Qu'est-ce que l'ingénierie sociale ?

Selon des études récentes, les cybercriminels utilisent des techniques d'ingénierie sociale pour mener 98 % des cyberattaques, ce qui en fait un thème de réflexion essentiel pour les entreprises et les utilisateurs. Si votre organisation est un prestataire de services infogérés (MSP), nous vous invitons à découvrir comment fonctionne l'ingénierie sociale et ce que vous pouvez faire pour aider vos clients à protéger leur entreprise contre ces attaques. 

Quelques statistiques sur l'ingénierie sociale

• 98 % des cyberattaques reposent sur l'ingénierie sociale.
• 43 % des professionnels de l'informatique ont déclaré avoir été ciblés par des programmes d'ingénierie sociale au cours de l'année écoulée.
• 43 % des professionnels de l'informatique ont déclaré avoir été ciblés par des mécanismes d'ingénierie sociale l'année dernière.
• 43 % des attaques de phishing/ingénierie sociale visaient les petites entreprises.
• Source: PurpleSec, Statistiques sur la  cybersécurité en 2021

L'ingénierie sociale consiste à tromper une personne (en personne, au téléphone ou en ligne) pour l'amener à faire quelque chose qui la rendra vulnérable à d'autres attaques. Dans le monde numérique, il est plus facile de piéger les gens en ligne que dans la vie réelle, ce qui fait de l'ingénierie sociale en ligne une pratique courante et dangereuse.

L'ingénierie sociale tire parti des émotions des gens pour les inciter à faire quelque chose afin qu'un criminel puisse obtenir un accès physique à des bureaux et bâtiments privés et/ou un accès en ligne aux systèmes d'une entreprise. Voici quelques techniques d'ingénierie sociale courantes que ces criminels utilisent pour duper les individus, obtenir des renseignements pour lancer d'autres attaques, extorquer des données d'identification et/ou voler des données ou de l'argent.

Susciter la peur. Vous recevez un courriel d'une personne disant qu'elle fait partie des services des impôts et que vous serez immédiatement arrêté si vous ne fournissez pas votre numéro de carte de crédit pour payer des arriérés d'impôts.

Tirer profit de la cupidité. Vous recevez un message via Facebook Messenger vous indiquant que vous avez gagné un ordinateur portable gratuit et vous invitant à cliquer sur le lien <malveillant> afin de fournir d'autres informations personnelles pour le recevoir.

Profiter de votre curiosité. Vous recevez un SMS de FedEx indiquant qu'ils ne sont pas en mesure de livrer votre colis postal car l'adresse en leur possession n'est pas correcte. Le message contient un lien qui vous permet de fournir votre adresse et d'autres informations personnelles, ou un lien vers un site malveillant qui infecte automatiquement l'appareil de l'utilisateur avec un logiciel malveillant.

Demander de l'aide. Vous recevez un SMS de ce que vous pensez être un collègue (qui est en fait un cybercriminel se faisant passer pour votre collègue) vous disant qu'il se trouve dans un pays étranger, qu'il a été volé et qu'il a besoin d'argent pour rentrer chez lui. Le message vous demande de cliquer sur un lien qui vous permettra de transférer des fonds ou de payer par carte de crédit.

Vous inciter à ressentir de l'empathie ou de la sympathie. Vous utilisez votre clé pour entrer dans vos bureaux et une femme bien habillée et agitée vous suit en déclarant qu'elle a perdu sa clé, qu'elle est en retard pour une réunion importante et qu'elle compte sur votre sympathie pour la laisser entrer dans le bâtiment. 

"L'ingénierie sociale est l'art d'exploiter la psychologie humaine, plutôt que les méthodes de piratage technique, pour accéder à des bâtiments, des systèmes ou des données."   - CSO Online

Les attaques d'ingénierie sociale constituent la première étape que les attaquants utilisent pour collecter un certain type d'informations privées qui peuvent être utilisées pour une attaque ultérieure, telle qu'une attaque de phishing. Par exemple, si le pirate parvient à inciter un employé à fournir des informations sur son mot de passe, il utilisera ces informations pour accéder à l'appareil de l'employé et lancer d'autres attaques sur le réseau de l'entreprise. Les attaques par ingénierie sociale peuvent prendre plusieurs formes.

Les attaques par appât attirent les gens en leur proposant des produits ou des services attrayants, à prix réduit, voire gratuits, et les incitent à réagir en cliquant sur un lien <malicieux> ou en donnant des informations personnelles, comme un numéro de carte de crédit.

Le scareware est un type d'attaque d'ingénierie sociale qui "effraie" un utilisateur pour l'amener à faire une action qui aboutira à une attaque. Par exemple, vous travaillez sur votre ordinateur et une publicité s'affiche pour ce qui semble être un fournisseur légitime de logiciels malveillants, vous disant que votre ordinateur est infecté et que vous devez télécharger une version d'essai gratuite pour supprimer le logiciel malveillant. Une fois que vous avez cliqué sur le lien pour télécharger cette version d'essai gratuite, vous voilà en fait infecté par un logiciel malveillant.

Une intrusion physique est une attaque  menée en personne où le criminel se fait passer pour une personne d'autorité ou une personne en détresse afin de convaincre un individu d'exécuter un ordre ou de lui apporter de l'aide. Par exemple, un agresseur pourra se faire passer pour un policier et ordonner à la personne chargée de l'accueil de lui autoriser l'accès à des bureaux sous prétexte qu'un crime est en cours.

Les attaques prétextes sont utilisées par les cybercriminels pour établir une connexion de confiance avec une cible donnée afin d'obtenir des données personnelles ou sensibles ou d'inciter la cible à exécuter une opération sensible. Tout d'abord, l'attaquant fait des recherches sur la cible pour recueillir des informations personnelles, mais publiques, telles que son employeur, ses collègues, ses banques et son cercle d'amis. Ensuite, l'attaquant crée un personnage en ligne, se faisant passer pour une personne ou une entreprise de confiance et incite l'utilisateur à effectuer une action. Par exemple, Katherine travaille dans le service financier de l'entreprise ABC et le président de l'entreprise lui envoie un message urgent lui demandant de transférer des fonds à l'un de ses partenaires. Croyant que cet e-mail est sans danger, Katherine transfère l'argent comme demandé, pour découvrir plus tard qu'elle a été victime d'une attaque prétexte.

Voici plusieurs exemples d'attaques d'ingénierie sociale parmi les plus coûteuses de ces dernières années.

Google et Facebook ont été victimes de la plus grande attaque d'ingénierie sociale de tous les temps. Un pirate lituanien et son équipe ont créé une fausse société, se faisant passer pour un fabricant d'ordinateurs qui travaillait avec les deux entreprises. L'équipe a également créé de faux comptes bancaires d'entreprise, puis a facturé aux sociétés des produits et des services - que le véritable fabricant fournissait - mais leur a demandé de déposer de l'argent sur de faux comptes bancaires. Entre 2013 et 2015, les attaquants ont escroqué les deux géants de la technologie de plus de 100 millions de dollars.

En 2020, la juge et animatrice de télévision Shark Tank, Barbara Corcoran, a été victime d'une attaque d'ingénierie sociale qui lui a coûté près de 400 000 dollars. L'attaquant a créé une adresse électronique qui semblait appartenir à l'assistant de Corcoran. L'e-mail contenait une fausse facture de FFH Concept GmbH - une société allemande légitime - d'un montant de 388 700,11 dollars pour des rénovations immobilières. Cette demande a semblé légitime au comptable - car Corcoran avait investi dans l'immobilier - et a viré l'argent sur le compte bancaire indiqué dans l'email. L'escroquerie n'a été découverte que lorsque la comptable a mis en copie la véritable assistance de Corcoran dans sa réponse au courriel original. 

En 2019, la Toyota Boshoku Corporation, un important fournisseur de pièces automobiles Toyota, a signalé que des pirates ont dupé l'entreprise par courriel en convainquant un employé ayant une autorité financière de modifier les informations du compte dans le cadre d'un transfert électronique de fonds. L'entreprise a perdu 37 millions de dollars.

En 2018, le comté de Cabarrus, en Caroline du Nord, a reçu un courriel provenant des fournisseurs du comté, réclamant des versements sur un nouveau compte bancaire. L'email était malveillant, et les pirates se sont fait passer pour les fournisseurs du comté. Le comté de Cabarrus a payé 1,7 million de dollars en suivant les instructions de l'email, après quoi l'argent a été détourné vers d'autres comptes.    

La meilleure façon de repérer une attaque par ingénierie sociale est de former et d'éduquer les utilisateurs afin qu'ils "réfléchissent avant de cliquer sur un lien". Les utilisateurs doivent être sensibilisés à :

• Comprendre que la gratuité n'existe pas.
• Ne jamais ouvrir un courriel que vous n'attendez pas et/ou qui provient d'une personne que vous ne connaissez pas.
• Vérifier l'authenticité de toute demande de transfert de fonds par d'autres canaux, par exemple, valider par téléphone ou envoyer un courriel distinct au demandeur - en utilisant le compte de courriel que vous connaissez - pour confirmer.
• Analyser tout courrier électronique demandant des informations personnelles et/ou sensibles en effectuant des recherches sur d'autres canaux en ligne, tels que Google.
• Ne jamais installer un logiciel piraté ou un logiciel que vous ne connaissez pas.

En complément de la sensibilisation et de la formation des employés, une entreprise a besoin d'une protection multicouche pour mettre fin aux attaques par ingénierie sociale. Cela suppose une combinaison de :

Un logiciel anti-malware pour protéger les systèmes, les applications et les données contre les attaques malveillantes, notamment en empêchant les utilisateurs de se rendre sur des sites malveillants.

Les pare-feu pour empêcher tout accès non autorisé aux systèmes de l'entreprise.

Les filtres de courrier électronique qui analysent les courriels pour identifier les contenus de spam et de phishing et les isolent dans un dossier séparé. Les utilisateurs doivent s'assurer que leurs filtres de spam sont réglés à un niveau élevé et qu'ils vérifient régulièrement les courriels légitimes dans leurs dossiers de spam.

L'authentification multifactorielle, qui exige que les utilisateurs fournissent au moins deux éléments de preuve pour vérifier qu'ils sont bien ceux qu'ils prétendent être.

Des correctifs logiciels appliqués régulièrement pour que le système d'exploitation et les applications soient toujours à jour.

Spécialement conçu pour les MSP, Acronis Cyber Protect Cloud intègre en une seule solution le meilleur de la sauvegarde, un antimalware basé sur une intelligence machine (MI) et la gestion de la protection. Incluse gratuitement ou sur une base de paiement à l'usage, Acronis Cyber Protect Cloud vous permet de créer des services pour protéger les systèmes, les applications et les données de vos clients.

Vous pouvez étendre votre gamme de services pour répondre davantage aux besoins de vos clients grâce à des packs de protection avancée qui élargissent leurs fonctionnalités. En ajoutant des packs de protection avancée tels que Advanced Backup, Advanced Security, Advanced Disaster Recovery, Advanced Email Security et Advanced Management à Acronis Cyber Protect Cloud, vous pouvez compléter et personnaliser vos services pour offrir le niveau optimal de cyberprotection pour chaque client et chaque charge de travail.

Installée avec un seul agent et gérée via une seule console, la gestion centralisée d'Acronis Cyber Protect Cloud vous permet de protéger intégralement les systèmes et les données de vos clients sans avoir à jongler avec plusieurs solutions. Un unique tableau de bord offre la visibilité et le contrôle nécessaires pour assurer une cyberprotection complète, de la création de sauvegardes locales et dans le cloud à la neutralisation des attaques de logiciels malveillants de type " zero-day " grâce à des défenses et des anti logiciels malveillants basés sur l'IM.