Les attaques par ingénierie sociale sont une forme de manipulation qui exploite la psychologie humaine pour inciter les individus à divulguer des informations sensibles ou à commettre des actes préjudiciables à leur propre personne ou à leur entreprise. Ces attaques peuvent prendre diverses formes, comme les courriels d'hameçonnage ou les arnaques téléphoniques, et elles parviennent facilement à contourner les systèmes de défense les plus sophistiqués. Cet article présente les différentes formes d'attaques par ingénierie sociale, explique comment les reconnaître et propose des contre-mesures pour éviter d'en être victime.
Hameçonnage
L'hameçonnage est l'une des formes d'ingénierie sociale les plus répandues. Lorsqu'un pirate envoie un message ou un courriel semblant provenir d'une source fiable, comme une banque ou une entreprise renommée, afin d'inciter le destinataire à divulguer des informations personnelles ou à cliquer sur un lien dangereux, il s'agit d'une tentative d'hameçonnage. Ces courriels utilisent souvent un langage précipité ou créent un sentiment d'urgence pour pousser le destinataire à agir immédiatement, sans réfléchir. Pour éviter les arnaques par hameçonnage, il est important de se méfier des courriels non sollicités, de vérifier l'URL des liens avant de cliquer et de ne jamais divulguer d'informations personnelles en réponse à un courriel non sollicité.
Vishing
Le vishing est une autre forme courante d'ingénierie sociale. Un attaquant utilise un système de réponse vocale interactive (RVI) pour tenter d'obtenir des informations sensibles. Cela peut se faire par SMS ou même par appel téléphonique, d'une personne se faisant passer pour un représentant d'une banque ou d'un autre établissement. Des tactiques d'intimidation, comme prétendre qu'une activité suspecte a été détectée sur votre compte, sont souvent employées pour inciter la victime à divulguer des informations personnelles ou ses identifiants de connexion. Par exemple, l'attaquant peut affirmer qu'une activité étrange a été constatée sur votre compte. Il est crucial de ne jamais divulguer d'informations personnelles par téléphone, de se méfier des appels non sollicités et de toujours vérifier l'identité de votre interlocuteur afin de vous protéger contre le vishing.
Prétexte
Une autre forme d'ingénierie sociale, de plus en plus répandue, est le recours au prétexte. Lorsqu'un attaquant crée une fausse identité ou un faux contexte afin d'amener ses victimes à divulguer leurs informations personnelles, cette tactique est appelée « ingénierie sociale ». Pour obtenir des informations confidentielles, un adversaire peut, par exemple, se faire passer pour un employé d'une institution financière ou d'un organisme gouvernemental. Il est important de se méfier des demandes non sollicitées d'informations personnelles, de vérifier l'identité de la personne qui les formule et de ne jamais fournir d'informations personnelles sans être absolument certain de son identité, afin de se protéger contre les attaques par prétexte. Se méfier des demandes non sollicitées d'informations personnelles permet de prévenir ces attaques.
Appâtage
L'une des techniques d'ingénierie sociale appelée « appâtage » consiste à utiliser la promesse d'un avantage quelconque pour inciter les individus à divulguer des informations personnelles ou à accomplir des actions potentiellement préjudiciables pour eux-mêmes ou leur organisation. L'appâtage n'est qu'un exemple parmi d'autres. Un attaquant pourrait, par exemple, proposer une carte-cadeau gratuite ou la possibilité de gagner une récompense en échange des informations personnelles du destinataire. Pour se protéger contre les attaques par appâtage, il est essentiel de se méfier des offres non sollicitées et de ne jamais divulguer d'informations personnelles en échange d'une promesse d'avantage quelconque.
Scareware
Les logiciels d'intimidation (ou scarewares) constituent une autre forme d'attaque par ingénierie sociale. Ils consistent à utiliser la peur pour inciter une personne à télécharger un logiciel malveillant ou à payer pour un logiciel inutile. Par exemple, un attaquant pourrait faire apparaître soudainement un message sur un ordinateur, indiquant que l'appareil est infecté par un virus et qu'il est nécessaire d'exécuter une application spécifique pour éliminer l'infection. Pour se protéger des scarewares, il est essentiel de ne jamais télécharger de logiciel depuis une fenêtre contextuelle non sollicitée, de maintenir son antivirus à jour et de ne jamais payer pour un logiciel superflu.
Les attaques par ingénierie sociale sont de plus en plus complexes et difficiles à contrer. Cependant, vous et votre entreprise pouvez prendre des mesures pour vous protéger. Vous pouvez réduire considérablement le risque d'usurpation d'identité en restant vigilant face aux courriels, appels téléphoniques et demandes d'informations personnelles non sollicités ; en vérifiant l'identité de l'expéditeur ; et en refusant de communiquer des informations personnelles en échange d'une promesse de récompense.