Qu'est-ce que l'ingénierie sociale et comment est-elle utilisée dans les cyberattaques

L'ingénierie sociale est une technique de manipulation psychologique utilisée par les cybercriminels pour obtenir des informations confidentielles, accéder à des systèmes ou réaliser des actions nuisibles par la persuasion , la tromperie ou l'exploitation de la confiance des personnes.

Et contrairement à une cyberattaque , cette modalité n'implique pas l'exploitation de vulnérabilités techniques, mais vise plutôt à tirer parti de la naïveté, de la gentillesse ou du manque de connaissances des personnes pour atteindre leurs objectifs.

Un exemple de ceci est lorsqu'un attaquant envoie des e-mails usurpés qui semblent provenir d'une entreprise légitime, telle qu'une banque ou un réseau social, demandant à la victime de révéler ses identifiants de connexion. La victime, croyant qu'il s'agit d'un message authentique, fournit ses informations personnelles et financières.

Les humains ont évolué pour agir et se comporter d'une certaine manière afin d'établir des structures sociales solides et cohésives. Des éléments tels que la confiance sont des éléments essentiels des sociétés et les escrocs comprennent ce comportement et savent manipuler les gens en générant un sentiment de confiance.

Cela est particulièrement évident dans le cas de l'usurpation d'identité téléphonique , qui se produit lorsque des criminels se font passer pour des responsables du support technique et appellent des personnes, affirmant qu'il y a un problème avec leur ordinateur qui doit être résolu.

De plus, ces attaquants peuvent également appeler une entreprise se faisant passer pour un employé et demander des informations confidentielles ou des mots de passe. Si l’identité n’est pas correctement vérifiée, l’organisation pourrait tomber dans le piège et divulguer des informations sensibles, en plus de perdre de l’argent.

Un cas connu s'est produit dans les années 2013-2015, lorsque Google et Facebook ont été victimes d'une escroquerie de phishing dirigée par le Lituanien Evaldas Rimasauskas . Qui s'est habilement fait passer pour un fabricant de matériel informatique populaire appelé Quanta Computer et a trompé les deux sociétés avec de faux e-mails, les amenant à transférer plus de 100 millions de dollars sur leurs comptes.

L’attaque était mondiale et n’a été découverte qu’en 2017. En conséquence, les entreprises technologiques ont renforcé leurs mesures de sécurité des paiements. En outre, l’incident a montré que même les grandes entreprises technologiques ne sont pas à l’abri de l’ingénierie sociale.

D’autres comportements humains, comme le désir d’être en couple, de faire du bon travail, d’éviter les ennuis ou de rater quelque chose de bien, sont également exploités par les cybercriminels. Qui créent également de faux profils sur les réseaux sociaux et établissent des relations de confiance avec de vraies personnes, pour obtenir des informations personnelles ou les persuader de cliquer sur des liens malveillants , de réaliser de faux investissements ou de leur envoyer de l'argent.

Además, esta técnica se utiliza con otros tipos de ciberataques, como es el caso del “spear phishing†, en el que los estafadores personalizan sus mensajes para una vÃctima especÃfica, utilizando información que han recopilado previamente de fuentes públicas o réseaux sociaux. Cela rend la communication plus crédible et augmente les chances de succès.

Il existe également des attaques de ransomware par ingénierie sociale , dans lesquelles les criminels envoient des e-mails contenant des pièces jointes malveillantes ou des liens qui semblent légitimes pour une meilleure persuasion. Lorsque la victime clique ou télécharge le fichier, son ordinateur est infecté par des programmes malveillants qui cryptent les fichiers et exigent une rançon pour leur libération.

Un cas d’arnaque d’ingénierie sociale

Un individu est tombé dans le piège tendu par un escroc qui s'est fait passer pour un fonctionnaire d'une entité bancaire, révélant par inadvertance ses coordonnées et mettant sa sécurité financière en danger. Ceci après avoir seulement reçu un appel téléphonique à la maison.

De l’autre côté de la ligne, l’agresseur s’est identifié comme étant un employé de la banque où la victime avait son compte. L'employé présumé a affirmé qu'il y avait une « activité inhabituelle » sur le compte et qu'il devait vérifier certains détails pour protéger sa sécurité financière.

L'escroc était habile et a utilisé un ton persuasif et une connaissance détaillée des informations personnelles de cet utilisateur, telles que son nom, son adresse et les derniers chiffres de son numéro de compte, pour gagner sa confiance.

Il m'a ensuite demandé de confirmer son numéro de compte bancaire complet et son numéro d'identification « pour vérifier son identité ». Et c’est là que l’ingénierie sociale agit en raison de la pression générée par l’apparente urgence de la situation et la peur d’éventuels problèmes financiers.

Finalement, la victime a fourni les informations demandées au fraudeur. Cependant, peu de temps après, il s'est méfié de l'appel et a décidé de contacter directement sa banque via la ligne officielle du service client , où il a confirmé qu'aucun appel n'avait été passé à son domicile et que ses coordonnées avaient été conservées.

Immédiatement, l'utilisateur a suivi les recommandations de la banque pour protéger son compte et son identité. Il a modifié leurs mots de passe bancaires, surveillé leurs transactions et soumis un rapport aux autorités compétentes, notamment à la police locale.

Cette affaire met en évidence l'importance de l'éducation et de la sensibilisation à l'ingénierie sociale utilisée par les cybercriminels . De plus, cela souligne la nécessité de vérifier l'authenticité des appels et des courriels que nous recevons et de ne jamais fournir d'informations personnelles ou financières par ces moyens sans confirmer l'identité de l'expéditeur.