Qu’est-ce que l’ingénierie sociale et comment fonctionne-t-elle ? 

Qu’il s’agisse d’un petit-enfant dans le besoin, d’un prince nigérian qui a trop d’argent ou d’une banque qui fait régner la peur et la terreur, nous avons probablement tous été confrontés un jour ou l’autre à des escroqueries par ingénierie sociale, même si le terme ne nous est pas forcément familier.À l’ère numérique, il existe d’innombrables moyens de manipuler, de tromper et d’escroquer les gens.Lisez la suite pour savoir ce que l’on entend exactement par ingénierie sociale, quelles sont les astuces utilisées par les cyber-escrocs et comment vous pouvez vous protéger des attaques d’ingénierie sociale, notamment à l’aide d’une solution de cybersécurité comme Avira Free Security. 

Qu’est-ce que l’ingénierie sociale ? 

L’escroquerie est l’un des plus vieux tours de passe-passe. Qui n’a jamais entendu parler d’une personne âgée escroquée par un individu qui l’a appelée et lui a raconté une histoire abracadabrantesque ? Dans de nombreux cas, les escrocs obtiennent même de bons résultats avec l’arnaque aux grands-parents, qui consiste à se faire passer pour un proche parent dans le besoin. 

La numérisation croissante ouvre aux escrocs des possibilités dont leurs homologues ne pouvaient que rêver il y a encore peu de temps. En effet, il n’a jamais été aussi facile de se faire passer pour quelqu’un d’autre et d’atteindre autant de victimes potentielles, grâce aux canaux de communication numériques et aux plateformes de réseaux sociaux. L’escroquerie aux grands-parents apparaît notamment sur des services de messagerie tels que WhatsApp. 

L’expression « ingénierie sociale » a été adoptée pour décrire les escroqueries à l’ère numérique. Elle trouve son origine dans les sciences sociales et politiques, qui utilisent la manipulation psychologique sur des groupes afin d’améliorer leur comportement social. Aujourd’hui, cependant, le terme d’ingénierie sociale est principalement utilisé pour désigner un type de cybermenace et, dans ce contexte, il décrit exclusivement des méthodes de manipulation négatives plutôt que positives. 

L’ingénierie sociale comme stratégie d’attaque 

L’ingénierie sociale implique des stratégies d’attaque qui ciblent les vulnérabilités humaines plutôt que techniques. C’est pourquoi l’ingénierie sociale est également appelée piratage humain ou piratage social. Ce terme désigne un large éventail de méthodes et de tactiques utilisées par les cybercriminels pour induire certains comportements par le biais de la manipulation, de la tromperie et de la déformation des faits, ce qui a presque toujours pour effet de nuire à leurs victimes.  

Dans le cas des attaques par ingénierie sociale, les cyber-escrocs tentent d’inciter les utilisateurs à révéler des informations confidentielles ou des données sensibles, à télécharger un malware tel qu’un ransomware ou un spyware, ou à effectuer des virements. Pour ce faire, ils trompent leurs victimes potentielles sur leur identité et leurs intentions, et font de fausses promesses, annoncent que quelque chose de terrible va se produire, ou demandent de l’aide.Pire encore, leur créativité ne connaît aucune limite lorsqu’il s’agit d’atteindre leurs objectifs. 

Comment et pourquoi l’ingénierie sociale fonctionne-t-elle ? 

Les cyber-escrocs, également connus sous le nom d’ingénieurs sociaux, exploitent à leurs propres fins les émotions, les caractères et les comportements fondamentaux de l’être humain. Ils nous font peur, éveillent notre curiosité ou font appel à notre compassion, nous promettent l’amour ou l’argent, ou nous attirent dans leur piège avec des offres lucratives et de prétendus revenus.  

Pour ce faire, ils utilisent tous les canaux de communication à leur disposition :Ils utilisent le courrier électronique, le téléphone, les textes et les services de messagerie, les plateformes de réseaux sociaux ou les portails de rencontres en ligne pour mener à bien leurs attaques d’ingénierie sociale.Dans les réseaux sociaux et les applications de rencontre, ils peuvent créer des profils à l’apparence trompeuse, également connus sous le nom d’usurpation d’identité, ou même prendre l’identité de personnes réelles.  

Pour leurs attaques d’ingénierie sociale, les escrocs sont capables d’endosser n’importe quel rôle et de se faire passer pour une personne de confiance ou proche (ami, parent, collègue, employeur, etc.) ou pour une institution réputée (banque, agence gouvernementale, entreprise, etc.). Parfois, ils se font passer pour un employé du service clientèle ou un ingénieur système d’un service ou d’une boutique en ligne que nous utilisons.  

Pour ce faire, ils s’appuient sur notre respect de l’autorité, notre respect de l’État, notre confiance fondamentale, notre volonté générale d’aider, ou encore notre cupidité naturelle. Analysons de plus près certaines de ces tactiques :   

• Susciter la curiosité :Les cybercriminels sont susceptibles d’envoyer des liens vers des offres ou des contenus médiatiques apparemment intéressants. 
• Demander ou proposer de l’aide : Les escrocs demandent une aide financière pour faire face à une prétendue situation d’urgence.Ils peuvent aussi proposer leur aide, par exemple pour résoudre un problème technique supposé ou pour améliorer la sécurité d’un compte en ligne. 
• Faire peur :Dans certains cas, ils vous font croire que vous allez perdre de l’argent parce que votre compte a soi-disant été piraté, qu’il va être bloqué ou que la police ou les huissiers de justice vont débarquer. L’urgence est souvent un autre levier. 
• Faire des promesses :Une autre stratégie d’ingénierie sociale très efficace consiste à proposer des gratuités, des prix, des cadeaux en espèces, voire des logements abordables et des offres d’emploi attractives.   

Attaques d’ingénierie sociale ciblées et non ciblées 

Les attaques d’ingénierie sociale non ciblées utilisent un large éventail de tactiques pour cibler un grand nombre de personnes ou de groupes de personnes choisis au hasard. Les e-mails de phishing qui ciblent des données sensibles ou tentent de transmettre des malwares entrent notamment dans cette catégorie.  

Dans des attaques ciblées d’ingénierie sociale, les cybercriminels gagnent progressivement la confiance de leurs victimes. Contrairement à l’envoi massif d’e-mails de phishing, cette approche est beaucoup plus laborieuse et prend plus de temps, mais elle peut aussi être plus lucrative si elle est couronnée de succès.  

Le spear phishing, ou harponnage, est un exemple de ce type d’attaque d’ingénierie sociale qui consiste à obtenir l’accès à des informations confidentielles de l’entreprise. Plus un escroc en sait sur l’entreprise cible et ses employés, plus la supercherie fonctionne et plus ses actions peuvent être ciblées. Pour parvenir à ses fins, il recueille des informations via les réseaux sociaux, les appels téléphoniques et les e-mails, puis contacte une personne cible spécifique qui a accès à des zones sensibles d’une entreprise. Fort de ces connaissances, il se fait souvent passer de manière très convaincante pour un prestataire de services, un partenaire commercial, un client ou un collègue et accède ainsi à des informations très sensibles. Un prétexte est souvent utilisé dans ce cas, que nous aborderons plus en détail ci-dessous. 

Méthodes et stratégies d’ingénierie sociale les plus courantes 

Nous vous présentons ici quelques-unes des méthodes et stratégies d’ingénierie sociale utilisées par les escrocs, dont vous avez probablement entendu parler ou dont vous avez peut-être été vous-même victime. En effet, les personnes très crédules ne sont pas les seules à se laisser piéger par des techniques d’ingénierie sociale sophistiquées. 

Outre les formes techniques d’attaque que nous avons évoquées dans cet article, il existe également des formes non techniques d’ingénierie sociale, comme le « tailgating », ou talonnage, qui consiste à suivre une personne dans un espace autrement interdit. Cette pratique est également fréquente dans le cadre du « media dropping », qui consiste à laisser traîner à la vue de tous des dispositifs de stockage de données infectés par des malwares, tels que des clés USB. Pour collecter des informations, les criminels peuvent également regarder par-dessus votre épaule lorsque vous utilisez votre ordinateur portable, vous regarder saisir votre code PIN à un distributeur automatique de billets (« shoulder surfing ») ou récupérer des documents confidentiels dans une poubelle (« dumpster diving »).  

Toutefois, nous nous concentrerons dans ce qui suit sur l’aspect technique des choses ainsi que sur les stratégies d’ingénierie sociale les plus répandues. 

1. Phishing, ou hameçonnage  

Le phishing consiste à envoyer des e-mails frauduleux en masse, provenant d’un expéditeur apparemment authentique et semblant faussement sérieux. Contrairement aux e-mails de spam, qui sont généralement juste agaçants, les cybercriminels utilisent les e-mails de phishing pour tenter de se procurer des données sensibles telles que des identifiants de connexion et des données de compte, ou pour introduire clandestinement des malwares sur nos ordinateurs par le biais de pièces jointes aux e-mails.  

Pour aller encore plus loin dans la tromperie, ils utilisent parfois aussi l’usurpation d’adresse électronique et manipulent l’en-tête de l’e-mail pour afficher une adresse différente — une adresse à laquelle nous faisons confiance — de celle d’où provient réellement l’e-mail. Vous pouvez facilement déterminer si l’expéditeur est bien celui qu’il prétend être en survolant l’adresse électronique avec le pointeur de votre souris (Windows) ou en cliquant sur la petite flèche située à côté (Mac) pour révéler l’adresse étrange de l’expéditeur.  

Les e-mails de phishing provenant de banques et de services de paiement en ligne tels que PayPal sont particulièrement répandus. Parmi les tactiques utilisées, citons le fait de vous demander de changer votre mot de passe ou de confirmer vos identifiants de connexion. La demande est souvent présentée comme une mesure de sécurité, qui vous incite à faire quelque chose immédiatement pour vous pousser à agir sans réfléchir. Consultez notre blog sur les escroqueries PayPal pour plus de détails. 

Ces e-mails, qui ne cessent de s’améliorer en termes de formulation et de conception, tentent généralement d’inciter les utilisateurs à cliquer sur le lien inclus qui mène à une page de phishing. Si vous faites ce qu’on vous demande et que vous saisissez vos identifiants de connexion sur cette fausse page web, l’escroc peut alors accéder à votre compte en ligne. Il peut désormais passer des commandes en votre nom et/ou modifier le mot de passe et vous priver de vos accès.  

Conseils pour se protéger contre la méthode d’ingénierie sociale n° 1 

Il est fortement recommandé d’utiliser un gestionnaire de mots de passe et une extension de protection du navigateur pour vous protéger contre les attaques de phishing. La bonne nouvelle, c’est que les deux sont inclus dans des solutions telles que Avira Free Security, et que vous bénéficiez en plus d’une protection antivirus gratuite. Si Avira Browser Safety vous aide à bloquer les pages web de phishing et autres contenus web malveillants, Avira Password Manager vous aide à protéger vos comptes en ligne sur vos différents appareils.  

Les applications Android et iOS correspondantes comprennent une ​​​​fonctionnalité permettant de générer des codes d’authentification à deux facteurs (2FA). Il est ainsi beaucoup plus difficile pour les cybercriminels d’accéder à vos comptes en ligne, même s’ils disposent de votre mot de passe et d’autres informations de connexion. Un gestionnaire de mots de passe vous aide également à créer et à stocker des mots de passe très forts pour vos différents comptes en ligne.   

Notre solution avancée tout-en-un Avira Prime pour Windows inclut même une protection de la messagerie électronique pour vous aider à vous défendre contre les liens de phishing et les pièces jointes malveillantes.  

Sous-types et variantes de phishing : 

• Phishing vocal (vishing) :Bien qu’il s’agisse toujours d’une forme d’escroquerie par téléphone, l’augmentation des moyens technologiques permet aujourd’hui aux attaques de vishing d’être effectuées par le biais de messages vocaux, d’appels VoIP (voix sur IP) et même d’être automatisées.  
• Phishing par SMS (smishing) : Le smishing est une forme de phishing par message textuel.Les caractéristiques de ce type d’opération comprennent la demande de vérification d’un compte en ligne ou proposition équivalente.
• Spear phishing, ou harponnage : Les escrocs ciblent spécifiquement les employés d’une entreprise pour obtenir des secrets commerciaux ou des données et informations confidentielles. Si des cadres de haut niveau sont visés, on parle aussi de « whaling », ou chasse à la baleine.  
• Escroquerie au chef d’entreprise ou au patron :Contrairement à ce qui précède, l’escroc se fait passer pour un cadre supérieur et demande des informations ou de l’argent à « ses » employés. Il peut s’agir, par exemple, de demander au comptable d’une entreprise de virer de l’argent à l’étranger sans en parler à qui que ce soit. 
• Angler phishing :Dans ce type d’attaque de phishing, les escrocs créent de faux comptes d’assistance à la clientèle d’entreprises connues sur les plateformes de réseaux sociaux afin d’attirer des clients mécontents. Si une personne se plaint sur cette plateforme, les escrocs contactent le client et se font passer pour un employé de service ou un expert en informatique qui souhaite résoudre le problème. Ils incitent ensuite l’utilisateur à fournir des informations ou à cliquer sur un lien malveillant. 
• Phishing sur les moteurs de recherche :Les cybercriminels utilisent l’optimisation des moteurs de recherche (SEO) pour placer leur page web de phishing en tête des résultats de recherche afin d’attirer autant de visiteurs que possible vers leur page web malveillante. 

2. Prétexter 

C’est un domaine où les escrocs font preuve d’une grande créativité, inventant parfois des histoires très élaborées pour gagner la confiance de leurs victimes et les convaincre de partager des données sensibles ou d’effectuer des virements. Cette stratégie d’ingénierie sociale est souvent utilisée dans les attaques de spear phishing contre les employés d’une entreprise, ainsi que dans les escroqueries aux grands-parents. 

Les escrocs se font généralement passer pour un supérieur hiérarchique, un prestataire de services, un conseiller fiscal ou autre et décrivent une situation crédible qui donne à la victime une bonne raison d’obéir aux escrocs. Cette stratégie fonctionne particulièrement bien si les cybercriminels se sont suffisamment préparés et ont rassemblé de nombreuses informations sur la personne et l’entreprise en question.  

3. Appâtage 

L’appâtage consiste à utiliser une forme d’appât physique ou numérique, comme une application gratuite à télécharger, un produit gratuit, de l’argent ou une autre offre alléchante. L’exemple le plus connu de ce type d’ingénierie sociale est probablement le désormais célèbre prince nigérian. 

La victime se voit promettre une partie de l’énorme fortune du prince, qu’elle ne recevra qu’après avoir effectué le paiement initial. Les raisons pour lesquelles le paiement est exigé pour accéder aux actifs sont aussi nombreuses que les différentes variantes de l’escroquerie à la connexion du Nigeria, qui consiste la plupart du temps en une fraude à l’avance de frais. 

4. Appât de type honeytrap et sextorsion 

Avec ce type d’attaque d’ingénierie sociale, les personnes en mal d’amour sont attirées dans des « pièges à miel », c’est pourquoi on les appelle aussi des escroqueries à l’amour ou à la romance. Pour piéger leurs victimes, les escrocs créent de faux profils sur des portails de rencontres et se font passer pour des personnes jeunes et séduisantes souhaitant se marier, souvent originaires d’Europe de l’Est.  

Quand une personne a mordu à l’hameçon, ils établissent une relation en ligne avec la victime et créent progressivement un climat de confiance. Les escrocs prétendent alors être en détresse financière et avoir besoin d’aide, par exemple pour un traitement médical, ou demandent de l’argent pour voyager afin de pouvoir rencontrer leur victime en personne. Vous l’aurez deviné : Après avoir reçu l’argent, ils rompent tout contact, ou au contraire continuent à demander de l’aide. 

Dans d’autres cas, il peut s’agir de ​​sextorsion, lorsque l’escroc contacte également sa victime via une plateforme de rencontre ou un réseau social et se fait passer pour un individu séduisant. Après la phase de prise de contact, le criminel attire la victime dans une situation sexuellement compromettante, l’enregistre (ou du moins prétend l’avoir fait) et la fait chanter en la menaçant de publier les images. 

5. Attaque par point d’eau  

Cette stratégie d’ingénierie sociale consiste à attirer certaines personnes ou certains groupes de personnes vers un point d’eau de leur choix, c’est-à-dire un site web populaire dans leur entourage que les cybercriminels ont infecté avec des malwares.  

6. Quid pro quo, ou compensation  

Le principe du quid pro quo, qui signifie en latin « une faveur pour une faveur », est un principe économique selon lequel une personne qui donne quelque chose doit recevoir quelque chose en retour. Parmi les exemples de ce type de méthode d’ingénierie sociale, citons les enquêtes menées par des entreprises prétendument réputées qui promettent aux participants un cadeau de grande valeur en échange de leurs données, naturellement sensibles. 

7. Scareware 

Le scareware est également une méthode d’ingénierie sociale. Il peut s’agir d’une fenêtre contextuelle qui semble être une notification du système d’exploitation ou d’une notification du logiciel antivirus de l’utilisateur signalant un problème. Il peut également se présenter sous la forme d’un e-mail qui menace de faire chanter la personne pour lui soutirer de l’argent ou lui transmettre des malwares. Dans les deux cas, l’utilisateur prend peur et se voit « conseiller » d’agir rapidement, malheureusement à son détriment.  

Pourquoi l’ingénierie sociale est-elle si dangereuse ? 

Une attaque d’ingénierie sociale réussie peut causer de graves problèmes et préjudices, non seulement aux entreprises, mais aussi aux particuliers, en les atteignant à plusieurs niveaux. Outre les conséquences émotionnelles, telles que la perte de confiance, la honte et la déception, il peut également en résulter des dommages financiers, soit directement par le biais de paiements aux escrocs, soit indirectement par le biais d’un vol de données ou même d’usurpation d’identité.  

En effet, si vos données personnelles sensibles ou les données d’accès à vos comptes en ligne tombent entre les mains de cybercriminels, ceux-ci peuvent les utiliser à leurs propres fins. Par exemple, ils peuvent faire des achats en ligne en votre nom, contracter des prêts, ouvrir des comptes, souscrire des abonnements ou proposer vos données à la vente sur le Dark Web.  

La bonne nouvelle, c’est que si vous êtes la malheureuse victime d’une usurpation d’identité, vous pouvez bénéficier de l’aide de l’outil Avira Identity Assistant pour reprendre possession de votre identité¹.En outre, Dark Web Monitoring² analyse le Dark Web pour repérer les données personnelles et les informations que vous fournissez, telles que vos adresses électroniques et vos numéros de compte bancaire et de carte de crédit. 

Comment se protéger de l’ingénierie sociale ? 

Votre meilleure protection contre les attaques d’ingénierie sociale consiste à les repérer. En cas de doute : Même si votre instinct vous pousse à faire confiance, soyez méfiant et vérifiez d’abord si tout concorde, en particulier lorsqu’il semble y avoir urgence à faire quelque chose ou qu’un danger est imminent. Cela dit, même si les attaques d’ingénierie sociale ciblent les vulnérabilités humaines, vous pouvez prendre certaines précautions et utiliser des solutions techniques pour vous protéger. 

Conseils pour vous protéger contre les attaques d’ingénierie sociale : 

• Vérifiez les e-mails demandant des informations sensibles ou personnelles, ou qui semblent suspects, ne présentent pas les caractéristiques de phishing.  
• Ne communiquez jamais vos mots de passe, identifiants ou informations de compte par e-mail, SMS ou téléphone.  
• Soyez prudent et vérifiez l’authenticité des pages web ainsi que des liens figurant dans les SMS, les e-mails ou les réseaux sociaux. 
• Méfiez-vous des demandes de contact émanant d’inconnus sur les réseaux sociaux tels que Facebook, Instagram ou TikTok. Soyez également vigilant lorsque vous interagissez avec d’autres personnes, en particulier avec des profils d’étrangers ou d’utilisateurs inconnus. 
• Faites attention aux informations que vous révélez et aux personnes à qui vous les communiquez dans vos réseaux privés et professionnels. 
• Utilisez l’authentification à deux facteurs (2FA) pour renforcer la protection de vos comptes en ligne et utilisez des mots de passe uniques et forts. C’est important, car si des cybercriminels s’emparent des données de connexion de l’un de vos comptes en ligne, vos autres comptes ne seront pas automatiquement menacés. 
• Utilisez une solution de protection tout-en-un comme Avira Free Security avec des fonctionnalités clés telles qu’une protection antivirus, une protection du navigateur et un gestionnaire de mot de passe avec une fonctionnalité d’authentification. 
• Protégez également vos appareils mobiles, notamment avec Avira Antivirus Security pour Android ou Avira Mobile Security pour iOS.

¹Pour l’assistance à la restauration, contactez le service client (du lundi au vendredi, de 9 h à 16 h). Un spécialiste en restauration de l’identité vous rappellera dans les 48 heures. 

²Dark Web Monitoring est uniquement disponible pour les personnes résidant en Allemagne. L’adresse e-mail que vous avez utilisée pour acheter le produit sera alors contrôlée immédiatement après l’activation. Connectez-vous à votre compte pour saisir plus d’informations à surveiller.