Three Types of Social Engineering Attacks to Know

Certaines des fuites de données les plus tristement célèbres de l'histoire récente sont le résultat direct d'attaques d'ingénierie sociale (ou social engineering), un type d'attaque où les escrocs gagnent la confiance d'une victime pour la tromper et accéder à des informations sensibles.

L'ingénierie sociale est très dangereuse parce qu'elle s'appuie sur le vecteur le plus vulnérable des organisations actuelles : le facteur humain.

Les ingénieurs sociaux ont le même objectif que les attaquants, mais ils s'efforcent de tromper les gens plutôt que de s'introduire dans les réseaux. Souvent, le moyen le plus simple pour ces criminels d'obtenir les informations qu'ils veulent est de les demander.

Voici les trois types d'attaques d'ingénierie sociale que les cybercriminels utilisent pour compromettre les organisations. Pour en savoir plus sur la manière de les arrêter, consultez notre matériel de formation sur la sensibilisation à l'ingénierie sociale ici.

1 - En ligne et par téléphone : l'ingénierie sociale de base

Les escroqueries par phishing et smishing (phishing par SMS) sont des moyens de tromper les utilisateurs en ligne et par téléphone pour leur faire divulguer des informations sensibles ou de l'argent.

La fraude par email est particulièrement dangereuse car ces attaques d'ingénierie sociale sont difficiles à repérer. Nombre d'entre elles ne comportent pas de pièce jointe ou d'URL afin que les outils de sécurité ne puissent pas les détecter et les analyser en sandbox facilement.

En outre, de nombreux ingénieurs sociaux s'appuient sur des techniques comme l'usurpation de domaine pour faire échouer toute tentative d'authentification des courriels et de vérification de l'identité de l'expéditeur. Certains domaines ressemblants peuvent échanger des caractères, tels que le chiffre "0" pour la lettre "O", un "I" majuscule pour un "L" minuscule ou un "V" pour un "U". D'autres peuvent insérer des caractères supplémentaires, comme un "S" à la fin du nom de domaine, qu'un simple internaute ne remarquera pas facilement.

Il existe d'innombrables combinaisons que les fraudeurs peuvent utiliser pour contrefaire des domaines de messagerie électronique de confiance. Et à moins que votre organisation ne les ait tous enregistrés, l'authentification du courrier électronique ne suffira pas à les arrêter. Pour savoir ce qu'il faut faire pour mettre en place une défense complète, téléchargez notre guide pour mettre fin à la fraude par courrier électronique ici.

2 - L'interaction humaine ou l'ingénierie sociale hors ligne

Toutes les attaques d'ingénierie sociale n'ont pas lieu en ligne. Certains criminels préfèrent lancer leur attaque en personne, en se rendant dans un lieu en utilisant une fausse identité, comme celle d'un entrepreneur ou même d'un employé.

Ces attaques par interaction humaine tentent d'accéder à des fichiers, au réseau ou à d'autres infrastructures sensibles.

L'ingénieur social peut gagner la confiance et accéder au lieu de travail en se présentant à un lieu de rassemblement d'employés ou en approchant un employé en prétendant avoir laissé son badge d'identification à son bureau ou en suivant (élément supprimé) un autre employé pour accéder au bâtiment.

3 - Un exemple d'attaque d'ingénierie sociale passive

Les attaques passives ont lieu lorsque les ingénieurs sociaux attendent et regardent. Cette technique passive est connue sous le nom de "shoulder surfing".

Ils peuvent vous regarder entrer un code PIN à un distributeur automatique, voir votre numéro de carte de crédit dans un café ou mémoriser des noms d'utilisateur, des mots de passe et d'autres informations sensibles pour y accéder plus tard.

Un criminel peut apprendre beaucoup en fouillant les poubelles de votre lieu de travail. Il peut y trouver des informations telles que des factures, des annuaires téléphoniques, des documents confidentiels, des courriels imprimés et des informations beaucoup plus sensibles. Il peut également trouver et utiliser des ordinateurs ou des appareils mobiles dont votre organisation s'est débarrassée pour récupérer des informations sensibles.

Comment se protéger des attaques d'ingénierie sociale ?

La formation des employés à la sensibilisation à l'ingénierie sociale est la meilleure défense contre les attaques de ce type. Proofpoint propose des ressources gratuites pour vous aider, vous et votre équipe, à les combattre. Inscrivez-vous ici.