Vous pouvez vous protéger contre l'usurpation d'identité en protégeant votre numéro de Sécurité sociale et d'autres documents sensibles, en examinant régulièrement vos rapports de solvabilité, en
Le phishing, le pretexting, le scareware, le baiting, le vishing, le smishing et la fraude au PDG sont quelques exemples d’attaques d’ingénierie sociale. Si vous n’êtes pas sûr de ce que l’on peut qualifier d’ingénierie sociale, imaginez toutes les façons dont quelqu’un peut vous manipuler pour vous faire révéler des informations privées. Les acteurs malveillants utilisent ces techniques psychologiques, en personne et en ligne, pour accéder à vos informations personnelles ou organisationnelles. Ces acteurs malveillants peuvent installer un logiciel malveillant sur votre appareil, voler vos informations et même s’emparer de votre identité.
Lisez ci-dessous pour en savoir plus sur les exemples d’attaques d’ingénierie sociale et sur la manière dont vous pouvez éviter d’en être victime.
Phishing
Le phishing consiste pour les cybercriminels à se faire passer pour quelqu’un ou quelque chose que la victime ciblée connaît, comme une entreprise ou un membre de la famille, afin d’obtenir l’accès à des informations privées. Vous vous dites probablement que le phishing ressemble beaucoup à l’ingénierie sociale, et il s’agit en fait d’un type d’attaque d’ingénierie sociale. En règle générale, le phishing s’effectue par le biais d’e-mails, de SMS et d’appels afin de persuader les victimes d’installer un logiciel malveillant ou de transmettre des données sensibles. Cependant, l’ingénierie sociale en tant que technique ne se limite pas aux mêmes supports que le phishing. Si le phishing est un exemple d’ingénierie sociale, toutes les attaques d’ingénierie sociale ne relèvent pas du phishing.
L’objectif des cybercriminels lors d’un phishing est d’amener la victime ciblée à cliquer sur un lien qui peut télécharger un logiciel malveillant sur son appareil, voler ses informations sensibles ou l’emmener vers un site Web usurpé.
Voici quelques-uns des tentatives de phishing les plus courantes auxquelles vous devez faire attention :
- Messages utilisant un langage urgent, en particulier dans le contexte d’une menace de désactivation du compte si vous n’agissez pas rapidement
- Menaces de conséquences pécuniaires
- Offres qui semblent trop belles pour être vraies
- Demandes d’informations personnelles de la part de cybercriminels qui prétendent être une entreprise ou une personne que vous connaissez
- Adresses e-mail ou noms de domaine qui ne correspondent pas à l’identité prétendue de la personne
Vishing et smishing
Maintenant que nous savons ce qu’est le phishing, il est important d’en savoir plus sur d’autres types d’attaques d’ingénierie sociale : le vishing et le smishing. Le vishing et le smishing sont tous deux des types d’attaques de phishing, mais ce qui les différencie, c’est la méthode de contact utilisée par l’acteur malveillant pour cibler sa victime.
Le vishing se fait par téléphone, ce qui permet à la victime de croire plus facilement la voix à l’autre bout du fil. Plus récemment, les cybercriminels ont utilisé l’IA dans les escroqueries par vishing pour se faire passer pour une personne connue de la victime, comme un collègue de travail ou un membre de la famille, en analysant les enregistrements audio et les vidéos pour les rendre plus réalistes. Pour vous protéger des attaques de vishing, il est essentiel de ne pas répondre aux appels provenant de numéros inconnus. Certains téléphones disposent même d’un réglage pour réduire au silence les appelants inconnus, de sorte que vous ne serez même pas tenté de répondre.
Le smishing se produit par le biais de SMS et est également appelé phishing par SMS. Les victimes du smishing recevront un SMS dans un langage urgent leur demandant de cliquer sur un lien et de se connecter à un compte qu’elles utilisent régulièrement. Cependant, ce lien n’est pas légitime et l’acteur malveillant peut utiliser les identifiants saisis par la victime pour accéder à son compte. De la même manière que pour éviter d’être victime de vishing, un moyen facile d’éviter les attaques de smishing consiste à bloquer les numéros de téléphone qui vous envoient des liens suspects.
Pretexting
Un autre type d’attaque d’ingénierie sociale est le pretexting, qui consiste à persuader une victime de révéler des informations privées en inventant une histoire. En utilisant un prétexte, l’acteur malveillant manipule psychologiquement une victime pour qu’elle se sente sympathique ou craintive afin de gagner sa confiance. Lorsqu’un cybercriminel élabore un faux récit que la victime croira, il gagne en crédibilité, ce qui incite la victime à croire qu’il est nécessaire de lui envoyer de l’argent ou de partager des informations sensibles. Le pretexting implique des recherches approfondies de la part du cybercriminel pour savoir où travaille sa victime, ce qui l’intéresse à travers ses comptes de réseaux sociaux, qui elle connaît à travers ses activités en ligne, etc. Ce type d’attaque d’ingénierie sociale est particulièrement préjudiciable car la victime peut, sans le savoir, tomber dans des escroqueries qui peuvent la mettre en danger, elle et ses informations privées.
Scareware
Comme son nom l’indique, le scareware est un autre type d’attaque d’ingénierie sociale qui consiste à faire tomber les victimes dans le piège du téléchargement d’un logiciel malveillant camouflé en logiciel antivirus. En effrayant les individus par des messages urgents affirmant que leur appareil a été infecté, les cybercriminels terrorisent leurs victimes et les manipulent psychologiquement pour qu’elles accomplissent une action permettant au cybercriminel d’accéder à leurs données sensibles.
L’une des attaques de scareware les plus courantes se fait par le biais de fenêtres publicitaires. Par exemple, si vous cliquez sur un nouveau site Web, une publicité peut prétendre à tort que votre ordinateur a été infecté par un virus. Pour arrêter le virus et résoudre ce problème, vous pourriez être tenté de cliquer sur le message pour télécharger un logiciel antivirus qui contient en réalité un logiciel malveillant destructeur. Au lieu de cliquer sur les fenêtres publicitaires ou même d’essayer de cliquer sur un « X » pour fermer la publicité, fermez simplement la fenêtre du navigateur pour éviter d’être victime d’attaques de scareware.
Baiting
Le baiting consiste pour les cybercriminels à inciter les victimes à effectuer une action qui les conduira à se faire voler leurs informations ou à infecter leur appareil par un logiciel malveillant. Le malvertising est un type de baiting où les cybercriminels utilisent les publicités qu’une victime peut voir en ligne pour propager un logiciel malveillant sur leurs appareils. Les attaques d’ingénierie sociale attirent les victimes par le biais de publicités malveillantes, ce qui entraîne la compromission des données. Par exemple, si vous faites des achats en ligne et que vous cliquez sur une publicité, une publicité malveillante peut vous avertir que votre appareil est infecté et l’infecter, que vous cliquiez ou non sur l’avertissement. Bien que de nombreuses personnes pensent que le baiting est la même chose que le phishing, le phishing implique que les cybercriminels se fassent passer pour une personne connue de la victime, alors que le baiting n’exige aucun faux-semblant.
Fraude du PDG
Lorsqu’un cybercriminel se fait passer pour le PDG d’une organisation, on parle de fraude au PDG. Ce type d’attaque d’ingénierie sociale manipule un employé ciblé pour qu’il envoie de l’argent au cybercriminel ou qu’il partage des informations privées en s’appuyant sur la confiance que la victime accorde à une figure d’autorité au sein de son entreprise. La fraude au PDG est considérée comme un exemple d’ingénierie sociale, car le cybercriminel cible des victimes spécifiques pour les manipuler psychologiquement en les convainquant qu’il est le PDG de leur entreprise.
Prévenir les attaques d’ingénierie sociale
Après avoir pris connaissance de ces exemples d’attaques d’ingénierie sociale, vous souhaitez probablement savoir comment éviter d’en être victime. Voici quelques conseils supplémentaires et bonnes pratiques pour éviter que les attaques d’ingénierie sociale ne vous affectent :
- Effacez souvent votre historique de navigation et vos cookies
- Rendez vos profils de médias sociaux privés
- Supprimez les comptes qui ne sont plus utilisés
- Méfiez-vous des e-mails, des SMS et des appels téléphoniques suspects
- Créez des mots de passe forts et activez l’authentification multifacteur (MFA)
En raison de la popularité des réseaux sociaux, il existe d’innombrables dangers liés au partage excessif qui peuvent conduire à des attaques d’ingénierie sociale. Bien que vous puissiez vous sentir plus proche des personnes qui vous suivent en partageant tout ce qui se passe dans votre vie, le partage excessif sur les réseaux sociaux peut mettre en danger votre vie privée. Évitez de publier des détails intimes vous concernant, des personnes avec lesquelles vous passez régulièrement du temps, des informations liées à votre travail ou d’indiquer l’endroit où vous vous trouvez dans vos publications. Les cybercriminels peuvent utiliser tous ces détails sur votre identité contre vous sous la forme d’attaques d’ingénierie sociale.
Se protéger des attaques d’ingénierie sociale
Ces types d’attaques d’ingénierie sociale peuvent toucher toute personne ignorant les tactiques utilisées par les cybercriminels pour accéder à vos informations privées. Prenez les mesures nécessaires pour vous protéger des attaques d’ingénierie sociale et minimiser les risques de vol d’identité, d’accès non autorisé à des comptes importants et plus encore.
Inscrivez-vous pour un essai gratuit de 30 jours de Keeper Password Manager pour éviter que l’ingénierie sociale ne vous nuise.