Les techniques d’ingénierie sociale

Le social engineering, comme nous l’avons vu, désigne des attaques informatiques axées sur les vulnérabilités humaines. Nous allons passer en revue les différentes techniques d’ingénierie sociale actuellement existantes :

Le phishing ou hameçonnage

Cette technique repose sur des messages numériques ou vocaux qui visent à manipuler les destinataires pour les amener à partager des informations sensibles, à télécharger des logiciels malveillants, à transférer de l’argent ou des actifs à des personnes mal intentionnées ou à prendre d’autres mesures préjudiciables. Les escrocs conçoivent ces messages de manière à ce qu’ils aient l’air de provenir d’une organisation ou d’un individu de confiance ou crédible, parfois même d’une personne que le destinataire connaît personnellement. Le phishing revêt de nombreuses formes :

Les techniques d’ingénierie sociale : le phishing

Les e-mails de phishing

Ils sont envoyés à des millions de destinataires à la fois. Ils semblent émaner d’une grande entreprise ou bien d’une organisation connue :
Banque nationale ou internationale, une grande enseigne d’e-commerce, un fournisseur de services de paiement en ligne populaire, etc.. Or, ces messages renferment souvent un lien qui dirige le destinataire vers un faux site Web. L’invitant ainsi à saisir son nom d’utilisateur, son mot de passe, ses coordonnées bancaires etc.

Le spear phishing ou harponnage

Cette technique vise des individus précis, qui ont généralement un accès privilégié aux informations des utilisateurs, au réseau informatique ou aux fonds de l’entreprise. Les escrocs effectuent des recherches sur la cible, souvent sur les réseaux sociaux en vue d’élaborer un message qui semble provenir d’une personne que la cible connaît et donc en qui elle a confiance, ou qui fait référence à des situations qui lui sont familières.

Le whale phishing ou chasse à la baleine

C’est un type de spear phishing qui vise une personne très en vue, telle qu’un PDG ou une personnalité politique. Dans le cas de la compromission de la messagerie d’entreprise, les pirates informatiques utilisent des identifiants compromis pour envoyer des messages électroniques à partir de la véritable messagerie d’une personnalité, ce qui rend l’escroquerie d’autant plus difficile à détecter.

Le voice phishing, vishing ou hameçonnage par téléphone

Ce type de phishing effectué par téléphone. Généralement, les malfaiteurs téléphonent aux victimes et leur passent des enregistrements menaçants prétendant provenir des forces de l’ordre. L’ajout du vishing à une campagne de phishing ciblée peut ainsi en multiplier la réussite par trois.

Le smishing, phishing par SMS ou hameçonnage par SMS

Même principe de précédemment mais consiste cette fois à lancer l’hameçon par SMS.

Le phishing par moteur de recherche

Cette méthode passe par la création par des pirates informatiques de sites Web malveillants. Ils se classent en tête des résultats de recherche pour des termes généraux ou spécifiques.

L’angler phishing ou hameçonnage du pêcheur

C’est une forme de phishing utilisant de faux comptes de réseaux sociaux qui se font passer pour le compte officiel des équipes de service ou d’assistance à la clientèle d’entreprises de confiance.

Baiting, technique de l’appât ou appâtage

C’est une des techniques d’ingénierie sociale et consiste à leurrer les victimes pour qu’elles donnent, sciemment ou non, des informations sensibles ou bien téléchargent du code malveillant, en les tentant avec une offre alléchante ou un objet de valeur.

Tailgating ou talonnage

Une personne non autorisée suit de près une personne autorisée dans une zone contenant des informations sensibles ou des actifs de grande valeur. Le talonnage peut être effectué en personne ou par voie informatique.

Pretexting ou prétexte

Le malfaiteur génère une fausse situation et se fait passer pour la personne la mieux placée pour la résoudre. L’escroc prétend souvent que la victime a été touchée par une faille de sécurité, puis lui propose de régler le problème si elle lui fournit des informations importantes sur son compte ou si elle prend le contrôle de son ordinateur ou de son appareil.

Quid pro quo

C’est l’une des techniques d’ingénierie sociale la plus rependue. En fait, ces attaques consistent à faire miroiter aux victimes un bien ou un service intéressant en échange de leurs informations confidentielles :
Faux prix de concours ou récompenses de fidélité en apparence anodines…

Scareware ou alarmiciels

Ces logiciels utilisent la peur pour inciter les utilisateurs à partager des informations confidentielles, payer pour une menace ou à télécharger des logiciels malveillants. Ils se caractérisent souvent par un faux avis des forces de l’ordre accusant l’utilisateur d’un délit, ou bien par un faux message de l’assistance technique avertissant l’utilisateur de la présence d’un malware sur son appareil…

Watering hole ou point d’eau

Le nom vient de l’expression « somebody poisoned the watering hole » (quelqu’un a contaminé le point d’eau), ici les pirates injectent du code malveillant dans une page Web légitime. Cette technique permet ainsi tout un éventail de violations, depuis le vol d’identifiants jusqu’au téléchargement furtif de ransomwares.

Ces attaques font appel à une ou bien plusieurs des tactiques :

  • Se faire passer pour une administration ou une autorité
  • Se faire passer pour une marque réputée
  • Se faire passer pour une personne de confiance
  • Induire la peur ou un sentiment d’urgence
  • Faire appel à la cupidité, la curiosité ou la serviabilité

Retrouvez notre article sur la présentation de l’ingénierie sociale et également celui sur les défenses à adopter.

Enfin, vous pouvez vous former à la sécurité numérique via le MOOC de l’ANSSI. Ces formations gratuites permettent la sensibilisation à la cybersécurité : https://secnumacademie.gouv.fr/