Social Engineering – Awareness Cyber

Ingénierie Sociale

L’élément humain est la clé pour pénétrer un réseau ultra-sécurisé, mais c’est aussi le point faible des systèmes de sécurité. nous allons voir ci-bas les tactiques d’escroqueries et d’arnaques basées sur l’art de la persuasion et de la manipulation.

1- Phishing.

Les six tendances primaires de la nature humaine selon Robert B. Cialdini sont: « L’autorité, la sympathie, la réciprocité, la cohérence, la validation sociale, la rareté »

On a vu précédemment, que lors de cyberattaques de phishing, les cybercriminels tentent d’obtenir des informations sensibles pour une utilisation malveillante, comme des noms d’utilisateurs, des mots de passe ou des informations bancaires. Mais surtout, prendre en otage vos données numériques pour ensuite les utilisées soit :

Contre vous ;
Vous faire du chantage ;
Vendre vos données sensibles au plus offrant.

Le phishing par URL (lien web) utilise les emails pour inciter les utilisateurs à cliquer sur un lien Internet piégé et ensuite les demander à saisir des informations sensibles sur un faux site Web qui ressemble à un site de confiance authentique. Mais cela peut être réalisé aussi au moyen d’un message SMS ou un message envoyé ou partagé à travers les réseaux sociaux ou via les messageries instantanées, comme WhatsApp, Messanger, Telegram.

Le lien piégé ne doit pas forcément être un URL, mais cela peut être une image, une vidéo, ou un fichier (Word, Excel, PFD, archive zip), peu importe la méthode tant que vous cliquez et ouvrez ses fichiers ou liens. Les documents piégés peuvent être occasionnellement partagés via un support amovible comme les clés USB et les disques durs externes.

Que ce soit via une pièce jointe piégé ou un site web piégé, les cybercriminels vont avoir recours mêmes ruses, ils vont jouer sur votre peur avec un message de type « URGENT FACTURE IMPAYEE », …régler cette facture sinon on vous coupe le service. Ils peuvent aussi attirer votre curiosité ou se faire passer pour un proche qui a besoin de vous urgemment. Il y a aussi la carte à vous vendre du rêve, les impôts qui vous remboursent, les primes et les aides, que vous avez gagné un voyage, un prix de loterie, ou encore le transferts de fonds. Sauf que le seul gagnant dans ce cas n’est autre que le cybercriminel évidemment.

Notez que le spear phishing est une variante du phishing ciblant une victime spécifique et connue.

J’espère que vous l’avez compris, toutes les tactiques sont bonnes pour vous ruser et manipuler afin de vous pousser à cliquer sur des liens malveillants ou exécuter des fichiers et programmes piégés.

2- Spoofing

Usurpation d’identité numérique en ligne.

Signifie généralement usurpation d’identité numérique en ligne, il repose sur des techniques d’ingénieries sociales, autrement dit des stratégies de manipulation.

Le spoofing consiste à déguiser une communication provenant d’une source inconnue en communication provenant d’une source connue et fiable.

Le cybercriminel peut se faire passer pour une personne de confiance ou une société partenaire, connue de sa cible. C’est l’art de la substitution en une entité de « confiance » comme prétendre être un collègue ou un supérieur hiérarchique, ou simplement comme un fournisseur de service (électricité, gaz, Internet, poste, banque, etc.)

Le but est de tromper la vigilance de leur cible pour :

Accéder aux informations sensibles personnelles, bancaires ou stratégiques ;
Donner un ordre d’exécution d’une opération ou d’un virement bancaire ;
Contourner les procédures de sécurité et les contrôles d’accès ;
Mener des attaques DDoS.

3- Hijacking Identity

Détournement de votre identité (session) en ligne.

Le Hijacking est une opération durant laquelle un cybercriminel va détourner les données d’identité d’un utilisateur et les utiliser pour atteindre des objectifs malveillants, la majorité sont liés à la fraude financière.

Techniquement, Le cybercriminel va prendre le contrôle d’une session de communication numérique lors d’une connexion ouverte sur un réseau intranet ou internet. Cela permet à l’attaquant d’intercepter le traffic réseau de cette communication et récupérer d’éventuelles informations sensibles tels que les données privées, les mots de passe, les informations d’accès aux services, tels les boîtes emails, sites de banques, réseaux et équipements distants, etc.

Les informations reniflées pourront ensuite servir pour lancer des cyberattaques vers d’autres cibles potentielles.