blog

Comment reconnaître l'ingénierie sociale 101

John Price
Directeur général
6 janvier 2023
5 minutes

L'ingénierie sociale est la technique qui consiste à persuader les autres de divulguer des informations personnelles en utilisant la manipulation psychologique. Ce type d'exploitation existe depuis longtemps, bien avant l'invention de l'internet et des ordinateurs. Les criminels utilisent des approches d'ingénierie sociale parce que, contrairement aux pirates informatiques, il est beaucoup plus facile d'exploiter votre prédisposition naturelle à la confiance que d'attaquer des logiciels ou du matériel. L'objectif de cette page est de fournir des informations sur ce qu'est l'ingénierie sociale, comment elle diffère des autres formes d'ingénierie sociale, comment repérer une attaque d'ingénierie sociale et comment éviter d'être victime d'escroqueries d'ingénierie sociale.

Comment reconnaître l'ingénierie sociale.

Entrons dans le vif du sujet et discutons de la question à laquelle vous êtes venus chercher une réponse : comment reconnaître l'ingénierie sociale ?

Il vous est demandé de "vérifier" vos informations personnelles.

Une tactique utilisée par les ingénieurs sociaux consiste à créer un problème qui vous oblige à "vérifier" vos coordonnées en cliquant sur un lien qu'ils ont affiché et en saisissant des informations dans un formulaire. Avec un marquage et un étiquetage appropriés, la destination du lien peut sembler authentique.

Création d'un besoin urgent.

Les ingénieurs sociaux utilisent une rhétorique qui crée un sentiment de panique chez leurs victimes, dans le but de les obliger à réagir sans réfléchir. Si quelqu'un vous demande d'effectuer un virement bancaire urgent, vérifiez que l'activité que vous vous apprêtez à exécuter est authentique avant de la réaliser.

Vous demander de l'aide ou des dons.

[/fusion_text][fusion_text rule_style="default" hide_on_mobile="small-visibility,medium-visibility,large-visibility" sticky_display="normal,sticky" text_transform="none" animation_direction="left" animation_speed="0.3"]Social engineers may approach people who are kind and nice with requests for donations to nonprofit causes. Social engineers can learn a lot about you by looking you up on social media and seeing what nonprofits, disaster relief efforts, and political campaigns you are most inclined to support.[/fusion_text][fusion_text rule_style="default" hide_on_mobile="small-visibility,medium-visibility,large-visibility" sticky_display="normal,sticky" text_transform="none" animation_direction="left" animation_speed="0.3"]

Répondre à une question que vous n'avez pas posée.

Les ingénieurs sociaux peuvent se faire passer pour un représentant du service clientèle d'une entreprise avec laquelle vous faites affaire et envoyer un message qui semble "répondre" à une demande d'assistance. Même si vous n'avez pas posé de question à ce moment-là, vous pourriez profiter de l'occasion pour obtenir de l'aide pour un problème que vous avez rencontré.

Types d'ingénierie sociale.

Compromission des e-mails d'entreprise.

Il est possible pour un pirate d'obtenir le compte de messagerie d'une personne en achetant son nom d'utilisateur et son mot de passe sur le dark web, en cassant son mot de passe ou en l'hameçonnant pour obtenir ses informations de connexion. Le pirate utilise ce compte pour commencer à envoyer des e-mails aux personnes figurant dans la liste de contacts du compte. Ces courriels peuvent contenir des liens susceptibles de diffuser des fichiers malveillants s'ils sont cliqués, car si les utilisateurs pensent qu'un lien leur a été envoyé par un ami ou un collègue, ils sont plus susceptibles de cliquer dessus.Si le pirate parvient à accéder à la messagerie d'un cadre, il enverra souvent des courriels à l'équipe financière lui demandant d'effectuer des transferts de fonds urgents vers un certain compte bancaire. C'est ainsi qu'ils procèdent généralement. Ces attaques fonctionnent souvent parce qu'elles donnent au destinataire l'impression qu'il doit agir rapidement, de sorte qu'il ne réfléchit pas à ce qu'il fait et passe à l'acte.

Le phishing.

Lorsqu'une personne reçoit un courriel d'hameçonnage, il semble provenir d'une source à laquelle la personne fait confiance, comme une entreprise ou un ami avec lequel elle travaille souvent. La plupart du temps, la victime est invitée à cliquer sur un lien et à se connecter à l'un de ses comptes Web. Si elle clique sur ce lien, elle se retrouve sur un site totalement différent. Le lien a été configuré pour ressembler au site sur lequel la victime pense se trouver. Lorsque la victime se rend sur le site usurpé et se connecte, elle vient de donner à l'attaquant ses informations de connexion.

L'exemple ci-dessous montre à quoi peut ressembler un courriel de phishing.

Prétextant.

Le prétextage est généralement effectué physiquement. L'attaquant invente une fausse identité et invente une histoire pour amener sa victime à lui donner des informations précieuses, afin que le pirate puisse mettre la main sur ces informations.Les victimes ciblées peuvent se faire dire qu'elles sont les bénéficiaires d'un testament d'une tante récemment décédée. Le pirate dira à la victime qu'elle doit montrer qu'elle est bien celle qu'elle prétend être en lui donnant son numéro de sécurité sociale.Un pirate peut se faire passer pour un auditeur informatique externe et amener le personnel de sécurité d'une entreprise à lui donner des informations privées.

SMiShing.

De la même manière que le phishing utilise le courrier électronique et le vishing les appels téléphoniques, le SMiShing utilise les messages textuels pour soutirer de l'argent à une victime. Les gens ont tendance à faire davantage confiance aux SMS qu'aux e-mails, ce qui rend cette nouvelle tendance encore plus inquiétante. Les risques de cliquer sur des liens inconnus dans un e-mail ne se sont pas étendus aux liens dans les SMS, beaucoup trop de gens ne savent pas quoi faire lorsqu'ils sont confrontés à un SMS SMiShing.Voici comment cela fonctionne généralement : Vous êtes facturé chaque jour pour un service qui a été inventé. Il existe un lien qui vous permet de choisir de ne pas utiliser le service et de ne pas être facturé. Il vous demande également vos informations personnelles afin que vous puissiez faire votre choix. Si vous vous êtes inscrit à un service que vous souhaitez annuler, ne prêtez pas attention à ce message.

Vishing.

Lorsque quelqu'un vous appelle pour vous demander de l'argent, il s'agit de phishing, ou "hameçonnage vocal". Les attaquants cherchent à se faire passer pour une autorité que vous connaissez, comme une institution financière ou une entité gouvernementale, lorsqu'ils essaient d'obtenir vos informations.L'usurpation de l'identité de l'appelant permet à un attaquant de faire croire que son appel provient d'une source fiable. La plupart des arnaqueurs par hameçonnage vocal commencent en dehors des États-Unis. L'usurpation d'identité cherche à gagner la confiance de la victime et à lui faire croire que l'appelant est bien celui qu'il prétend être. Elle prend alors l'appel et croit que l'appelant est bien celui qu'il prétend être.

Comment puis-je me protéger et éviter l'ingénierie sociale ?

Utilisez un logiciel de messagerie sécurisé à votre avantage.

Les attaques d'ingénierie sociale, qui visent à usurper l'identité de vos cadres, employés, partenaires commerciaux et sociétés Internet réputées afin de collecter frauduleusement de l'argent ou des données auprès de vos consommateurs peu méfiants, doivent être évitées à tout prix.Les logiciels de sécurité du courrier électronique analyseront les messages entrant dans votre boîte de réception à la recherche de preuves de logiciels malveillants, d'intentions malveillantes et de tentatives d'usurpation d'identité, et empêcheront les messages d'entrer dans votre boîte de réception s'ils comportent l'un de ces indicateurs.

Les logiciels et les applications de protection des URL permettent de protéger chaque clic effectué par vos utilisateurs, quel que soit l'appareil qu'ils utilisent, afin de les empêcher de cliquer sur des liens dangereux.

Identifiez les informations qui sont les plus sensibles pour vous.

Lorsque vous comprenez quelles sont les informations dont vous disposez et qui sont importantes pour un pirate, il devient plus facile d'identifier les informations que vous devez protéger contre un pirate.Comme les joyaux de la couronne de votre organisation seront différents de ceux des autres organisations, il est essentiel que vous effectuiez cette procédure vous-même.Il n'existe pas de "taille unique".

Vérifier l'identification des personnes impliquées dans une transaction ou une communication.

Assurez-vous que vous travaillez avec la personne qui prétend être qui elle prétend être. Il est recommandé de téléphoner à l'expéditeur pour confirmer qu'il vous a bien envoyé le message en question si vous recevez une demande par courrier électronique qui sort de l'ordinaire mais provient d'une adresse électronique que vous reconnaissez.

Informez et éduquez vos employés.

L'une des étapes clés de la prévention de l'ingénierie sociale consiste à sensibiliser et à informer sur le problème en général. Si vos utilisateurs ne sont pas conscients des menaces liées à l'ingénierie sociale, vous ne pouvez pas attendre d'eux qu'ils prennent les précautions nécessaires pour assurer la sécurité de votre entreprise.

Gardez votre calme.

Pour inciter leurs victimes à agir rapidement, les ingénieurs sociaux s'efforcent de créer chez elles un sentiment d'urgence, les amenant à ignorer tout indicateur rouge indiquant qu'elles ont affaire à une personne qui n'est pas authentique.Avant de faire quoi que ce soit, prenez une grande respiration et examinez la question à tête reposée avant de poursuivre. Tant que la transaction est légitime, la personne de l'autre côté sera compréhensive et patiente avec le temps qu'il vous faut pour effectuer votre diligence raisonnable.

Vérifiez tous les liens.

Si vous recevez un lien raccourci, comme un lien bit.ly, il est possible qu'il soit

dissimulant une URL malveillante. Vous pouvez utiliser un expandeur de liens pour tester le lien sans cliquer dessus. Le moteur de recherche DuckDuckGo intègre un expandeur de liens qui vous permet de voir ce qui se cache derrière une URL courte.

commencez

Prêt à commencer ?

Renseignez-vous ici pour parler à un membre de l'équipe.
Merci ! Votre demande a été reçue !
Oups ! Un problème est survenu lors de la soumission du formulaire.
Blog

Lire des articles similaires.

Accueil
Capacités
À propos de
Contact