Qu’est-ce qu’une attaque par ingénierie sociale ?
Dans une attaque par ingénierie sociale, un attaquant utilise l’interaction humaine (compétences sociales) pour obtenir ou compromettre des informations sur une organisation ou ses systèmes informatiques. L’attaquant peut sembler discret et respectable, prétendant être un nouvel employé, un réparateur ou un chercheur, et même offrir des références à l’appui de cette identité. Cependant, en posant des questions, il peut être en mesure de rassembler suffisamment d’informations pour infiltrer le réseau d’une organisation. Si un attaquant n’est pas en mesure de recueillir suffisamment d’informations auprès d’une source, il peut contacter une autre source au sein de la même organisation et s’appuyer sur les informations de la première source pour renforcer sa crédibilité.
Qu’est-ce qu’une attaque par hameçonnage ?
Le phishing est une forme d’ingénierie sociale. Les attaques par hameçonnage utilisent des courriels ou des sites Web malveillants pour solliciter des informations personnelles en se faisant passer pour une organisation digne de confiance. Par exemple, un attaquant peut envoyer un courrier électronique semblant provenir d’une société de cartes de crédit ou d’une institution financière réputée et demandant des informations sur le compte, suggérant souvent qu’il y a un problème. Lorsque les utilisateurs répondent en fournissant les informations demandées, les attaquants peuvent les utiliser pour accéder aux comptes.
Les attaques par hameçonnage peuvent également sembler provenir d’autres types d’organisations, telles que des associations caritatives. Les attaquants profitent souvent d’événements actuels et de certaines périodes de l’année, tels que
- les catastrophes naturelles (par exemple, l’ouragan Katrina, le tsunami en Indonésie)
- les épidémies et les alertes sanitaires (par exemple, H1N1, COVID-19)
- les préoccupations économiques (par exemple, les escroqueries de l’IRS)
- Élections politiques majeures
- Jours fériés
Qu’est-ce qu’une attaque par vishing ?
Le vishing est une méthode d’ingénierie sociale qui exploite la communication vocale. Cette technique peut être combinée à d’autres formes d’ingénierie sociale qui incitent une victime à appeler un certain numéro et à divulguer des informations sensibles. Les attaques de vishing avancées peuvent se dérouler entièrement sur les communications vocales en exploitant les solutions de voix sur IP (VoIP) et les services de diffusion. La VoIP permet facilement d’usurper l’identité de l’appelant, ce qui permet de profiter de la confiance mal placée du public dans la sécurité des services téléphoniques, en particulier des services fixes. Les communications par ligne fixe ne peuvent être interceptées sans un accès physique à la ligne ; toutefois, cette caractéristique n’est pas avantageuse lorsqu’on communique directement avec un acteur malveillant.
Qu’est-ce qu’une attaque par smishing ?
Le smishing est une forme d’ingénierie sociale qui exploite les SMS, ou messages texte. Les messages textuels peuvent contenir des liens vers des pages Web, des adresses électroniques ou des numéros de téléphone qui, lorsqu’on clique dessus, ouvrent automatiquement une fenêtre de navigateur, un message électronique ou composent un numéro. Cette intégration des fonctionnalités du courrier électronique, de la voix, des messages textuels et du navigateur Web augmente la probabilité que les utilisateurs soient victimes d’une activité malveillante orchestrée.
Quels sont les indicateurs courants des tentatives d’hameçonnage ?
- Adresse de l’expéditeur suspecte. L’adresse de l’expéditeur peut imiter une entreprise légitime. Les cybercriminels utilisent souvent une adresse électronique qui ressemble beaucoup à celle d’une entreprise réputée en modifiant ou en omettant quelques caractères.
- Salutations et signature génériques. Une formule de salutation générique, telle que “Cher client” ou “Monsieur/Madame”, et l’absence d’informations de contact dans le bloc-signature sont de bons indicateurs d’un e-mail de phishing. Une organisation de confiance s’adressera normalement à vous par votre nom et fournira ses coordonnées.
- Hyperliens et sites Web frauduleux. Si vous passez votre curseur sur un lien dans le corps de l’e-mail et que ce lien ne correspond pas au texte qui apparaît lorsque vous le survolez, il peut s’agir d’un lien frauduleux. Les sites Web malveillants peuvent sembler identiques à un site légitime, mais l’URL peut utiliser une orthographe différente ou un domaine différent (par exemple, .com ou .net). En outre, les cybercriminels peuvent utiliser un service de raccourcissement d’URL pour cacher la véritable destination du lien.
- Orthographe et mise en page. Une grammaire et une structure de phrase médiocres, des fautes d’orthographe et un formatage incohérent sont d’autres indicateurs d’une éventuelle tentative de phishing. Les institutions de renom disposent d’un personnel spécialisé qui produit, vérifie et relit la correspondance des clients.
- Pièces jointes suspectes. Un courriel non sollicité demandant à l’utilisateur de télécharger et d’ouvrir une pièce jointe est un mécanisme de livraison courant pour les logiciels malveillants. Un cybercriminel peut utiliser un faux sentiment d’urgence ou d’importance pour persuader un utilisateur de télécharger ou d’ouvrir une pièce jointe sans l’examiner au préalable.
Comment éviter d’être une victime ?
- Méfiez-vous des appels téléphoniques, des visites ou des messages électroniques non sollicités de la part de personnes qui demandent des informations sur les employés ou d’autres informations internes. Si un individu inconnu prétend appartenir à une organisation légitime, essayez de vérifier son identité directement auprès de l’entreprise.
- Ne fournissez pas d’informations personnelles ou d’informations sur votre organisation, y compris sa structure ou ses réseaux, à moins que vous ne soyez certain de l’autorité d’une personne à détenir ces informations.
- Ne révélez pas d’informations personnelles ou financières dans les courriers électroniques et ne répondez pas aux sollicitations par courrier électronique concernant ces informations. Cela inclut le fait de suivre des liens envoyés par courrier électronique.
- N’envoyez pas d’informations sensibles sur Internet avant d’avoir vérifié la sécurité d’un site Web. (Voir Protection de votre vie privée pour plus d’informations).
- Faites attention à l’adresse URL (Uniform Resource Locator) d’un site web. Recherchez les URL qui commencent par “https” – une indication que les sites sont sécurisés – plutôt que “http”.
- Recherchez l’icône d’un cadenas fermé, signe que vos informations seront cryptées.
- Si vous n’êtes pas sûr qu’une demande par courriel soit légitime, essayez de la vérifier en contactant directement l’entreprise. N’utilisez pas les informations de contact fournies sur un site Web lié à la demande ; vérifiez plutôt les déclarations précédentes pour trouver les informations de contact. Des informations sur les attaques de phishing connues sont également disponibles en ligne auprès de groupes tels que l’Anti-Phishing Working Group. (Voir les documents de recherche sur la cybercriminalité de l’APWG).
- Installez et maintenez un logiciel antivirus, des pare-feu et des filtres de messagerie pour réduire une partie de ce trafic. (Voir Comprendre les pare-feu pour les particuliers et les petits bureaux, Protéger contre les codes malveillants et Réduire le spam pour plus d’informations).
- Tirez parti de toutes les fonctions anti-hameçonnage proposées par votre client de messagerie et votre navigateur Web.
- Mettez en place une authentification multifactorielle (MFA). (Voir Compléter les mots de passe pour plus d’informations).
Que faire si vous pensez être une victime ?
- Si vous pensez avoir révélé des informations sensibles sur votre organisation, signalez-le aux personnes compétentes au sein de l’organisation, notamment aux administrateurs réseau. Ils peuvent être attentifs à toute activité suspecte ou inhabituelle.
- Si vous pensez que vos comptes financiers ont pu être compromis, contactez immédiatement votre institution financière et fermez tous les comptes qui ont pu être compromis. Surveillez tout débit inexplicable sur votre compte.
- Changez immédiatement tout mot de passe que vous auriez pu révéler. Si vous avez utilisé le même mot de passe pour plusieurs ressources, veillez à le changer pour chaque compte et n’utilisez plus ce mot de passe à l’avenir.
- Soyez attentif aux autres signes d’usurpation d’identité. (Voir Prévention et réponse au vol d’identité pour plus d’informations).
- Envisagez de signaler l’attaque à la police et déposez un rapport auprès de la Federal Trade Commission.