Hausse des attaques d’ingénierie sociale
On parle d’attaque d’ingénierie sociale lorsqu’une personne (un escroc) manipule quelqu’un pour obtenir ses informations personnelles. Les diverses techniques s’appuient sur le comportement humain pour se faire passer pour quelqu’un d’autre.
A quoi ressemble une attaque d’ingénierie sociale ?
-
- Pishing, smishing, vishingLes escrocs peuvent vous contacter par e-mail, SMS et appel téléphonique. Par exemple, ils peuvent se faire passer pour votre banque, votre fournisseur d’accès internet, l’état. Pour ne pas tomber dans le piège sachez que les entreprises légitimes vous permettent de les contacter directement par vous-même.
- Piège à curieuxLes escrocs peuvent profiter d’une faiblesse humaine : la curiosité. Une clé USB traîne par terre ? Ne l’insérez pas dans votre ordinateur, il pourrait s’agir d’un moyen pour des pirates de s’introduire dans votre système.
- Quid pro quoLes escrocs peuvent vous proposer quelque chose, comme une assistance technique, un accès à un document protégé, ou une solution à un « problème ». Ils essaient d’obtenir vos identifiants de connexion pour les utiliser ou les vendre.
- Usurpation d’identitéUn pirate collecte un maximum d’informations pour gagner votre confiance. Par exemple, il peut se faire passer pour quelqu’un de votre entreprise et vous demander de modifier des paiements. Cette arnaque vise généralement les départements financiers et marche plutôt bien.
- Pishing, smishing, vishingLes escrocs peuvent vous contacter par e-mail, SMS et appel téléphonique. Par exemple, ils peuvent se faire passer pour votre banque, votre fournisseur d’accès internet, l’état. Pour ne pas tomber dans le piège sachez que les entreprises légitimes vous permettent de les contacter directement par vous-même.
Quelques exemples concrets d’attaques récentes
- Phishing : En 2023, des employés de grandes entreprises ont reçu des e-mails imitant des services comme Microsoft, les incitant à réinitialiser leur mot de passe, aboutissant à un vol massif de données.
- Protection des données : Une campagne d’ingénierie sociale a récemment ciblé des utilisateurs de WhatsApp, leur demandant des codes de vérification pour accéder à leur compte.
- Vérification des sources : En 2022, des fraudeurs se sont fait passer pour des recruteurs sur LinkedIn, amenant des victimes à partager des informations bancaires.
- Sécurité renforcée : Des comptes Twitter à double authentification ont été protégés contre des tentatives de piratage massif suite à une fuite d’e-mails publics.
4 conseils pour éviter les attaques d’ingénierie sociale
- Ne confiez jamais vos mots de passe ou code PIN par e-mail ou téléphone, même si la requête semble légitime.
- Si on vous demande vos informations personnelles par téléphone, rappelez votre interlocuteur avec le numéro indiqué sur le site de son entreprise.
- Ne cliquez pas sur des liens suspects, même si vous connaissez leur expéditeur. Vérifiez d’abord l’adresse du site internet associé à l’adresse mail (le nom de domaine présent après le @)
- Prenez le temps de réfléchir. SI quelque chose semble trop beau pour être vrai, c’est probablement le cas. Même si tout semble fiable.
Votre antivirus vous protège des emails de pishing, y compris des liens de téléchargement suspects.
Mais l’ingénierie sociale s’appuie sur les faiblesses humaines. C’est pour cela qu’il est nécessaire de bien connaître les différentes techniques d’ingénierie sociale pour mieux les éviter.