Qu’est-ce que l’ingénierie sociale ?
L’ingénierie sociale est l’art de manipuler quelqu’un pour obtenir quelque chose. C’est peut-être une bonne pratique… mais pas toujours !
Dans cet article, nous nous concentrerons sur l’ingénierie sociale dans le contexte de la sécurité de l’information. De nos jours, la plupart des atteintes graves à la protection des données comportent une composante d’ingénierie sociale.
Types d’attaques d’ingénierie sociale
1. E-mail provenant d’un ami/collègue/membre de la famille
Ces attaques abusent de la confiance entre deux individus. Une personne prétend être quelqu’un qu’il n’est pas réellement.
Variante « Bloqué à l’étranger »
Il n’est pas rare de recevoir un e-mail qui prétend provenir d’une personne que vous connaissez et en qui vous avez confiance. Parfois, il s’avère que l’e-mail a été envoyé par une personne ayant des intentions criminelles.
L’e-mail pourrait vous informer que Marie est bloquée à Barcelone, car elles s’est fait voler son sac à main. Elle est à l’ambassade et a juste besoin d’argent pour avoir un billet d’avion pour rentrer chez elle. Si vous recevez un tel e-mail, essayez de contacter Marie via un autre moyen de communication comme Skype, Whatsapp, le téléphone, etc.
Cela vous permettra de confirmer si l’e-mail a bien été envoyé par la bonne personne. Ainsi, vous pouvez vous assurer que vous ne divulguez pas d’informations confidentielles ou bien que vous n’envoyez pas d’argent à des cybercriminels. Si le contact par e-mail est la seule option, signalez-le à votre service de la sécurité informatique. Ils sauront comment s’y prendre.
Variante « Lien amusant/intéressant »
Nous connaissons tous celui-là !
Le cybercriminel peut faire preuve de la plus étonnante de la gentillesse naturelle que vous pourriez rencontrer et vous invite à cliquer un lien qui vous redirige vers une vidéo. En faisant cela, vous pourriez perdre le contrôle de votre ordinateur.
S’il s’agit d’un ordinateur connecté à un réseau de travail, cela va créer des problèmes, car il peut maintenant servir d’une porte ouverte via laquelle les pirates pourront attaquer le reste du réseau interne de votre entreprise.
2. Tentatives de phishing
Ces attaques sur les réseaux sociaux abusent de la confiance que nous avons envers les institutions officielles qui sont dignes de confiance.
Variante « Échec de livraison de colis DHL/Fedex »
Vous pourriez recevoir un e-mail vous informant que DHL n’a pas été en mesure de livrer un colis à votre domicile. Pour régler le problème, vous pouvez simplement cliquer sur le lien suivant et … c’est là que vous devez dire : STOP !
Le mieux serait de vous demander si vous attendiez vraiment un paquet. Si ce n’est pas le cas, oubliez le message !
Si la livraison est suffisamment importante, l’expéditeur vous contactera directement, et non via DHL.
Variante « Vous êtes reconnu par un organisme de bienfaisance ou de collecte de fonds »
Si c’est important pour vous, ignorez toutes les informations contenues dans l’email, allez sur Google pour découvrir les détails concernant cette œuvre de charité.
Appelez directement les responsables pour pouvoir vérifier l’exactitude des informations.
Variante « Résolution instantanée d’un problème urgent »
Dans ce cas, essayez de joindre directement l’entreprise par téléphone ou en vous rendant à son bureau local.
Encore une fois, si c’est assez important, l’entreprise aura de nombreuses façons de communiquer avec vous.
Variante « Vous avez gagné à la loterie ! »
Si vous gagnez à la loterie, n’auriez-vous pas dû tout d’abord jouer ou acheter un billet pour pouvoir participer au jeu ?
Si ce n’est pas le cas, le mieux serait d’ignorer l’e-mail, sinon vous risquez d’appeler un numéro de téléphone contrôlé par les arnaqueurs.
Variante « Votre aide est nécessaire pour secourir des gens après une catastrophe naturelle »
Dans les heures qui suivent une catastrophe naturelle, les arnaqueurs commencent à cibler des individus partout dans le monde. Ils envoient de faux e-mails pour obtenir de l’aide, des ressources, etc.
Vous pouvez vous protéger contre ces pirates et arnaqueurs, à condition que vous disposiez d’un filtre de spams fiable.
Voici quelques mesures préventives de base que vous pouvez prendre lorsque vous recevez un message
- En cas de doute, ignorez-le !
- Respirez profondément et réfléchissez avant d’agir.
- Faites des recherches et utilisez d’autres moyens de communication.
- Rapportez les messages à votre service informatique et supprimez toutes les demandes d’informations privées, d’entreprise ou financières.
- Signalez puis ignorez les demandes d’aide. Si c’est légitime, vous en entendrez parler d’une manière officielle.
- Demandez-vous toujours : faut-il cliquer sur ce lien ?
- Utilisez des noms d’utilisateur et des mots de passe différents pour différents services.
- Utilisez l’authentification à deux facteurs, c’est-à-dire deux modes d’identification à partir de catégories de données distinctes.
- Utilisez les cartes de crédit avec prudence.
Ces mesures n’empêcheront pas votre compte d’être compromis si un fournisseur de services tombe dans le piège d’un piratage d’ingénierie sociale et remet votre compte à l’attaquant. Cependant, elles peuvent au moins minimiser les éventuels dommages liés à une tentative d’attaques malveillantes et vous donner plus de tranquillité pour vous protéger des cybercriminalités via les réseaux sociaux.