Ingénierie Sociale
L’élément humain est la clé pour pénétrer un réseau ultra-sécurisé, mais c’est aussi le point faible des systèmes de sécurité. Nous allons examiner ci-dessous les tactiques d’escroqueries et d’arnaques basées sur l’art de la persuasion et de la manipulation.
1- Phishing.
Les six tendances primaires de la nature humaine selon Robert B. Cialdini sont: « L’autorité, la sympathie, la réciprocité, la cohérence, la validation sociale, la rareté »
Nous avons précédemment vu que, lors des cyberattaques de phishing, les cybercriminels cherchent à obtenir des informations sensibles à des fins malveillantes, telles que des noms d’utilisateur, des mots de passe ou des informations bancaires. Leur objectif principal est de prendre vos données numériques en otage pour ensuite les utiliser de différentes manières :
- Contre vous
- Pour vous faire du chantage
- Pour vendre vos données sensibles au plus offrant
Le phishing par URL (lien web) utilise des e-mails pour inciter les utilisateurs à cliquer sur un lien piégé, leur demandant ensuite de saisir des informations sensibles sur un faux site ressemblant à un site de confiance. Cette méthode peut également être réalisée via des SMS, des messages sur les réseaux sociaux ou des applications de messagerie instantanée telles que WhatsApp, Messenger ou Telegram.
Le lien piégé peut prendre la forme d’une image, d’une vidéo ou d’un fichier (Word, Excel, PDF, archive ZIP). Peu importe la méthode, l’objectif est que vous cliquiez et ouvriez ces fichiers ou liens. Les documents piégés peuvent aussi être partagés via des supports amovibles, comme des clés USB ou des disques durs externes.
Que Que ce soit via une pièce jointe ou un site web piégé, les cybercriminels utilisent des ruses similaires. Ils exploitent souvent votre peur avec des messages tels que « URGENT : FACTURE IMPAYÉE », menaçant de couper un service si la facture n’est pas réglée. Ils peuvent également jouer sur votre curiosité ou se faire passer pour un proche en détresse. Parfois, ils promettent des rêves : remboursements d’impôts, primes, gains de loterie, ou transferts de fonds. Dans tous les cas, le seul gagnant est le cybercriminel.
Notez que le Spear Phishing est une variante ciblant une victime spécifique.
J’espère que vous comprenez bien que toutes ces tactiques visent à vous tromper et à vous manipuler pour vous inciter à cliquer sur des liens malveillants ou à exécuter des fichiers et programmes piégés.
2- Spoofing
Usurpation d’identité numérique en ligne.
Le Spoofing repose sur des techniques d’ingénieries sociales, autrement dit des stratégies de manipulation.
Le spoofing consiste à déguiser une communication provenant d’une source inconnue en communication provenant d’une source connue et fiable.
Le cybercriminel peut se faire passer pour une personne de confiance ou une entreprise partenaire connue de sa cible. C’est l’art de la substitution, prétendant être un collègue, un supérieur hiérarchique ou un fournisseur de services (électricité, gaz, Internet, poste, banque, etc.).
L’objectif est de tromper la vigilance de la cible pour :
- Accéder aux informations sensibles personnelles, bancaires ou stratégiques ;
- Donner un ordre d’exécution d’une opération ou d’un virement bancaire ;
- Contourner les procédures de sécurité et les contrôles d’accès ;
- Mener des attaques DDoS.
3- Hijacking Identity
Détournement de votre identité (session) en ligne.
Le Hijacking est une opération durant laquelle un cybercriminel détourne les données d’identité d’un utilisateur pour atteindre des objectifs malveillants, principalement liés à la fraude financière.
Techniquement, l’attaquant prend le contrôle d’une session de communication numérique lors d’une connexion sur un réseau intranet ou Internet. Cela lui permet d’intercepter le trafic de cette communication et de récupérer des informations sensibles, telles que des données personnelles, des mots de passe et des accès à des services comme les boîtes e-mails, les sites bancaires et les équipements distants.
Les informations ainsi collectées peuvent ensuite être utilisées pour lancer des cyberattaques contre d’autres cibles potentielles.