Kipsecu

Devenez Acteur de la Sécurité du Web

img

Le Social Engineering, l’art de duper les gens !

/
/
/
145 Views

pirate vole mot de passe

Le Social Engineering (Ingénierie Sociale en français) est une technique utilisée par les pirates et escrocs du web pour tenter de vous dérober des informations confidentielles. Cette technique de hacking ne nécessite pas d’avoir de compétences techniques en informatique, mais plutôt d’être un fin psychologue, capable de comprendre les failles non pas d’un système informatique mais d’un être humain.

Dans la plupart des cas, la force de persuasion de l’attaquant fera que la victime ne se rendra compte de l’escroquerie qu’à partir du moment où les données dérobées auront été utilisées.

1.      Le Social Engineering par téléphone

Dans ce cas de figure, l’attaquant va contacter sa victime par voie téléphonique. C’est l’option la plus simple et la plus rapide pour subtiliser des informations si le pirate est à l’aise derrière un combiné.

Généralement, la personne au bout du fil se fera passer pour quelqu’un en qui vous avez confiance, comme un supérieur hiérarchique ou l’un de vos fournisseurs (opérateur téléphonique, banque, …).

Il sera sûr de lui, parfois insistant pour tenter de vous extorquer des informations sensibles, comme votre mot de passe, vos numéros de carte bancaire ou pire encore, vous demandera de faire quelque chose pour lui. L’exemple le plus représentatif et connu de l’ingénierie sociale est la fraude au président, escroquerie durant laquelle l’attaquant se fait passer pour le PDG de l’entreprise auprès d’une comptable et demande d’effectuer un virement en urgence sur le compte bancaire d’un fournisseur. Evidemment, le compte bancaire sera celui du pirate et l’argent de l’entreprise sera définitivement perdu.

Comment déjouer une attaque par Social Engineering ?

dejouer-ingénierie-sociale

Un maître mot s’impose : la méfiance ! Lorsqu’une personne que vous ne connaissez pas vous contacte, ne lui donnez surtout pas d’informations sensibles par téléphone. Demandez lui plus d’informations sur la nature de sa demande, la raison de son appel, ou mettez fin à la discussion.

Dans tous les cas, proposez à la personne de réitérer sa demande par e-mail et vérifiez que l’adresse e-mail est bien celle de la personne attendue (attention aux tentatives de phishing !).

Enfin, si vous avez déjà donné des informations critiques au pirate avant de vous rendre compte de la tentative d’escroquerie, réagissez rapidement pour bloquer la demande de virement, votre carte bancaire ou encore pensez à changer vos mots de passe sans attendre.

2.     Le Social Engineering par courrier

Même si beaucoup plus rare de nos jours avec le développement d’internet et des e-mails, les tentatives d’escroquerie par courrier existent toujours.

Il pourra s’agir d’un courrier d’une entreprise que vous connaissez et qui vous réclame une somme d’argent, d’une lettre d’un proche bloqué à l’étranger et vous demandant de payer son billet retour d’avion, …

L’attaquant fera preuve de professionnalisme et n’hésitera pas à utiliser le logo et la charte graphique de l’entreprise pour vous faire croire à une véritable créance.

Comment reconnaître une fausse facture ou un courrier piégé ?

Vérifiez sur Internet ou dans l’annuaire que l’adresse de l’expéditeur existe et est exacte. Les courriers comportant des fautes d’orthographe devront vous alerter sur son authenticité. Enfin, en cas de doute, contactez l’entreprise grâce à un numéro de téléphone trouvé sur le site internet de la compagnie (et non via le numéro inscrit sur le courrier, qui sera probablement celui de l’escroc).

fake e-mail

3.     Le Social Engineering par e-mail

La forme d’escroquerie la plus répandue après le téléphone. Dans cette situation, le pirate créera une adresse e-mail proche de celle du véritable expéditeur. Dans les cas les plus fréquents, vous retrouverez la promesse (nulle) d’une forte somme d’argent en échange d’un don de votre part, le mail d’un (faux) proche qui vous demande de lui donner un coup de pouce mais qui vous remboursera plus tard.

Ce type d’arnaque se retrouve régulièrement dans les réponses à petites annonces (voitures d’occasion, locations d’appartement, vente de particulier à particulier) et sur les sites de rencontres.

Certains escrocs vont même jusqu’à faire croire à une histoire d’amour à leur victime pour lui extorquer un maximum d’argent.

Comment se protéger d’une escroquerie par e-mail ?

Soyez toujours prudent lorsque vous recevez un courriel d’une personne que vous ne connaissez pas, même suite à la publication d’une petite annonce. Dans le cas où cela est possible, exigez un paiement en espèces ou en main propre et non par virement. Si vous avez les coordonnées de la vraie personne, essayez de la contacter par un autre moyen (téléphone, …) pour s’assurer que c’est bien elle qui vous a contacté.

hoax-fake-news

Il existe également des sites recensant les arnaques par internet (hoax). Vous pouvez tenter de copier/coller une partie du mail reçu sur Google, si d’autres victimes l’ont reçu avant vous, peut-être le retrouverez vous.

Enfin, pensez à installer un bon anti-virus et un pare-feu efficace pour vous protéger d’éventuelles pièces-jointes malveillantes. Notre article sur « Comment protéger son ordinateur et smartphone » pourra vous aider dans cette démarche.

4.     L’ingénierie sociale en face à face

C’est le mode d’escroquerie le plus difficile à réaliser pour le pirate. En effet, il va clairement falloir qu’il sache garder son sang-froid face à vous lorsqu’il essayera de vous escroquer.

Il peut s’agir de quelqu’un que vous croiserez dans la rue (mais qui vous aura repéré bien avant), d’un stagiaire nouvellement arrivé dans l’entreprise ou encore d’un technicien de maintenance informatique présent dans les locaux de votre entreprise, …

Comme expliqué précédemment, si vous ne connaissez bien pas votre interlocuteur ou n’avez pas été prévenu de son arrivée, ne lui divulguez pas d’informations personnelles et ne lui laissez pas accès à vos données et documents sensibles (ordinateur, téléphone, armoire, …).

 

En 2016, les attaques par ingénierie sociale ont explosées et sont désormais utilisées par une majorité de pirates pour vous faire télécharger des virus, ransomwares, …

 

Notre blog et notre équipe d’experts en sécurité informatique a pour vocation d’aider les internautes à se protéger des menaces présentes sur le web.

Pour aller plus loin, vous pouvez découvrir notre article sur Comment hacker un compte Facebook en 5mn

  • Facebook
  • Twitter
  • Google+
  • Linkedin
  • Pinterest

Leave a Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

It is main inner container footer text