoup de travail pour faire croire au lecteur que le message et l'expéditeur sont légitimes. Par exemple, le malfaiteur peut se présenter comme un distributeur agréé d'une certaine société et vous proposer de signer un contrat avec eux. À la fin, vous recevrez un fichier avec les "termes et détails du contrat" - un document Word ou une feuille Excel contenant la macro. Cette dernière est l'un des éléments les plus exploitables des produits Microsoft. Les pirates ajoutent le script de téléchargement de logiciels malveillants aux macros ; dès que vous ouvrez le fichier et autorisez les macros, votre PC est infecté.

3. App√Ętage (Baiting)

Ce type d'attaque peut être perpétré en ligne ou dans un environnement physique. La victime se voit généralement promettre une récompense en échange d'informations sensibles ou de connaissances sur leur localisation.

4. Logiciels Malveillants (Malware)

Dans la catégorie des attaques par rançongiciels, les victimes reçoivent un message urgent et sont trompées pour installer des logiciels malveillants sur leur appareil(s). Ironiquement, une tactique populaire consiste à dire à la victime que des logiciels malveillants ont déjà été installés sur son ordinateur et que l'expéditeur supprimera le logiciel si elle paie une somme.

Par exemple, Discord est devenu un lieu de conversation pour différentes catégories de personnes. Cependant, la majorité de son public est composée de joueurs et de programmeurs. Les utilisateurs peuvent rejoindre le canal pour poser des questions dans les deux catégories. Comment configurer ceci, passer ce niveau, quel framework est le meilleur - ces thèmes sont courants sur ce réseau social. Et simultanément, les réponses à ces questions peuvent nécessiter des applications spéciales.

C'est pr√©cis√©ment l√† que se situe la principale surface d'attaque. Vous pouvez glisser le logiciel malveillant au lieu du programme entier et infecter de nombreux utilisateurs avec un seul message. Et pour faire croire √† tout le monde que ce fichier est fiable, vous pouvez appliquer l'ing√©nierie sociale. Un groupe de malfaiteurs a fait cela en f√©vrier 2021. Une cha√ģne de discussions a √©t√© attaqu√©e √† partir de comptes pr√©sents depuis plusieurs mois et consid√©r√©s comme fiables et l√©gitimes. Bien s√Ľr, les m√™mes attaques s'√©taient d√©j√† produites avant et apr√®s - mais jamais avec une telle ampleur. Ce cas a donn√© naissance au terme "virus Discord".

5. Prétexte (Pretexting)

Cette attaque consiste à adopter une fausse identité pour tromper les victimes afin qu'elles divulguent des informations. Le prétexte est souvent utilisé contre des organisations possédant de nombreuses données clients, telles que les banques, les fournisseurs de cartes de crédit et les compagnies d'utilité publique.

6. Quid Pro Quo

Cette attaque repose sur l'échange d'informations ou de services pour convaincre la victime d'agir. En général, les cybercriminels qui mènent ces escroqueries ne font pas de recherche avancée sur la cible et proposent de fournir une "assistance", en se faisant passer pour des professionnels du support technique.

7. Filoutage (Tailgating)

Cette attaque vise les individus qui peuvent donner au criminel un acc√®s physique √† un b√Ętiment ou √† une zone s√©curis√©e. Ces escroqueries r√©ussissent souvent en raison de la courtoisie malavis√©e de la victime, comme lorsque cette derni√®re tient la porte ouverte pour un "employ√©" inconnu.

8. Vishing

Dans ce scénario, les cybercriminels laissent des messages vocaux urgents pour convaincre les victimes qu'elles doivent agir rapidement pour se protéger contre une arrestation ou un autre risque. De plus, les banques, les organismes gouvernementaux et les organismes d'application de la loi sont couramment des personnages impersonnés dans les escroqueries de vishing.

9. Piégeage de Site (Water-Holing)

Cette attaque utilise des techniques d'ingénierie sociale avancées pour infecter un site web et ses visiteurs avec des logiciels malveillants. L'infection est généralement propagée via un site spécifique à l'industrie des victimes, comme un site web populaire visité régulièrement.

10. Appels Téléphoniques

Vous avez probablement entendu parler du film The Wolf of Wall Street. Il montre ce que signifie l'ing√©nierie sociale par t√©l√©phone. Une victime re√ßoit un appel o√Ļ il est assur√© d'acheter quelque chose ou de donner de l'argent √† l'appelant. √Ä l'√©poque d√©peinte dans le film (les ann√©es 90), les ventes par t√©l√©phone √©taient tr√®s efficaces. Il est assez facile de convaincre une personne que vous √™tes un expert dans un domaine particulier, surtout lorsque vous utilisez de nombreux termes professionnels et que votre discours est tr√®s coh√©rent. Ensuite, lorsque la personne croit en votre professionnalisme, la pousser √† faire ce que vous voulez est simple.

L'exemple le plus notable de l'ingénierie sociale par téléphone est l'arnaque au support technique. Elle a fait surface à la fin de 2021 et existe sous différentes formes aujourd'hui. Au début, vous voyez la bannière effrayante sur la fenêtre de votre navigateur, qui vous dit que votre PC est infecté et que vous devez contacter le support. Alternativement, ces déclarations peuvent vous informer de l'acte légal de visionner du contenu pornographique ou de visiter des sites web interdits. Quoi qu'il en soit, on vous propose d'appeler le numéro spécifié sur la bannière.

Au téléphone, les fraudeurs vous assureront que tout ce que vous avez vu sur la bannière est vrai. Ils vous décriront en détail comment cela s'est produit et quelles catastrophes se produiront si vous ne suivez pas leurs instructions. Installer le "suppresseur de logiciels malveillants" (logiciel rogue), transférer l'"amende", voire donner aux malfaiteurs des informations complètes sur votre personne - ils peuvent demander n'importe quoi à la victime apeurée.

Le Social Engineering est-il Illégal?

Après les paragraphes ci-dessus, vous pourriez penser que le social engineering est le destin des cybercriminels et des escrocs. Cependant, la véritable essence de cette technique est simplement l'art de la suggestion. Dans certains cas, elle peut être utilisée à des fins bienveillantes - par exemple, pour dissuader les gens de commettre des actions illégales ou de prendre des drogues. Les différentes religions en sont l'exemple parfait de l'utilisation bienveillante de l'ingénierie sociale - les abbés veillent à ce que les fidèles agissent conformément à la volonté de Dieu, par exemple. Il s'agit simplement d'une manière polie de vivre, de sorte que la religion guide pratiquement la paroisse sur le bon chemin.

Cependant, cela peut certainement être considéré comme une arme à double tranchant. Bien qu'elle ait été conçue à l'origine comme bienveillante, elle a trouvé des applications dans de nombreuses situations douteuses, voire malveillantes. Vous ne serez pas puni pour avoir pratiqué l'ingénierie sociale en elle-même, mais vous pourriez probablement faire l'objet de poursuites judiciaires pour fraude si vous l'utilisez pour tromper quelqu'un. Cela n'empêche cependant pas les cybercriminels de l'utiliser ici et là.

Comment vous protéger?

Il n'est pas possible de répondre de manière linéaire à cette question. Chaque individu a son niveau de crédulité. Par conséquent, chacun aura ses propres moyens de refléter la tentative de tromperie. C'est pourquoi nous avons décidé de ne décrire que les conseils les plus élémentaires.

  • N'ignorez jamais les alternatives. M√™me lorsque quelqu'un vous propose une m√©thode tr√®s efficace pour r√©soudre un probl√®me, il est judicieux d'examiner cette m√©thode et de rechercher plusieurs autres solutions. Il est possible que l'examen de la m√©thode propos√©e r√©v√®le la fraude.
  • Ne faites jamais confiance aux applications propos√©es. Sur les plateformes de communication en ligne mentionn√©es ci-dessus, les gens peuvent proposer d'utiliser leurs applications autodidactes. Comme m√™me les applications l√©gitimes peuvent d√©clencher les programmes anti-malveillants, le conseil d'ignorer ou de d√©sactiver l'antivirus ne semble pas √™tre une menace. N√©anmoins, il est toujours important de s'assurer que cette application est s√Ľre.
  • Pensez de mani√®re rationnelle. Personne ne vous donnera des conseils gratuits pour investir dans quelque chose ou acheter le produit miracle sans rien en retour. M√™me si de telles offres √©taient pertinentes il y a dix ans, elles ne sont pas valables de nos jours. Et elles doivent susciter encore plus de suspicion si l'offre promet des b√©n√©fices irr√©alistes. Si cela semble trop beau pour √™tre vrai, c'est probablement le cas.
  • V√©rifiez les informations sur la personne qui vous a propos√© quelque chose. Si vous avez seulement un num√©ro de t√©l√©phone - v√©rifiez-le. Cela pourrait suffire √† comprendre √† quoi vous attendre. Internet a rendu possible la v√©rification de chaque num√©ro, et plus de personnes ont re√ßu des appels de ce num√©ro - plus il y a de chances de voir les informations compl√®tes sur l'appelant et ses intentions.
  • Maintenez votre logiciel antivirus/anti-malveillants √† jour - assurez-vous que les mises √† jour automatiques sont activ√©es, ou prenez l'habitude de t√©l√©charger les derni√®res signatures d√®s le d√©but de chaque journ√©e. V√©rifiez p√©riodiquement si les mises √† jour ont √©t√© appliqu√©es et analysez votre syst√®me √† la recherche d'infections √©ventuelles.

3 Façons dont les Organisations Préviennent les Attaques de Social Engineering

Les mesures suivantes peuvent aider à prévenir les attaques de social engineering contre votre organisation:

1ÔłŹ‚É£ Sensibilisation √† la s√©curit√©


L'éducation à la sensibilisation à la sécurité devrait être une activité continue au sein de toute entreprise. Les membres du personnel peuvent ne pas être conscients des dangers de l'ingénierie sociale, ou s'ils le sont, ils peuvent oublier les détails au fil du temps. Par conséquent, mener et actualiser en permanence la sensibilisation à la sécurité parmi les employés est la première ligne de défense contre l'ingénierie sociale.

Les employés de tous les niveaux d'une entreprise devraient être formés à éviter de divulguer des informations par e-mail ou par téléphone à des leurres. Ils doivent également être informés des mesures de sécurité en place, des protocoles de vérification d'identité et des processus de signalement des tentatives d'ingénierie sociale.

2ÔłŹ‚É£ Mise en Place de Protocoles de V√©rification d'Identit√©


Les entreprises doivent mettre en place des protocoles stricts de v√©rification d'identit√© pour toute demande d'information sensible ou toute action qui pourrait entra√ģner la divulgation de donn√©es confidentielles ou de mots de passe. Par exemple, si un employ√© re√ßoit un appel ou un e-mail demandant des informations confidentielles, il devrait √™tre form√© √† contacter la personne ou le service en question par un moyen de communication s√©par√© pour v√©rifier l'authenticit√© de la demande avant de divulguer des informations.

De plus, les processus d'autorisation pour la modification des comptes, les demandes de réinitialisation de mots de passe et d'autres actions sensibles devraient impliquer plusieurs couches d'approbation et de vérification pour s'assurer que les demandes sont légitimes.

3ÔłŹ‚É£ Surveillance et Analyse du Comportement


Les entreprises peuvent mettre en place des systèmes de surveillance et d'analyse du comportement pour détecter les activités suspectes. Par exemple, si un employé accède soudainement à des informations sensibles auxquelles il n'a pas normalement accès, cela peut déclencher une alerte. De même, si une demande inhabituelle est faite par un employé pour des autorisations ou des actions sensibles, elle devrait être examinée de près.

Les outils d'analyse du comportement peuvent aider à identifier les anomalies et à détecter les tentatives d'ingénierie sociale en examinant les modèles d'activité des utilisateurs et en signalant les écarts par rapport à la norme.

Conclusion

Le social engineering est une technique puissante et polyvalente utilis√©e pour influencer les opinions et les actions des individus. Dans le contexte de la cybers√©curit√©, il est souvent utilis√© pour propager des logiciels malveillants, voler des informations sensibles et mener des attaques cibl√©es. Les exemples d'attaques de social engineering incluent le phishing, l'hame√ßonnage cibl√©, l'app√Ętage, les logiciels malveillants et bien d'autres.

La prévention des attaques de social engineering nécessite une sensibilisation à la sécurité parmi les employés, la mise en place de protocoles de vérification d'identité stricts et la surveillance constante des activités suspectes. Bien que le social engineering puisse être utilisé à des fins positives, il est souvent exploité par les cybercriminels pour des gains malveillants. Par conséquent, il est essentiel de rester vigilant et de suivre les meilleures pratiques de sécurité pour se protéger contre de telles attaques.