Vous pouvez vous protéger contre l'usurpation d'identité en protégeant votre numéro de Sécurité sociale et d'autres documents sensibles, en examinant régulièrement vos rapports de solvabilité, en
Mis à jour le 1ᵉʳ novembre 2023.
L’ingénierie sociale est une technique de manipulation psychologique utilisée par les acteurs de la menace pour inciter les autres à faire des choses ou à révéler des informations privées. L’ingénierie sociale peut se faire en ligne ou en personne. Entre 70 % et 90 % des violations de données impliquent l’ingénierie sociale, ce qui en fait l’une des plus grandes menaces de cyber sécurité auxquelles font face les organisations et les individus.
Poursuivez votre lecture pour découvrir comment les attaques d’ingénierie sociale se produisent, quels sont leurs différents types et comment rester à l’abri.
Comment les attaques d’ingénierie sociale se produisent-elles ?
Pour se préparer à une attaque d’ingénierie sociale, les acteurs de la menace se penchent d’abord sur leur cible pour obtenir des informations de base, telles que les points d’exploitation probables tels que les mauvaises pratiques de cyber sécurité. L’acteur de la menace se fera alors passer pour une personne qu’il n’est pas afin de gagner la confiance de la victime et que celle-ci soit plus susceptible de divulguer des informations personnelles ou de lui permettre d’accéder aux systèmes internes.
Il est important de comprendre que l’ingénierie sociale peut également se faire en personne. Les attaques d’ingénierie sociale en personne sont souvent perpétrées des acteurs de la menace qui se font passer pour des personnes telles qu’un agent de maintenance ou un prestataire de services afin de pouvoir entrer dans un bâtiment auquel ils n’ont pas accès autrement. Une fois qu’un acteur de la menace a eu accès au bâtiment, il tentera de violer les systèmes afin de voler des informations secrètes et de les utiliser à des fins malveillantes.
Types d’attaques d’ingénierie sociale
Voici sept types d’attaques d’ingénierie sociale.
Phishing
Le phishing est le type d’attaque d’ingénierie sociale le plus courant. Dans une attaque de phishing, les cybercriminels incitent leurs victimes à divulguer volontairement des informations sensibles en se faisant passer pour une personne que la victime connaît ou une entreprise avec laquelle elle a un compte ou un service. La plupart du temps, les attaques de phishing sont envoyées par e-mail.
Ces e-mails peuvent comporter des pièces jointes et des liens malveillants et inciter la victime à cliquer dessus. En cliquant sur un lien ou une pièce jointe malveillants, vous pouvez immédiatement infecter l’appareil d’une victime avec un logiciel malveillant ou rediriger la victime vers un site Web usurpé qui semble légitime. Les sites Web usurpés sont destinés à voler des informations sensibles telles que les identifiants de session et les numéros de carte de crédit.
Smishing et vishing
Le smishing, également appelé phishing SMS, est un type d’attaque de phishing qui se produit par le biais de SMS plutôt qu’avec un e-mail. Ces messages comprennent fréquemment des offres de biens gratuits ou des alertes urgentes impliquant des informations bancaires ou d’autres informations sensibles. L’objectif principal d’une attaque de smishing est d’amener les victimes à cliquer sur un lien malveillant pour voler leurs informations sensibles.
Le vishing est un autre type d’attaque de phishing, mais il se produit par le biais d’un appel téléphonique, et non par le biais de SMS ou d’e-mails. Ce type d’attaque de phishing a tendance à être plus probant, car il y a généralement une autre personne qui parle à l’autre bout. L’objectif principal du vishing est d’amener la victime à divulguer des informations sensibles que l’acteur de la menace peut utiliser à des fins malveillantes. Le vishing est devenu plus difficile à repérer car les acteurs de la menace utilisent désormais l’intelligence artificielle (IA) pour imiter la voix des personnes que les victimes connaissent.
Piggybacking et tailgating
Le piggybacking se traduit par la tentative d’un acteur de la menace d’accéder à un réseau, un système ou un bâtiment physique afin de compromettre des informations sensibles. En utilisant le piggybacking, les acteurs de la menace peuvent accéder à un réseau ou un système en utilisant le WiFi qui n’a pas été sécurisé. Pour accéder à un bâtiment physique en utilisant le piggybacking, les acteurs de la menace comptent sur la gentillesse des employés pour leur ouvrir la porte ou les laisser entrouvertes.
Le piggybacking et le tailgating sont assez similaires, sauf que le tailgating se produit lorsque les acteurs de la menace accèdent à un bâtiment physique sans que d’autres personnes le sachent ou le remarque. Les acteurs de la menace peuvent passer devant une porte au moment où elle se ferme. Comme personne ne sait comment ils ont réussi à se rendre dans le bâtiment, ils ont l’air d’être autorisés à y être.
Pretexting
Le pretexting se produit lorsqu’un acteur de la menace tente de persuader une victime de révéler des informations sensibles ou de lui envoyer de l’argent en inventant une histoire probante. L’acteur de la menace se fait généralement passer pour un ami, un membre de la famille, un collègue ou un patron, de sorte que la victime est plus encline à lui fournir des informations sensibles. Les attaques de pretexting peuvent se produire par le biais d’appels téléphoniques, de SMS, d’e-mails ou en personne.
Fraude au PDG
La fraude au PDG se produit lorsqu’un acteur de la menace se fait passer pour le PDG d’une entreprise afin d’amener les employés à leur fournir des informations sensibles ou à envoyer de l’argent, souvent sous la forme de cartes-cadeaux. Pour mener une attaque de fraude au PDG, les acteurs de la menace envoient généralement un message ou un e-mail à leur victime plusieurs fois avant de faire leur demande. Cela les aide à paraître plus crédibles et leur donne le temps de gagner en crédibilité auprès de la victime.
Scareware
Le scareware se produit lorsque les acteurs de la menace utilisent une manipulation psychologique pour inciter les victimes à télécharger ce qu’ils pensent être un logiciel antivirus, mais qui est en fait un logiciel malveillant. Les logiciels malveillants sont un type de logiciel malveillant utilisé par les acteurs de la menace pour voler des informations sensibles en espionnant les utilisateurs ou en suivant leurs frappes de clavier.
Ce type d’attaque d’ingénierie sociale est le plus souvent effectué en affichant des fenêtres contextuelles aléatoires sur l’appareil de la victime qui indiquent que son appareil est infecté par un virus. Le message indiquera également que pour se débarrasser du virus, la victime doit télécharger un logiciel antivirus immédiatement. Si la victime clique sur la fenêtre contextuelle, elle commencera à télécharger automatiquement un virus ou un logiciel malveillant sur son appareil. Une fois le téléchargement terminé, le logiciel malveillant peut envoyer des informations sensibles à l’acteur de la menace afin qu’il puisse les utiliser pour voler l’identité de la victime et compromettre ses comptes en ligne.
Escroqueries romantiques
Les escroqueries romantiques se produisent lorsque les acteurs de la menace se font passer pour l’intérêt amoureux potentiel d’une victime. Les acteurs de la menace utilisent souvent l’identité de quelqu’un d’autre lorsqu’ils mènent une escroquerie romantique, connu généralement sous le nom de catfishing de leur victime. Lorsqu’un acteur de la menace incite une victime à tomber dans le piège d’une escroquerie romantique, il la manipule pour recevoir de l’argent ou pour qu’elle lui fournisse des informations personnelles qu’il peut utiliser pour voler l’identité de la victime ou compromettre ses comptes.
Si une victime envoie de l’argent à l’acteur de la menace, il peut demander plus d’argent ou cesser de communiquer avec la victime une fois qu’il a obtenu ce qu’il voulait.
Comment vous protéger de l’ingénierie sociale
Pour vous protéger de l’ingénierie sociale, vous devez nettoyer votre empreinte numérique, faire attention à votre sécurité, en ligne et en personne, protéger vos comptes avec des mots de passe forts et l’authentification multifacteur (MFA) et éviter le surpartage d’informations personnelles.
Nettoyez votre empreinte numérique
Votre empreinte numérique est composée des traces de données que vous laissez sur Internet. Il existe deux principaux types d’empreintes numériques, passive et active. Votre empreinte passive se compose des données que les sites Web recueillent à votre sujet en arrière-plan, telles que l’historique de navigation, l’historique d’achat et les cookies. Votre empreinte numérique active rassemble les données que vous publiez sciemment sur Internet, telles que les publications sur les médias sociaux et les avis publics.
Il est important de nettoyer votre empreinte numérique, car plus il y a de données à votre sujet en ligne, plus il est facile pour les acteurs de la menace de vous cibler avec des attaques d’ingénierie sociale. Voici quatre façons de nettoyer votre empreinte numérique.
- Supprimez vos informations des sites de recherche de personnes
- Évitez le surpartage sur les médias sociaux
- Rendez vos profils de médias sociaux privés
- Supprimez et désactivez les comptes que vous n’utilisez plus
Faites attention à votre sécurité en ligne et en personne
Étant donné que les attaques d’ingénierie sociale peuvent se produire en personne ou en ligne, il est important de faire attention aux personnes à qui vous donnez des informations personnelles et qui vous laissez entrer dans un bâtiment. Si vous travaillez dans les bureaux de votre entreprise, ne laissez pas n’importe qui entrer et méfiez-vous des resquilleurs car ils pourraient facilement se faufiler dans le bâtiment.
Protégez vos comptes en ligne
Si vous tombez dans le piège d’une attaque d’ingénierie sociale, il est important que vous ayez déjà mis en place des mesures de sécurité pour protéger vos comptes en ligne. Cela inclut l’activation de mots de passe forts et de l’authentification multifacteur sur les comptes où c’est une option.
Plutôt que de compter sur vous pour créer vos mots de passe, utilisez un générateur de mot de passe ou abonnez-vous à un compte de gestionnaire de mot de passe. Les gestionnaires de mot de passe aident les utilisateurs à créer, gérer et stocker en toute sécurité les mots de passe afin qu’ils n’aient pas à tous les retenir par eux-mêmes. En plus des mots de passe forts, il est tout aussi important d’activer la MFA.
La MFA est une mesure de sécurité qui nécessite une ou plusieurs couches d’authentification en plus de votre nom d’utilisateur et de votre mot de passe pour réussir à vous identifier sur un compte. Même si un acteur de la menace était en mesure d’obtenir votre nom d’utilisateur et votre mot de passe grâce à une attaque d’ingénierie sociale, il ne serait pas en mesure de compromettre votre compte sans le facteur d’authentification supplémentaire.
Évitez le surpartage d’informations personnelles
Comme mentionné ci-dessus, pour garder votre empreinte numérique propre, vous devez éviter le surpartage d’informations personnelles en ligne. Mais, il est également important que vous soyez prudent sur les informations que vous partagez avec les gens en personne. Vous ne savez jamais quelles sont les intentions d’une personne, il est donc préférable d’être en sécurité et de garder vos informations personnelles pour vous et de ne les partager qu’avec des personnes sur lesquelles vous pouvez compter.
Comment protéger votre organisation de l’ingénierie sociale
Pour protéger votre organisation des attaques d’ingénierie sociale, envoyez aux employés des e-mails de phishing simulés, formez régulièrement les employés aux meilleures pratiques de cyber sécurité, investissez dans un gestionnaire de mot de passe professionnel et appliquez le principe du moindre privilège (PoLP).
Envoyez des e-mails de phishing simulés
Les e-mails de phishing simulés sont des e-mails envoyés par les organisations à leurs employés pour tester leurs capacités à repérer les attaques de phishing. L’envoi de ces tests de phishing simulés est un excellent moyen de déterminer à quel point les employés sont bons ou mauvais pour ce qui est de les repérer. Si un employé tombe dans l’un de ces tests de phishing en cliquant sur le contenu de l’e-mail, il n’a pas réussi et devra suivre une formation supplémentaire pour apprendre à les repérer.
Il existe de nombreux outils de phishing disponibles pour envoyer ces tests de phishing, y compris ceux gratuits en open source comme Gophish. Il existe également de nombreux produits commerciaux tels que KnowBe4 et Infosec IQ.
Formez vos employés à la cyber sécurité
Les tests de phishing ne devraient pas être la seule chose que vous faites pour protéger votre organisation. Vous devez également former régulièrement vos employés aux meilleures pratiques de cyber sécurité telles que les suivantes.
- Utiliser des mots de passe forts et uniques pour chaque compte
- Activer la MFA sur les comptes chaque fois que c’est une option
- Éviter d’utiliser les réseaux Wi-Fi publics lorsque vous voyagez ou travaillez à distance
- Maintenir les logiciels et le matériel à jour
- Sauvegarder régulièrement les données
Plus les employés seront en mesure de s’informer sur la cyber sécurité, plus ils seront en mesure de la pratiquer pour atténuer les risques de cyberattaques telles que l’ingénierie sociale.
Investir dans un gestionnaire de mot de passe d’entreprise
Un gestionnaire de mot de passe d’entreprise ou professionnel est un outil qui aide les organisations à s’assurer que les employés utilisent toujours des mots de passe forts pour chacun de leurs comptes professionnels. Avec un gestionnaire de mot de passe d’entreprise, les administrateurs informatiques ont une visibilité complète sur les habitudes des employés en matière de mot de passe et sont en mesure de forcer l’utilisation de la MFA pour sécuriser les comptes.
Lorsqu’il s’agit de phishing, qui est le type d’attaque d’ingénierie sociale le plus répandu, le plus grand risque est de voir les mots de passe compromis. Les gestionnaires de mot de passe enregistrent les adresses de sites Web avec des identifiants de session, ce qui signifie qu’ils protègent les utilisateurs en leur évitant d’entrer leurs identifiants sur un site Web usurpé, car les gestionnaires de mot de passe n’utilisent pas le remplissage automatique sur un site Web qu’ils n’identifient pas.
Appliquer le principe du moindre privilège
Le principe du moindre privilège est une notion de cyber sécurité selon laquelle les utilisateurs ne devraient avoir qu’un accès réseau suffisant pour accéder aux informations et aux systèmes dont ils ont besoin pour faire leur travail, et pas plus. Appliquer le principe du moindre privilège réduit la surface d’attaque d’une organisation et dans le cas où un acteur de la menace accède au compte d’un employé, cela l’empêche de se déplacer latéralement sur le réseau de l’organisation.
Rester protégé des attaques d’ingénierie sociale
Les attaques d’ingénierie sociale peuvent cibler n’importe qui, peu importe qui vous êtes. Il est important que les individus et les organisations prennent des mesures pour se protéger des attaques d’ingénierie sociale pour atténuer les risques.
Commencez un essai personnel gratuit de 30 jours ou un essai professionnel de 14 jours de Keeper Password Manager dès aujourd’hui pour commencer à protéger vos comptes en ligne des attaques d’ingénierie sociale.