Qu'est-ce que l'ingénierie sociale ?
L'Ingénierie sociale: Définition
L'« ingénierie sociale » cybercriminelle est une tactique qui, à la base, cible un utilisateur en créant un faux récit qui exploite la crédibilité, la cupidité, la curiosité ou toute autre caractéristique très humaine de la victime. Le résultat final est que la victime transmet volontairement des informations privées à l'attaquant, qu'elles soient personnelles (par ex., nom, e-mail), financières (par ex., numéro de carte de crédit, cryptoportefeuille), ou en installant par inadvertance des malware/backdoors sur son propre système.
Nous pouvons classer les attaques modernes en deux catégories très larges selon la cible : Elles s’en prennent soit à la machine, soit à l'utilisateur. Les attaques sur les machines ont démarré par des exploitations de vulnérabilités en 1996, avec l'article essentiel « Smashing the Stack for Fun and Profit ». Cependant, c’est l’attaque sur l’utilisateur (ingénierie sociale) qui s’est plus largement plus répandue. Toutes les attaques connues et non basées sur des vulnérabilités présentent un élément d'ingénierie sociale où l'assaillant essaie de convaincre la victime de faire quelque chose qui finira par être malveillante pour elle.
Types d'attaques d'ingénierie sociale
Bien qu’il ne s’agisse pas d’une liste exhaustive, les attaques d’ingénierie sociale suivantes doivent être connues :
Phishing
Le phishing est l’ un des types d’attaques d’ingénierie sociale les plus courants. Il utilise des emails et des SMS pour inciter les victimes à cliquer sur des pièces jointes malveillantes ou des liens vers des sites Web nuisibles.
Appât
Cette attaque utilise une fausse promesse pour attirer une victime en misant sur sa cupidité ou sa curiosité. Les victimes sont attirées dans un piège qui compromet leurs informations sensibles ou infecte leurs appareils. Un exemple serait de laisser une clé USB infectée par un malware dans un lieu public. La victime peut être intéressée par son contenu et l'insérer dans son appareil, en installant involontairement le malware.
Prétexte
Dans cette attaque, un acteur ment à un autre pour accéder aux données. Par exemple, un attaquant peut prétendre avoir besoin de données financières ou personnelles pour confirmer l’identité du destinataire.
Craint
Le Scareware joue sur la peur des victimes face à des fausses alarmes ou des menaces. Les utilisateurs peuvent être leurrés en pensant que leur système est infecté par des malware. Ils installent ensuite un correctif logiciel suggéré, mais ce logiciel peut être le malware lui-même, par exemple, un virus ou un spyware. Des exemples courants sont des bannières contextuelles qui apparaissent dans votre navigateur, affichant du texte comme « Votre ordinateur peut être infecté ». Elles vous proposerent d'installer le correctif ou vous dirigeront vers un site Web malveillant.
Spear phishing et whaling
Dans un spear phishing, l'attaque cible spécifiquement une personne ou une organisation particulière. De même, les attaques de whaling ciblent des collaborateurs de haut niveau, tels que des PDG et directeurs.
Tailgating
Également connu sous le nom de piggybacking, on parle de « tailgating » lorsqu’un attaquant entre dans un bâtiment ou un service sécurisé en suivant quelqu’un disposant d’une carte d’accès. Cette attaque part du principe que d'autres supposeront que l'assaillant est autorisé à rentrer.
Escroqueries basées sur l’IA
Les arnaques basées sur l’IA exploitent la technologie d’intelligence artificielle pour tromper les victimes. Voici les types courants :
Escroquerie IA par texte : Messages textuels trompeurs générés par l’IA pour détourner des informations ou propager des malware.
Escroquerie IA par image : De fausses images créées à l’aide de l’IA pour manipuler et tromper les individus.
Arnaque vocale par IA : Messages vocaux frauduleux générés par l’IA pour usurper l’identité d’entités de confiance et tromper les victimes.
Escroquerie vidéo par IA : Vidéos manipulées créées à l’aide de l’IA, appelées deepfakes, utilisées pour diffuser la désinformation ou cibler des individus.
Veuillez consulter notre page sur les 12 types d'attaques d'ingénierie sociale si vous souhaitez en savoir plus à leur sujet.
Comment reconnaître les attaques d'ingénierie sociale
Étant donné que ces attaques se présentent sous différents formats, et reposent sur la faillibilité humaine, il peut être très difficile d'identifier les attaques d'ingénierie sociale. Néanmoins, si vous rencontrez l'un des éléments ci-dessous, il s'agit d’alertes majeures qui suggèrent qu'une attaque d'ingénierie sociale commence :
Un e-mail ou un SMS non sollicité de la part d’une personne que vous ne connaissez pas.
Le message est prétendument très urgent.
Le message vous demande de cliquer sur un lien ou d'ouvrir une pièce jointe.
Le message contient de nombreuses fautes de frappe et erreurs grammaticales.
Vous pouvez également recevoir un appel de quelqu’un que vous ne connaissez pas.
L’appelant essaie d’obtenir des informations personnelles auprès de vous.
L'appelant tente de vous amener à télécharger quelque chose.
L'appelant parle également avec un grand sentiment d'urgence et/ou d'agression.
Comment prévenir les escroqueries en ingénierie sociale ?
Le meilleur bouclier que l'on puisse utiliser contre les tactiques d'ingénierie sociale des escrocs en ligne est d'être bien informé des nombreuses façons dont un cybercriminel pourrait tirer parti de votre vulnérabilité sur les réseaux sociaux. Plus que les conséquences habituelles d’être victime des attaques de spam, de phishing et d’infections par des malware, le défi posé par les cybercriminels est d’avoir une bonne compréhension pour préserver la confidentialité de vos données.
En plus de surveiller les signes avant-coureurs ci-dessus, les bonnes pratiques suivantes doivent être suivies :
Maintenez votre système d'exploitation et votre logiciel de cybersécurité à jour.
Utilisez l'authentification multifacteur et/ou un gestionnaire de mots de passe.
N’ouvrez pas les emails et les pièces jointes provenant de sources inconnues.
Définissez vos filtres anti-spam à un niveau élevé.
Supprimez et ignorez toute demande d’informations financières ou de mots de passe.
Si vous suspectez quelque chose pendant une interaction, soyez calme et agissez avec précaution.
Faites vos recherches en ce qui concerne les sites Web, les entreprises et les particuliers.
Faites attention à ce que vous partagez sur les réseaux sociaux : utilisez vos paramètres de confidentialité.
Si vous êtes un employé d'une entreprise, assurez-vous de connaître les politiques de sécurité.
Exemples d'attaques d'ingénierie sociale
Fortement motivés par le gain financier, les cybercriminels ont considérablement enrichi leurs méthodes pour tirer des informations sensibles des utilisateurs en ligne pour obtenir un gain monétaire.
Le mois de janvier est le moment où la plupart des pays lancent la saison fiscale, ce qui en fait une cible cybercriminelle préférée pour gagner de l'argent. Les cybercriminels ont également une tactique dans laquelle leur attaque coïncide avec des fêtes, des périodes de vacances ou l’actualité du moment. Les citoyens américains ont reçu des échantillons de spam, donnant lieu à des messages qui provenaient, en apparence, du Fisc des États-Unis.
Cliquez ici pour en savoir plus sur cette attaque de malware liée à la saison fiscale.
Les nouvelles concernant le décès de Robin Williams le 12 août 2014 ont choqué les gens du monde entier. Alors que les nouvelles sur sa mort se propageaient parmi les internautes, les spammers et les cybercriminels ont émis des emails indésirables qui mentionnent le nom de l’acteur dans l’objet de l’email. Le courrier indésirable demandait aux destinataires de télécharger une vidéo choc sur la mort de Robin William, mais cliquer sur le lien vidéo téléchargeait un fichier exécutable détecté comme WORM_GAMARUE.WSTQ.
Cliquez ici pour en savoir plus sur cette attaque de malware liée à une célébrité.
Lorsque les informations sur la pandémie d’Ebola ont inondé Internet, les cybercriminels ont saisi l’opportunité d’utiliser ce fait comme appât pour inciter les victimes peu méfiantes à ouvrir de faux e-mails. Ces e-mails menaient finalement à des tentatives de phishing, où les informations et les identifiants de la victime sont volés.
Cliquez ici pour en savoir plus sur cette attaque de malware par faux emails.
L'année 2008 a donné lieu à des attaques sociales générées par des cybercriminels pour sabotage et profit. Avec des cibles identifiées, les attaques basées sur la plateforme étaient dirigées vers les utilisateurs à domicile, les petites entreprises et les grandes organisations avec, à la clé, des tentatives de détournement d’éléments de propriété intellectuelle et des pertes financières majeures. En grande partie, les escrocs en ligne ont conçu des moyens d'attaquer les utilisateurs Web en utilisant des sites de réseaux sociaux tels que Facebook et Twitter.
En 2008, les utilisateurs de Facebook ont été la cible de KOOBFACR, une attaque malveillante de type ver . Twitter est ensuite devenu une mine d'or pour les cybercriminels en 2009, diffusant des liens malveillants qui dirigeaient vers des chevaux de Troie.
L'avenir des attaques d'ingénierie sociale
Nous pouvons décomposer toute interaction d'ingénierie sociale en éléments suivants :
- Un « média » pour établir la connexion avec la victime, qui peut être effectué par téléphone, e-mail, réseau social ou message direct, pour n’en citer que quelques-uns.
- Un « mensonge », via lequel l’attaquant tente de convaincre la victime d’agir dans un délai donné. Le mensonge s’accompagne souvent d’un sentiment d’urgence intégré, comme une contrainte de temps.
- Une « demande », c’est-à-dire l’action à réaliser par la victime, comme divulguer des identifiants, exécuter un fichier malveillant, investir dans des crytpmonnaies ou envoyer de l’argent.
Prenons un exemple courant que vous connaissez probablement : l'escroquerie stéréotypée par email :
Figure 1. Le moyen, le mensonge et la demande d'une attaque d'ingénierie sociale
En 2024, les criminels atteignent leurs victimes via de multiples méthodes. Ils utilisent également des histoires inventées dans le cadre de leurs astuces d’ingénierie sociale. Leurs objectifs sont généralement les mêmes, comme la divulgation du mot de passe, l'installation de malware ou le partage d'informations personnelles.
Au fil des ans, nous avons vu une multitude d’actes dans l’espace de l’ingénierie sociale, et toutes les idées n’ont pas encore élé utilisées. Les attaquants continuent à proposer de nouvelles astuces d'ingénierie sociale chaque année. Dans cet article, nous explorerons de nouvelles améliorations en ingénierie sociale que les attaquants pourraient utiliser à l’avenir pour connaitre les utilisateurs. En changeant de média, de mensonge ou de question, les attaquants peuvent facilement trouver de nouveaux stratagèmes innovants pour tromper leurs victimes.
Quels nouveaux éléments pouvons-nous nous attendre à voir ? Quelles évolutions pouvons-nous prévoir pour les anciens schémas ? Comment les nouvelles technologies affecteront-elles l’une de ces technologies ?
Changements dans le milieu
À mesure que de nouvelles technologies émergent, les attaquants obtiennent davantage de moyens d’atteindre leurs victimes potentielles. Cela inclut les outils d’IA, les appareils de réalité virtuelle comme Apple Vision Pro, les lunettes Ray-Ban ou tout nouvel appareil que les utilisateurs pourraient commencer à utiliser à l’avenir.
Utilisation des dispositifs portables comme support
De nouveaux appareils sortent sur le marché chaque année, ce qui étend la surface d'attaque à disposition des cybercriminels. Les dispositifs portables (wearables) sont particulièrement intéressants, car ils sont toujours allumés et sont validés par leur utilisateur. Toute attaque impliquant à un dispositif portable a plus de chances d’être perçu comme étant de confiance. Il est possible que l'attaquant accède à l'appareil portable. Ils ne sont souvent pas conçus pour déployer des outils de sécurité ou même s'authentifier régulièrement, contournant souvent les contrôles de sécurité normaux.
Figure 2. Un scénario potentiel d'appareils portables comme moyen pour les attaques d'ingénierie sociale
Les chatbots comme moyen
Les chatbots d’IA peuvent également être utilisés comme véhicule pour atteindre l’utilisateur. L'idée de cette attaque est de fournir de fausses informations au chatbot afin de manipuler l'utilisateur pour qu'il réalise des actions. L’empoisonnement des données du chatbot peut être effectué de plusieurs façons, notamment en leur fournissant de mauvaises informations, en détournant des données d’apprentissage ou en injectant de nouvelles commandes.
Nouvelles attaques par email
Une nouvelle façon d'utiliser le support classique de messagerie électronique et de messagerie instantanée (IM) consisterait à utiliser un bot alimenté par un modèle LLM pour augmenter l'efficacité d'une attaque BEC. L'acteur malveillant pourrait utiliser le bot LLM pour compiler l'historique des messages précédents entre la victime et le PDG. Ensuite, le bot pourrait continuer la conversation comme s'il s'agissait du PDG, en utilisant le style rédactionnel de celui-ci pour convaincre la victime de transférer de l’argent. Ce processus existe déjà en version manuelle, mais la possibilité que cette attaque soit automatisée avec l’IA ne peut pas être ignorée.
Améliorer les mensonges
L’IA est la principale innovation à l’origine de l’ingénierie sociale. Le mensonge utilisé dans un scénario d’ingénierie sociale variera en fonction de la saison, du pays et du groupe démographique, pour n’en citer que quelques-uns, mais cela peut changer très rapidement en raison de l’évolutivité et de la flexibilité fournies par l’IA. L’IA générative (GenAI) excelle dans la génération d'images, d'audio et de vidéo. Pour le texte, il excelle à la fois dans la création de contenu crédible et le traitement rapide de grandes quantités de texte. Cette évolutivité ouvre de nombreuses nouvelles perspectives de « mensonge » dans l’ingénierie sociale.
La technologie d’IA elle-même est une nouvelle thématique que les attaquants peuvent utiliser pour élaborer des mensonges. Par exemple, créer des mensonges à propos de ChatGPT ou de la VR peut être efficace en raison de l’intérêt qu’ils génèrent. De plus, les attaquants peuvent créer de faux outils liés à l’IA qui sont en fait des malware. Les graphistes s’intéressent généralement à la création d’images ou de visuels deepfake. Un outil que l'assaillant peut proposer pour faciliter cela serait probablement téléchargé et exécuté à la place. De même, l'intégration d'images et de vidéos factices de type deepfake peut leur apporter plus de crédibilité. Cette stratégie progresse clairement dans le paysage actuel des menaces. Nous pensons que les deepfakes ont le potentiel d'être très perturbateurs dans les escroqueries d'ingénierie sociale et que les attaquants les utiliseront largement dans un avenir proche.
Figure 3. Comment les escroqueries par appel et par voix peuvent être améliorées par des deepfakes
Cliquez ici pour en savoir plus sur l'avenir de l'ingénierie sociale.
Solution Vision One Platform de Trend Micro
Trend Vision One est une plateforme de cybersécurité qui simplifie la sécurité et aide les entreprises à détecter et à neutraliser les menaces plus rapidement. Cette plateforme consolide plusieurs fonctionnalités de sécurité, permet un meilleur contrôle de la surface d'attaque de l'entreprise et fournit une visibilité complète sur sa posture de cyber-risque.
Cette plateforme basée sur le cloud exploite l'IA, ainsi qu’une veille sur les menaces provenant de 250 millions de capteurs et de 16 centres mondiaux de recherche sur les menaces pour fournir des informations complètes sur les risques, une détection précoce des menaces et des options automatisées de réponse aux risques et aux menaces.