L’ingénierie sociale est un terme de base utilisé dans le monde de la sécurité des courriels. Les histoires sur John Podesta et ses courriels, l’opération Wire Wire et les superbes vidéos de Defcon portent toutes l’expression « ingénierie sociale » estampillée partout. C’est un terme clé en cybersécurité, et dans une industrie envahie par les mots à la mode, l’ingénierie sociale se démarque par sa signification, son importance et sa portée. Les techniques d’ingénierie sociale continuent de faire des ravages chez les victimes sans méfiance, et c’est une tendance à laquelle il faut s’attaquer.
Qu’est-ce que l’ingénierie sociale?
L’« ingénierie sociale » s’applique à la manipulation intentionnelle et fabriquée de personnes dans le but de commettre une fraude. Cette fraude peut être purement numérique ou une combinaison de mesures en ligne et hors ligne prises pour tromper ou compromettre une personne ou un groupe. Dans le contexte de la cybersécurité, nous nous concentrons sur la fraude qui consiste à manipuler la relation entre la technologie numérique et le comportement humain.
Cela peut se faire de manière ciblée ou par une approche de « pulvérisation et prière ». Les fins varient également, allant de la plantation de chevaux de Troie ou d’exploits de porte dérobée à la fraude de facture en passant par le simple vol d’un mot de passe.
Cette forme de manipulation utilise des tactiques qui diffèrent peu d’un scénario de vente sous pression ou de techniques de marketing agressives, mais qui dans ces cas sont explicitement frauduleuses ou malveillantes. Ces tactiques peuvent inclure la preuve sociale, l’urgence/rareté, la réciprocité, l’autorité, la familiarité, la cohérence et toute combinaison de ces éléments.
Qu’est-ce qui n’est pas l’ingénierie sociale?
C’est une question délicate. En pratique, la grande majorité de la cybersécurité implique probablement une forme d’ingénierie sociale. La plupart des attaques d’aujourd’hui impliquent un « ingénieur social » qui élabore une campagne pour accéder à une cible et à ses données. Une attaque non fondée sur une ingénierie sociale signifierait qu’il n’y a pas de manipulation humaine ou sociale.
Des exemples qui n’impliqueraient pas d’ingénierie sociale pourraient inclure le piratage, le téléchargement de code sur des sites Web non sécurisés (téléchargements non sécurisés), les attaques Bluetooth et bien d’autres. Mais pour bon nombre des plus grandes attaques dont vous entendez parler, elles impliquent presque sans faute la manipulation intentionnelle d’une victime par un criminel par des tactiques d’ingénierie sociale, soit par une erreur de jugement de la victime, soit par une sorte de tromperie qui mélange des éléments non liés à l’ingénierie sociale pour atteindre son objectif.
Décomposer les techniques utilisées dans les attaques d’ingénierie sociale
Les techniques d’ingénierie sociale utilisent de multiples stratégies pour amener l’utilisateur final à tomber dans le piège de ses attaques. Ils se chevauchent souvent pour améliorer les chances de succès. Certaines techniques sont plus précises et ciblées, se concentrant sur la victime. D’autres se concentreront sur l’optimisation de la conversion – dans l’espoir d’obtenir une réponse pour « préqualifier la victime », puis travailleront à partir de là pour extraire des fonds de la victime.
Voici quelques-unes des techniques d’ingénierie sociale les plus couramment utilisées :
Hameçonnage de masse
La plus large et la plus générique des techniques d’ingénierie sociale, l’hameçonnage de masse ou en masse couvre un très large éventail de menaces d’ingénierie sociale à 3 fins.
- Extraction automatisée d’argent : Comprend des attaques telles que les rançongiciels, souvent le criminel n’ayant qu’à concevoir le premier clic pour réussir.
- Cyberfraude assistée : Nécessite l’ingénierie de la première action, suivie d’une campagne de préparation pour permettre la fraude.
- Accès aux données : Il peut s’agir de l’hameçonnage des identifiants (la victime remplissant un formulaire sur un site Web malveillant) à l’installation d’exploits pour l’extraction de données à grande échelle.
Les éléments d’ingénierie sociale d’une attaque d’hameçonnage couvrent toute la gamme de tactiques. De la création d’urgence avec un chantage (souvent simulé), à la preuve sociale en envoyant des courriels via un compte de messagerie piraté, à l’autorité en usurpant une marque reconnue, à la cohérence en enroulant une longue et persistante histoire dans un prince nigérian ou une arnaque amoureuse, etc.
Hameçonnage ciblé
Moyen de plus en plus courant d’attaques d’ingénierie sociale, l’hameçonnage ciblé peut rapporter des rendements très élevés pour les escrocs. En général, l’hameçonnage ciblé consiste à faire des recherches approfondies sur une cible pour trouver des détails à exploiter. La principale différence entre l’hameçonnage en masse et l’hameçonnage ciblé est la personnalisation du contenu de la campagne par courriel. Il y a deux domaines d’hameçonnage ciblé que nous voyons beaucoup ces derniers temps :
Cyberfraude assistée
Ce terme s’applique à une fraude qui commence par une attaque d’hameçonnage visant à obtenir de la confiance, de l’accès ou des données, puis se poursuit jusqu’à une fraude hors ligne. Une forme courante de ce phénomène est la compromission des courriels d’entreprise ou la fraude du PDG, où les dirigeants sont usurpés ou ciblés pour transférer de l’argent en croyant que le
Fraude de facture
Ceux-ci (ciblés ou non) peuvent faire croire à un destinataire qu’il y a une facture en souffrance et qu’un paiement immédiat est requis.
Une tactique couramment utilisée dans ces attaques consiste à accéder à l’adresse courriel d’une victime potentielle. Le criminel peut transférer tous les courriels à son propre compte en attendant qu’une transaction ou une transaction importante soit censée être conclue. À ce moment-là, il enverra un courriel avec des instructions pour modifier les détails de paiement (par exemple) ou même appeler pour limiter la piste. Cela se produit souvent dans les secteurs immobilier ou juridique où les transactions importantes sont courantes.
Appâtage (principalement des chevaux de Troie)
C’est peut-être la plus ancienne forme d’ingénierie sociale (si l’Iliade est notre guide). Il doit son nom à la technique consistant à cacher quelque chose dans un endroit ordinaire afin qu’une victime sans méfiance accueille un virus caché. Un criminel peut cibler les messages vers le destinataire pour maximiser les chances d’obtenir le téléchargement ou le clic sur le lien. Dans ce cadre, nous inclurions Quid Pro Quo – où la cible se voit offrir quelque chose gratuitement, par exemple une carte électronique ou un téléchargement de jeu en échange d’une information confidentielle (souvent un mot de passe ou même une liste de contacts).
Attaques de pièces jointes de courriels malveillants
Comme pour l’appât, la pièce jointe que vous téléchargez et que vous pensez être une présentation ou des photos de vacances peut télécharger des virus, des logiciels malveillants et des chevaux de Troie à toutes sortes de fins malveillantes. Encore une fois, ceux-ci sont souvent conçus pour optimiser la probabilité de conversion et minimiser la résistance que l’utilisateur final pourrait opposer.
Vishing
Le vishing, ou hameçonnage vocal, consiste à utiliser le téléphone pour accéder à des renseignements confidentiels, généralement des cartes de crédit ou des mots de passe. Cette forme d’ingénierie sociale joue sur une confiance que nous avons dans nos téléphones et dans nos voix que nous n’avons pas pour les courriels. Tactiques similaires ou utilisées dans le smishing ou l’hameçonnage par SMS. Un exemple courant de cela serait un appel automatisé visant à vous amener à entrer les détails de votre carte de crédit ou de votre mot de passe, d’une entreprise dans laquelle vous avez peut-être un compte.
Attaques sur les médias sociaux
Bien qu’il s’agisse d’attaques d’hameçonnage, elles méritent une mention spéciale en raison de leur méthodologie unique dans l’ingénierie des éléments de preuve sociale. Pour les personnes vulnérables, recevoir une demande d’amitié non sollicitée d’un membre (généralement) beau du sexe opposé peut mener sur un chemin difficile. C’est particulièrement vrai lorsque l’escroc utilise un personnage bien soigné avec une histoire de couverture forte (lire : sob). Une évolution des arnaques 419ers ou Romance, celles-ci sont plus efficaces que leurs prédécesseurs car elles incluent plus d’éléments d’une attaque d’ingénierie sociale.
Fausses nouvelles/manipulation du marché/sabotage politique
Augmentant avec la propagation des fausses nouvelles, la manipulation illégale des perceptions des gens par divers moyens technologiques a de gros retombées, politiques ou financières. Par exemple, les campagnes de pourriel pour la manipulation du marché boursier (« Pump and dump ») qui pourraient répandre rapidement un mensonge pendant que le criminel occupe une position. Les fausses campagnes de crowdsourcing, les fausses nouvelles, les fausses vidéos et bien plus encore mèneront à toutes sortes d’attaques organisées.
L’ingénierie sociale ne va nulle part
Avec l’impact croissant de tout ce qui est intégré, toujours connecté et connecté, les enjeux sont élevés. En même temps, la cybersécurité progresse rapidement, ce qui oblige les criminels à chercher constamment de nouvelles façons de « gagner leur vie ». La méthode la plus fiable et la plus éprouvée pour réussir la fraude a été l’ingénierie sociale et l’escroquerie des gens. Parmi les menaces d’ingénierie sociale qui impliquent la technologie, beaucoup peuvent être atténuées. La protection antivirus et malveillante, la sécurité des courriels, la protection des pièces jointes, la défense des URL en sont quelques exemples. L’apprentissage automatique, l’IA et même la technologie de la chaîne de blocs rendront plus difficile le coût des erreurs humaines. Cependant, pour l’employé, le PDG ou le directeur de campagne politique inattentif, il y aura toujours de la fraude.
—-
Riez du travail de ce comédien pendant que vous y êtes.
