Le blog de Skysnag

Non classé

Qu'est-ce que l'ingénierie sociale ?

11 octobre 2023  |  6 min lire

L'ingénierie sociale est une attaque de sécurité qui s'appuie sur l'interaction humaine pour inciter les utilisateurs à enfreindre les procédures de sécurité standard. Les attaquants utilisent des techniques d'ingénierie sociale pour manipuler les gens afin qu'ils divulguent des informations confidentielles, telles que des mots de passe ou des numéros de compte bancaire.

Histoire de l'ingénierie sociale

L'ingénierie sociale existe depuis des siècles, mais le terme n'a été inventé que dans les années 1980. L'une des premières attaques documentées en matière d'ingénierie sociale a été l'affaire du 1851 Grand canular sur l'orDans cette affaire, deux hommes ont convaincu des habitants de San Francisco qu'ils avaient trouvé de l'or dans les montagnes de la Sierra Nevada. Les hommes ont vendu des actions de leur "société minière" et s'est enfui avec l'argent.

Types d'ingénierie sociale

Il existe de nombreux types d'attaques d'ingénierie sociale, mais nous allons nous pencher sur les 10 attaques les plus utilisées :

1. L'hameçonnage

Le phishing est un type d'attaque d'ingénierie sociale qui utilise le courrier électronique ou les messages textuels pour inciter les utilisateurs à cliquer sur un lien ou une pièce jointe malveillante. Les attaquants se font souvent passer pour une entité de confiance, telle qu'une banque ou une organisation gouvernementale, afin de gagner la confiance de la victime. Une fois que la victime a cliqué sur le lien ou la pièce jointe, elle est redirigée vers un site web malveillant ou son ordinateur est infecté par un logiciel malveillant. 

2. Prétextat

Le pretexting est un type d'attaque d'ingénierie sociale où l'attaquant crée un faux scénario pour obtenir des informations personnelles de la victime. Par exemple, un attaquant peut se faire passer pour un représentant du service clientèle et appeler une victime pour "vérifier" les informations relatives à leur compte. L'attaquant utilisera ensuite les informations personnelles de la victime pour accéder à ses comptes ou commettre d'autres délits. 

3. Appât

L'appât est un type d'attaque d'ingénierie sociale dans laquelle l'attaquant laisse un dispositif physique, tel qu'une clé USB, dans un lieu public. Ce dispositif contient généralement un logiciel malveillant ou un lien malveillant. Lorsque la victime trouve le dispositif et le branche sur son ordinateur, son système est infecté par un logiciel malveillant. 

4. Quid Pro Quo

Le quid pro quo est un type d'attaque d'ingénierie sociale dans lequel l'attaquant offre à la victime quelque chose en échange d'informations personnelles ou d'un accès à un système. Par exemple, un attaquant peut se faire passer pour un représentant de l'assistance informatique et proposer de "fixer" l'ordinateur de la victime en échange d'un accès à distance au système. Une fois que le pirate a accès au système, il peut installer des logiciels malveillants ou voler des informations sensibles. 

5. Plongée dans les bennes à ordures

La fouille de poubelles est un type d'attaque d'ingénierie sociale où l'attaquant fouille dans les poubelles ou les bennes à ordures pour trouver des informations sensibles qui ont été jetées. Ces informations peuvent être utilisées pour accéder à des systèmes ou commettre d'autres délits. 

6. Surf sur l'épaule

Le Shoulder Surfing est une attaque de sécurité dans laquelle l'attaquant observe une victime en train d'entrer son mot de passe ou son code PIN dans un ordinateur ou un distributeur automatique de billets. Le pirate peut alors utiliser ces informations pour accéder aux comptes de la victime ou commettre d'autres délits. 

7. La queue de cheval

Le tailgating est un type d'attaque d'ingénierie sociale où l'attaquant suit une victime dans une zone sécurisée, telle qu'un immeuble de bureaux ou un parking. L'attaquant peut alors accéder aux comptes de la victime ou commettre d'autres délits. 

8. Hameçonnage

L'hameçonnage est un type d'attaque d'ingénierie sociale qui utilise des appels vocaux ou des messages textuels pour inciter les victimes à divulguer des informations sensibles. L'attaquant se fait souvent passer pour une entité de confiance, telle qu'une banque ou une organisation gouvernementale, afin de gagner la confiance de la victime. Une fois que la victime a fourni à l'attaquant les informations demandées, ce dernier peut les utiliser pour accéder aux comptes de la victime ou commettre d'autres délits. 

9. Point d'eau

Le watering hole est un type d'attaque d'ingénierie sociale où l'attaquant compromet un site web que la victime fréquente. L'attaquant peut alors infecter l'ordinateur de la victime avec des logiciels malveillants ou voler des informations sensibles lors de la visite du site web. 

10. Chasse à la baleine

La chasse aux baleines est une attaque de sécurité qui vise les personnes en vue, telles que les PDG ou les célébrités. Pour gagner la confiance de la victime, l'attaquant se fait souvent passer pour une entité de confiance, comme une banque ou une organisation gouvernementale. Une fois que la victime a fourni à l'attaquant les informations demandées, ce dernier peut les utiliser pour accéder aux comptes de la victime ou commettre d'autres délits. 

Tactiques d'ingénierie sociale

Les ingénieurs sociaux utilisent de nombreuses tactiques pour tromper leurs victimes, mais les plus courantes sont les suivantes :

  • L'usurpation d'identité: Ces cybercriminels se font souvent passer pour une personne de confiance, comme un représentant du service clientèle, afin de gagner la confiance de la victime.
  • L'autorité: Ils utilisent souvent leur position d'autorité pour convaincre les victimes d'accéder à leurs demandes.
  • Intimidation: Les ingénieurs sociaux utilisent parfois des tactiques d'intimidation, comme la menace de fermer le compte d'une victime, pour l'amener à se plier à leurs exigences.
  • La flatterie: Les cybercriminels essaient souvent de flatter leurs victimes pour gagner leur confiance.
  • Rareté: Ils créent souvent un sentiment d'urgence en affirmant que l'offre de produits ou de services est limitée.

Exemples d'attaques d'ingénierie sociale

  • La violation d'Equifax en 2017

En 2017, l'agence d'évaluation du crédit Equifax a été victime d'une violation de données qui a exposé les informations personnelles de plus de 140 millions de personnes. Les attaquants ont utilisé un type d'attaque d'ingénierie sociale connu sous le nom de phishing pour accéder aux systèmes d'Equifax. Une fois que les attaquants ont eu accès aux systèmes, ils ont pu voler des informations sensibles, telles que les numéros de sécurité sociale et les numéros de cartes de crédit.

  • L'élection présidentielle américaine de 2016

En 2016, le gouvernement russe a utilisé des attaques d'ingénierie sociale pour interférer avec l'élection présidentielle américaine. Les attaquants ont utilisé un type d'attaque par hameçonnage pour accéder aux comptes de messagerie du président de la campagne d'Hillary Clinton, John Podesta. Ils ont ensuite rendu public le contenu des courriels afin de nuire à la campagne présidentielle d'Hillary Clinton.

  • L'attaque du ransomware WannaCry en 2017

En 2017, l'attaque du ransomware WannaCry a touché plus de 200 000 ordinateurs dans 150 pays. Les attaquants ont utilisé une attaque d'ingénierie sociale connue sous le nom de phishing pour inciter les victimes à cliquer sur un lien malveillant. Une fois les ordinateurs des victimes infectés par le ransomware, les attaquants ont exigé une rançon pour décrypter les fichiers.

  • La violation de données de Facebook en 2018

En 2018, le géant des médias sociaux Facebook a subi une violation de données qui a exposé les informations personnelles de plus de 87 millions de personnes. Les attaquants ont utilisé une attaque d'ingénierie sociale connue sous le nom d'hameçonnage pour accéder aux systèmes de Facebook. Une fois que les attaquants ont eu accès aux systèmes, ils ont pu voler des informations sensibles, telles que des noms, des adresses électroniques et des numéros de téléphone.

  • Le hack Instagram 2018

En 2018, l'application de partage de photos Instagram a été piratée et les informations personnelles de plus de 6 millions d'utilisateurs ont été exposées. Les attaquants ont utilisé une attaque d'ingénierie sociale connue sous le nom de phishing pour accéder aux systèmes d'Instagram. Une fois que les attaquants ont eu accès aux systèmes, ils ont pu voler des informations sensibles, telles que des noms, des adresses électroniques et des numéros de téléphone.

Quelles sont les 6 étapes d'une attaque d'ingénierie sociale réussie ?

  1. Recherche : L'attaquant effectue des recherches sur l'organisation cible et ses employés afin de collecter autant d'informations que possible.
  2. La planification : L'attaquant planifie l'attaque en tenant compte des informations qu'il a recueillies au cours de la phase de recherche.
  3. Exécution : L'attaquant exécute l'attaque en utilisant les méthodes et les techniques qu'il a planifiées.
  4. Livraison : L'attaquant transmet la charge utile, qui peut être un logiciel malveillant, des informations sensibles ou des informations d'identification.
  5. Contrôle : L'attaquant prend le contrôle du système ou du compte, en utilisant les informations ou l'accès qu'il a obtenu.
  6. La dissimulation : L'attaquant brouille les pistes, ce qui rend difficile la détection de l'attaque et sa remontée jusqu'à lui.

FAQ

Comment fonctionne l'ingénierie sociale ?

L'ingénierie sociale est un type d'attaque qui s'appuie sur l'interaction humaine pour inciter les utilisateurs à enfreindre les procédures de sécurité standard. L'attaquant s'efforce de gagner la confiance de l'utilisateur, puis utilise cette confiance pour amener l'utilisateur à faire quelque chose qui permettra à l'attaquant d'accéder au système.

Quelle est la gravité de l'ingénierie sociale ?

Bien que l'ingénierie sociale puisse être utilisée pour atteindre différents objectifs, elle est le plus souvent utilisée pour accéder à des systèmes ou à des données. Une fois qu'un pirate a accès à un système, il peut l'exploiter à son profit. Il peut en résulter des pertes de données, des pertes financières, voire des dommages au système.

Quel est le type d'ingénierie sociale le plus courant ?

L'un des types d'ingénierie sociale les plus courants est le phishing. Un pirate envoie un courriel qui semble provenir d'une source légitime, telle qu'une banque ou un site web. Le courriel contient un lien qui dirige l'utilisateur vers un faux site web conçu pour ressembler au vrai. L'utilisateur est alors invité à saisir ses données de connexion, que le pirate peut utiliser pour accéder au système.

Comment prévenir l'ingénierie sociale ?

Il y a plusieurs choses que vous pouvez faire pour aider à prévenir les attaques de sécurité. Tout d'abord, vous devez être conscient des dangers qu'il y a à cliquer sur les liens contenus dans les courriels. Si vous n'êtes pas sûr de la source d'un courriel, ne cliquez pas sur les liens qu'il contient. Ensuite, vous ne devez jamais communiquer d'informations personnelles, telles que vos données de connexion, à une personne que vous ne connaissez pas et en qui vous n'avez pas confiance. Enfin, vous devez toujours garder vos systèmes à jour avec les derniers correctifs de sécurité afin d'empêcher les attaquants d'exploiter les vulnérabilités.

Quel est le pourcentage de pirates qui utilisent l'ingénierie sociale ?

L'ingénierie sociale est une technique très répandue parmi les pirates informatiques. On estime qu'elle est utilisée dans environ 90 % des attaques réussies.

Quel est le coût d'une attaque par ingénierie sociale ?

Une attaque d'ingénierie sociale coûte en moyenne 1,6 million de dollars à une organisation et il faut quatre mois pour la détecter. Une grande partie de ce coût est due au fait qu'il est difficile de déterminer quand un employé est victime d'une attaque. Tout employé disposant d'un accès légitime peut rendre l'environnement vulnérable aux attaquants lorsqu'il se laisse séduire par une campagne d'ingénierie sociale et qu'il installe un logiciel malveillant, fournit des informations d'identification aux attaquants ou divulgue des informations sensibles.

Comment protéger votre entreprise contre les attaques d'ingénierie sociale ?

Skysnag automatise DMARC, SPF et DKIM pour vous, vous épargnant ainsi les problèmes et le temps nécessaires à une configuration manuelle. Le logiciel automatisé de Skysnag protège la réputation de votre domaine et vous tient à l'écart des e-mails professionnels compromis, des vols de mots de passe et des pertes financières potentiellement importantes. Inscrivez-vous en utilisant ce lien pour un essai gratuit et protégez votre entreprise contre les attaques d'ingénierie sociale.

Vérifiez la conformité de votre domaine à la norme DMARC

Appliquer DMARC, SPF et DKIM en quelques jours - et non en quelques mois

Skysnag aide les ingénieurs occupés à appliquer DMARC, répond à toute mauvaise configuration pour SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'identité et l'usurpation d'identité.