Qu’est-ce qu’un texte chiffré ?
On appelle texte chiffré des données chiffrées et illisible. La seule façon de lire des données chiffrées est de les déchiffrer à l'aide d'une clé de chiffrement. Comme le texte chiffré ne peut être lu sans...
Le pretexting peut se produire n’importe où et à n’importe quel moment, il est donc important de comprendre en quoi il consiste et comment vous pouvez protéger vos employés. Vous pouvez protéger votre organisation contre le pretexting en évitant de cliquer sur des liens non sollicités, de partager des informations personnelles en ligne et en éduquant vos employés aux techniques de pretexting.
Lisez la suite pour en savoir plus sur le pretexting et les techniques utilisées par les cybercriminels pour amener les victimes à révéler des informations sensibles.
Le pretexting est une forme d’attaque d’ingénierie sociale dans laquelle un cybercriminel invente une histoire pour convaincre la victime de révéler des informations sensibles qui lui permettront d’accéder à des systèmes sans autorisation.
Le pretexting peut prendre plusieurs formes : en personne, par appel téléphonique ou par SMS. Le cybercriminel tentera d’établir une relation entre la victime et lui pour se montrer plus convaincant. Ils utilisent souvent les informations qu’ils trouvent en ligne sur la victime pour la convaincre qu’ils sont bel et bien ceux qu’ils prétendent être. Ils utilisent également les antécédents professionnels de la victime, son emploi actuel et d’autres éléments pour la convaincre qu’elle peut leur faire confiance.
Les cybercriminels utilisent de nombreuses techniques de pretexting pour amener les victimes à révéler des informations sensibles et obtenir un accès non autorisé à des systèmes. Voici quelques-unes des nombreuses techniques de pretexting utilisées par les cybercriminels.
Le piggybacking est une technique de pretexting où le cybercriminel tente d’accéder à un réseau, à un système ou à un bâtiment physique. Les cybercriminels peuvent accéder à un réseau ou à un système lorsque le réseau WiFi utilisé n’est pas sécurisé. En personne, les cybercriminels peuvent profiter de la gentillesse d’un employé pour accéder à un bâtiment en toute tranquillité.
Ce type d’attaque peut s’avérer particulièrement dangereux si un cybercriminel parvient à pénétrer dans un bâtiment où de nombreux employés laissent souvent leurs appareils connectés. Le cybercriminel peut facilement accéder à des informations sensibles et les dérober en quelques clics.
Un cybercriminel qui utilise la technique du piggybacking a pour objectif d’obtenir l’accès à un réseau ou à un bâtiment physique afin de pouvoir y mener des activités malveillantes.
Le tailgating est similaire au piggybacking, mais il y existe une différence majeure entre les deux. Le tailgating, tout comme le piggybacking, implique que les cybercriminels tentent d’accéder à un bâtiment physique auquel ils n’ont normalement pas accès. Toutefois, ce qui rend le tailgating différent, c’est que les cybercriminels accèdent à un bâtiment sans que personne le sache. Les cybercriminels peuvent se glisser par une porte ouverte juste au moment de la fermeture, ce qui laisse croire qu’ils ont obtenu un accès autorisé au bâtiment. L’utilisation de la technique du tailgating ne permet pas aux employés de savoir qui vient d’entrer dans le bâtiment, ce qui expose toutes les données de l’entreprise à un risque de violation.
Le phishing est l’une des techniques de pretexting les plus utilisées. Au troisième trimestre 2022, le groupe de travail anti-phishing (APWG) a indiqué que 1 270 883 attaques de phishing avaient été recensées, ce qui constitue un nouveau record.
Une attaque de phishing a pour but de persuader la cible de divulguer des informations sensibles telles que des identifiants, des numéros de carte de crédit, etc. Les tentatives de phishing sont généralement déguisées sous la forme d’un e-mail urgent qui prétend provenir d’une source fiable. L’objectif d’une attaque de phishing est d’inciter la personne ciblée à prendre des mesures immédiates en ouvrant une pièce jointe ou un lien sans se poser de questions. En cliquant sur des liens et des pièces jointes non sollicités, vous pouvez déclencher des infections par des logiciels malveillants, mettant ainsi toutes vos informations en danger.
Le vishing est semblable à une attaque de phishing, à la différence qu’il est plus sophistiqué et plus efficace. Le vishing désigne le fait pour une personne de vous appeler et de prétendre être une personne qu’elle n’est pas. L’objectif est le même qu’une attaque de phishing : amener la personne ciblée à divulguer des informations sensibles qu’elle peut ensuite utiliser à des fins malveillantes.
Protégez-vous, vous et votre organisation, contre les tentatives de pretexting en suivant les conseils ci-dessous.
Si vous recevez un e-mail ou un SMS auquel vous ne vous attendez pas, évitez de cliquer sur des liens ou des pièces jointes. Comme nous l’avons dit plus haut, cliquer sur ces liens ou pièces jointes peut entraîner une infection par un logiciel malveillant, ce qui donne au cybercriminel un accès à toutes vos informations.
De nos jours, nous disposons d’un grand nombre de plateformes de médias sociaux et il peut être tentant d’y partager toute sa vie et toutes ses expériences – mais attention, il faut le faire avec prudence. Ne communiquez aucune information personnelle que les cybercriminels pourraient utiliser contre vous, en personne ou en ligne.
Tout comme il est important de faire attention aux informations que nous partageons en ligne, il est également important de faire attention aux personnes qui nous demandent de révéler des informations personnelles. Lorsque quelqu’un vous demande des informations personnelles ou sensibles, interrogez-vous sur la raison pour laquelle il a besoin de les connaître.
Rien ne vous oblige à révéler des informations sensibles ou personnelles à des personnes que vous ne connaissez pas, ne vous sentez donc jamais contraint de le faire.
Les techniques de pretexing telles que le piggybacking et le tailgating peuvent se produire en temps réel. Veillez à ce que vos employés regardent toujours derrière eux lorsqu’ils entrent dans vos bâtiments, afin d’éviter que des personnes non autorisées ne s’y introduisent. Vous pouvez même envisager d’affecter du personnel au hall d’entrée de vos bâtiments afin d’empêcher le passage de personnes non autorisées.
Outre les techniques de pretexting qui se déroulent en personne, il est également important que les employés soient conscients de toutes les autres techniques de pretexting telles que le phishing et le vishing. L’un des moyens d’y parvenir est de mettre en place une formation sur le phishing au sein de votre organisation. Une formation sur le phishing peut aider les employés à identifier les e-mails de phishing et leur indiquer les éléments à surveiller. L’un des programmes de sensibilisation à la sécurité s’intitule KnowBe4. KnowBe4 est un programme de formation que vous pouvez mettre en œuvre au sein de votre organisation. Il comprend différents modules d’apprentissage pour les employés et envoie également des e-mails de phishing simulés afin que les employés puissent les identifier en toute confiance.
En matière de pretexting, l’une des solutions de cyber sécurité les plus importantes que vous puissiez mettre en œuvre pour sécuriser les données de votre entreprise est l’utilisation d’un gestionnaire de mot de passe professionnel. Un gestionnaire de mot de passe professionnel est un outil qui vous permet de faire respecter les exigences en matière de mots de passe par les employés tout en les stockant en toute sécurité. Un gestionnaire de mot de passe vous permet de partager des informations et des identifiants sensibles en toute sécurité sans les exposer à un risque de compromission.
S’il arrivait que votre organisation soit victime de pretexting, un gestionnaire de mot de passe vous permettrait de sécuriser facilement vos comptes en vous aidant à générer de nouveaux mots de passe forts et uniques pour chacun d’entre eux, afin d’éviter tout dommage supplémentaire.
Il est facile d’être victime du pretexting étant donné qu’il s’agit de techniques d’ingénierie sociale, mais en informant les employés des dangers et des signes révélateurs des techniques de pretexting, on peut éviter qu’ils n’en soient victimes.
Assurez-vous que vos employés connaissent les risques liés à la communication d’informations personnelles en ligne, car cela peut faire toute la différence et garantir la sécurité de l’ensemble de votre organisation. Investissez dans une solution de cyber sécurité comme Keeper afin que vos données sensibles soient toujours sécurisées. Souscrivez Keeper pour votre entreprise dès aujourd’hui.