Source : MeDirect
À l’ère du numérique, les cybercriminels tentent régulièrement d’abuser des internautes. Comment pouvez-vous identifier leurs techniques pour vous protéger ? Chez MeDirect, nous attachons une grande importance à votre sécurité en ligne. C’est pourquoi nous souhaitons vous sensibiliser aux risques de l’ingénierie sociale.
L’ingénierie sociale, qu’est-ce que c’est ?
Dans le domaine de la sécurité informatique, l’ingénierie sociale consiste à tenter de vous tromper. Objectif : vous manipuler et vous faire divulguer des informations confidentielles ou personnelles susceptibles d’être utilisées à des fins frauduleuses. Vous pouvez tout autant être victime d’une attaque d’ingénierie sociale dans le monde réel que dans le numérique.
Bien que la sécurité des systèmes ne cesse de se renforcer, il subsiste un élément susceptible de constituer une porte d’accès pour la manipulation, à savoir vos émotions et en particulier la curiosité, la peur et la cupidité. Les criminels jouent sur ces émotions pour vous persuader de communiquer des informations personnelles, ou à tout le moins sensibles, ou de télécharger un logiciel malveillant.
Tour d’horizon des différentes techniques d’ingénierie sociale
Une des techniques les plus fréquemment utilisées est l’appâtage ou baiting. En échange de la promesse d’une récompense ou d’un accès exclusif à des informations spécifiques, les pirates vous incitent à télécharger un logiciel malveillant ou à partager des informations. Le baiting existe aussi dans le monde réel. Des pirates laissent des dispositifs USB bien en vue dans des lieux publics, que des curieux finissent par ramasser. Ces mêmes curieux ne résistent pas à la tentation de les connecter à leur propre appareil pour savoir ce que ces dispositifs USB contiennent.
Plus souvent, le baiting se fait par e-mail ou sur Internet. Par exemple, vous recevez un message vous annonçant que vous avez gagné un prix ou que vous avez été tiré au sort pour recevoir une récompense. Vous devez juste communiquer vos données personnelles ou cliquer sur un lien pour « finaliser » le processus. Faites preuve d’une extrême prudence si vous recevez un message inattendu vous annonçant que vous avez gagné un prix ou contenant une offre trop belle pour être vraie.
Une autre forme très répandue d’ingénierie sociale est l’hameçonnage ou phishing. En général, le phishing passe par l’e-mail, même s’il se fait aussi par SMS (smishing) et par message vocal (vishing). En général, une attaque de phishing utilise la peur comme levier, plutôt que la curiosité ou la cupidité. Vous êtes mis face à une situation d’urgence ou face à la menace de répercussions négatives pour vous inciter à partager des informations ou à télécharger des fichiers malveillants. Ces attaques suivent bien souvent le même schéma : vous apprenez qu’un de vos comptes a été compromis et que des données sont nécessaires « sur-le-champ » pour remédier à la situation.
Pour minimiser la menace d’une attaque de phishing, vous pouvez installer un logiciel de protection antivirus sur vos appareils. Quelques mesures de précaution de base peuvent aussi aider, telles que vérifier l’adresse e-mail des expéditeurs ou les URL incluses dans les messages. De même, gardez à l’esprit que les communications légitimes d’organisations devraient vous être adressées personnellement et ne devraient jamais vous donner l’impression que l’on vous force à partager des informations sensibles. En cas de doute, contactez toujours l’organisation par un canal de communication sûr.
Une autre forme plus sophistiquée de phishing est le harponnage ou spear phishing. Elle vise en général des membres du management ou des cadres supérieurs d’organisations qui ont accès à des informations sensibles ou privilégiées. Dans ce cas, les escrocs passent beaucoup plus de temps à enquêter sur leur cible pour parvenir à rédiger des messages qui incluent des détails très spécifiques ou qui donnent l’impression d’être envoyés par des personnes importantes, ce qui les rend beaucoup plus difficiles à identifier comme malveillants. Les attaques de spear phishing requièrent beaucoup plus de recherches et d’efforts de la part des hackers. Il peut parfois s’écouler des mois avant qu’ils obtiennent la confiance de leur cible, mais le gain potentiel rend cette technique intéressante malgré tout.
La crainte et la pression sont aussi utilisées dans une autre technique appelée alarmiciel ou scareware. Cette technique consiste à vous bombarder de messages pendant que vous surfez sur Internet pour vous dire que votre appareil a été infecté par un logiciel malveillant. Vous êtes alors invité à cliquer sur un lien de téléchargement pour installer un logiciel d’analyse ou de nettoyage de votre appareil. Bien entendu, le logiciel installé n’a d’utilité que pour les escrocs.
Prenez le temps de réfléchir
Des personnes mal intentionnées existeront toujours et des tentatives d’accéder à vos informations personnelles ou comptes sont inévitables. Cela étant dit, vous pouvez considérablement réduire les risques, notamment en installant un logiciel de protection sur vos appareils et en le mettant à jour. Vous devez aussi faire preuve de prudence et prendre le temps de réfléchir avant d’agir. Posez-vous quelques questions simples telles que « Cette offre est-elle trop belle pour être vraie ? », « Est-ce normal que cette organisation me contacte par ce moyen ? » ou « Ai-je l’impression d’être mis sous pression pour prendre une décision ? ». Cela vous aidera à déceler d’éventuelles attaques d’ingénierie sociale.
Que faire si on vous contacte de façon suspecte par téléphone, par e-mail ou par SMS, soi-disant au nom de MeDirect ? Si vous avez le moindre doute, contactez-nous au 02 518 00 00. Les informations que vous nous donnerez nous aideront à lutter contre la fraude financière. Votre sécurité en ligne ne s’arrête pas à l’ingénierie sociale. Découvrez nos autres conseils sur notre page de Sensibilisation à la sécurité.
