Qu’est-ce qu’une attaque d’ingénierie sociale ?
Vous avez vu des gros titres effrayants sur une nouvelle « attaque d’ingénierie sociale » qui fait le tour, mais vous ne savez pas ce que cela signifie réellement ? Alors vous êtes au bon endroit car nous avons créé ce guide pour détailler ce que signifie le terme, et quelques conseils rapides sur la façon d’éviter d’en être victime.
La version courte est qu’une attaque d’ingénieur social est le moment où l’utilisation abusive de l’ordinateur se combine avec la ruse de confiance à l’ancienne. Plus précisément, les attaques d’ingénierie sociale sont des escroqueries qui exploitent la partie la plus vulnérable de tout système technique : l’utilisateur.
Les attaques d’ingénierie sociale peuvent être menées via le Web, le courrier électronique, le téléphone, les SMS ou la messagerie instantanée, ou en personne. Ils s’appuient sur le fait de tromper un utilisateur en lui faisant croire que le mauvais acteur est un représentant honnête, par exemple, d’Amazon ou de Microsoft suffisamment longtemps pour donner au mauvais acteur ses identifiants de connexion, l’accès à son ordinateur ou de l’argent.
Les attaques d’ingénierie sociale peuvent avoir lieu en temps réel, avec quelqu’un qui vous parle activement au téléphone ou qui est physiquement présent à votre bureau ; de manière asynchrone, comme par le biais d’un échange d’e-mails avec un mauvais acteur prétendant être quelqu’un qu’il n’est pas, ou être un piège passif livré via un e-mail, un site Web ou même une clé USB physique.
Kaspersky Total Security – Maintenant 60% de réduction
Protection primée contre les pirates, les virus et les logiciels malveillants. Comprend, VPN gratuit, gestionnaire de mots de passe et Kaspersky Safe Kids.
UTILISEZ le code : KTSQ210 pour économiser 10 % supplémentaires en plus de la réduction déjà fantastique de 50 %
- CODE : KTSQ210
- 60 % de réduction
- 16 £ par an
Voir l’offre
Exemples d’attaques d’ingénierie sociale
L’hameçonnage, dans lequel un mauvais acteur envoie des messages, souvent par e-mail, conçus pour donner l’impression qu’ils proviennent d’une entreprise légitime, avec l’intention de vous faire remettre vos informations de connexion ou d’autoriser un paiement sont des exemples courants d’attaques d’ingénierie sociale. . Ils le font souvent en proposant un accord irrésistible et limité dans le temps ou en menaçant de conséquences désastreuses (comme un trop-payé imminent) pour faire paniquer la victime et se précipiter pour cliquer sans penser à ce qu’elle fait.
Certaines attaques de ce type visent plutôt à introduire des logiciels malveillants sur un PC en convainquant un utilisateur qu’il s’agit d’un logiciel légitime. Lorsque Adobe Flash était encore utilisé, nous avons souvent vu des sites malveillants distribuer des logiciels malveillants sous le couvert d’un téléchargement de lecteur Flash. Une fois que l’utilisateur a été amené à l’installer, le logiciel malveillant peut l’espionner, tenter de compromettre son réseau ou abuser des ressources système pour participer à des botnets, envoyer du spam ou extraire de la crypto-monnaie.
Escroqueries au support technique. Parmi les plus populaires figurent les faux appels d’assistance prétendant provenir de Microsoft. Un exemple tristement célèbre a informé l’utilisateur qu’il avait une grave infection par un logiciel malveillant et l’a « prouver » en demandant à l’utilisateur d’ouvrir l’Observateur d’événements Windows, une visionneuse de journaux qui affiche de nombreuses erreurs et avertissements tout à fait bénins qui semblent intimidants pour quelqu’un qui ne sait pas quoi. ils regardent.
Certaines escroqueries au support technique utilisent des fenêtres contextuelles Web « screenlocker » qui gèlent le navigateur pour désactiver temporairement l’ordinateur d’une victime et lui demander d’appeler un « numéro de téléphone d’assistance officiel », fonctionnant de la même manière qu’un rançongiciel non crypté, qui lui-même utilise des éléments de ingénierie sociale.
« Scareware », une catégorie connexe qui présente souvent des fenêtres contextuelles en ligne vous avertissant que votre PC est infecté par des logiciels malveillants, ainsi qu’un outil « anti-malware » téléchargeable qui est lui-même malveillant.
Faux appels ciblés vers ou depuis l’équipe d’assistance informatique d’une entreprise, par exemple pour demander des identifiants de connexion ou d’autres informations sensibles.
Les attaques d’ingénierie sociale physique peuvent reposer sur la distraction ou l’incongruité, comme l’exemple de Naomi Wu d’un testeur de pénétration légèrement vêtu, se filmant avec une perche à selfie et étant complètement ignorée alors qu’elle valse devant la réception et la sécurité, ou le contraire, se fondant dans le arrière-plan, par exemple en donnant l’impression que vous êtes censé être quelque part en portant un presse-papiers, en marchant délibérément et en portant une haute visibilité pour accéder à un site sécurisé.
Une fois dans un site soi-disant sécurisé, l’acteur malveillant peut accéder à des ordinateurs, des clés ou des données pour compromettre sa cible. L’attaque de la « femme de chambre maléfique » à laquelle Wu fait référence dans sa vidéo implique souvent le personnel réel d’une entreprise (par exemple un hôtel) utilisant leur accès pour compromettre l’appareil électronique de leur cible, mais cela peut également être fait par un imposteur.
Une autre attaque physique, plutôt dépassée par sa date de péremption mais qui ne nécessite aucune interaction humaine, est le « baiting ». Une clé USB infestée de logiciels malveillants est laissée dans un endroit invitant, potentiellement étiquetée pour encourager son chercheur à la brancher sur un PC et à la vérifier. Bien que nous ayons depuis longtemps dépassé l’époque où les fichiers d’exécution automatique de Windows étaient autorisés à s’exécuter à partir d’un support amovible, un programme intelligemment nommé et un fichier Lisez-moi sur le lecteur pourraient toujours convaincre la bonne cible de saboter son propre ordinateur en les exécutant.
Lisez notre Guide de sécurité pour plus de conseils sur la façon de mener une vie en ligne plus sûre.