Qu’est-ce que le pretexting ?
Définition du Pretexting
Le prétexte est un type d'ingénierie sociale dans lequel les attaquants créent un scénario manufacturé, ou « prétexte », pour manipuler les individus afin qu'ils divulguent des informations sensibles. Contrairement aux méthodes de piratage traditionnelles qui exploitent les vulnérabilités du système, le prétexte cible les vulnérabilités humaines, en tirant parti de la tromperie pour extraire des informations sensibles.
Comprendre le prétexte : Une tactique d'ingénierie sociale
Avez-vous déjà reçu un appel non sollicité de la part d’une personne du « support technique » concernant un problème qui nécessite votre attention immédiate ? Peut-être que l'appelant commence à demander des informations personnelles ou des détails de compte pour s'occuper du problème immédiatement. Ce scénario résume une méthode d’ingénierie sociale appelée prétexte.
Principalement par téléphone, le prétexte implique la création d’une situation qui convainc la cible de révéler des informations personnelles ou précieuses. L'escroc fera semblant d'être quelqu'un de légitime ou de familier pour que la cible se sente à l'aise : un agent du service client de son FAI, un collègue d'une succursale ou d'un bureau différent, ou quelqu'un du support technique de l'entreprise. Les criminels exploitent parfois des informations sur la cible à l'avance pour rendre l'escroquerie plus crédible.
Le problème est de savoir comment distinguer un escroc d'un appelant légitime. En général, si vous recevez un appel non sollicité et que l’appelant commence à demander des informations personnelles (numéro de sécurité sociale, questions de sécurité du compte), vous devez vérifier si l’appelant est légitime. Raccrochez et appelez l'entreprise elle-même pour confirmer s'il y a vraiment un problème.
Fonctionnement du prétexte : Une répartition étape par étape
- Recherche de la cible : les attaquants mènent des recherches approfondies à l'aide de ressources telles que l'OSINT (Open-Source Intelligence), les réseaux sociaux ou les violations de données antérieures pour recueillir des informations personnelles ou d'entreprise.
- Usurpation d'identité – Les attaquants supposent l'identité d'une entité de confiance, telle que le personnel informatique, un PDG ou un agent d'application de la loi. En tirant parti de l’autorité, ils créent un sentiment de légitimité, ce qui rend les victimes plus susceptibles de se conformer.
- Usurpation d'identité – Pour renforcer la crédibilité, les attaquants utilisent l'usurpation d'identité d'appelant, l'usurpation d'identité d'email ou de faux profils en ligne. La technologie Deepfake et les voix générées par l’IA compliquent encore davantage la détection.
- Gagner la confiance de la cible : grâce à la manipulation psychologique, les attaquants établissent leur crédibilité et réduisent les soupçons.
- Extraction d'informations sensibles : la victime fournit sans le savoir des détails confidentiels, pensant qu'elle s'engage avec une entité légitime.
- Exploiter les données obtenues : les informations volées sont utilisées pour le vol d'identité, la fraude financière, l'espionnage d'entreprise ou d'autres cyberattaques.
Exemples courants d'attaques de prétexte
Vishing
Le vishing vocal, également connu sous le nom de vishing, est un type d’attaque d’ingénierie sociale dans laquelle les attaquants utilisent des appels téléphoniques ou des communications vocales pour inciter quelqu’un à divulguer des informations sensibles, telles que les coordonnées bancaires, les identifiants de connexion ou les informations d’identification personnelle (PII).
Phishing
Le phishing est un type de cyberattaque où les cybercriminels utilisent des emails ou des messages frauduleux pour inciter les individus à divulguer des informations sensibles. Ces emails ou messages contiennent des liens malveillants qui peuvent voler les informations privées de l'utilisateur. Les attaques de phishing sont plus efficaces lorsque les utilisateurs ne savent pas que cela se produit.
Figure 1. Chaîne d’infection de l’attaque de phishing de Heatstroke ; notez que la chaîne d’infection peut changer en fonction des propriétés de l’utilisateur/du comportement
Pivotement
Une attaque de neutralisation de la cybersécurité est une violation de la sécurité physique dans laquelle une personne non autorisée accède physiquement à une zone restreinte en suivant de près une personne autorisée. Les attaquants peuvent se faire passer pour de nouveaux employés, des chauffeurs-livreurs ou des employés de maintenance pour tromper les employés autorisés.
Appât
L’appât désigne l’acte de cybercriminels qui incitent les victimes à interagir avec des appareils physiques ou des actifs numériques compromis. Les attaquants utiliseront le prétexte pour rendre l’appât plus attrayant pour la victime en étiquetant une clé USB avec un nom trompeur, tel que « Confidentiel » ou « Salaires des employés » dans les environnements d’entreprise, pour encourager les victimes à le brancher.
Escroqueries romantiques
Une escroquerie romantique est une tactique d’ingénierie sociale selon laquelle un attaquant utilisera de faux profils de réseaux sociaux ou de rencontres pour rechercher des victimes non méfiantes et établir une relation romantique avec elles. Il peut falloir des semaines ou des mois pour que l'assaillant gagne la confiance de la victime, mais une fois cela atteint, il demandera de grandes sommes d'argent pour une fausse urgence ou des cadeaux.
Escroqueries par escargots
L'escarmouche est un type d'arnaque d'ingénierie sociale qui implique d'intimider les victimes avec de fausses alarmes et menaces. Les utilisateurs peuvent penser que leur système est infecté par des logiciels malveillants. Ils seront ensuite encouragés à visiter des sites Web malveillants pour télécharger un correctif, mais ils finissent par télécharger des logiciels malveillants ou divulguer des informations sensibles telles que les détails de la carte.
Prétexte et phishing : Quelle est la différence ?
Bien que les deux soient des tactiques d’ingénierie sociale, le prétexte implique une interaction et une tromperie directes et personnalisées, tandis que le phishing utilise généralement des e-mails de masse avec des liens malveillants. Cependant, les cybercriminels combinent souvent les deux méthodes dans des attaques multicouches.
Comment prévenir les attaques par prétexte
DMARC (authentification, reporting et conformité des messages basés sur le domaine)
DMARC est un protocole d'authentification d'email qui aide à éviter l'usurpation d'email en vérifiant l'authenticité des expéditeurs d'email. DMARC fonctionne en conjonction avec SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail) pour assurer l'authentification et l'intégrité des emails.
- SPF (Sender Policy Framework) : S'assure que seuls les serveurs de messagerie autorisés peuvent envoyer des messages au nom du domaine d'une organisation.
- DKIM (DomainKeys Identified Mail) : Utilise des signatures cryptographiques pour vérifier que les messages électroniques n’ont pas été modifiés en transit.
- Application de la politique DMARC : Les organisations peuvent définir des politiques (aucune, quarantaine ou rejet) pour dicter la manière dont les e-mails qui échouent à l'authentification doivent être traités. Une politique DMARC stricte peut réduire considérablement la probabilité que les attaquants utilisent l'usurpation de domaine pour les attaques de prétexte.
Formation à la sensibilisation à la sécurité et pratiques de vérification
Une formation régulière sur la cybersécurité pour former les employés à identifier les arnaques par prétexte et à y répondre peut aider à protéger votre entreprise. Les organisations doivent insister sur :
- Identifier les demandes suspectes et vérifier leur légitimité.
- Contacter le demandeur via des canaux officiels avant de partager des données sensibles ou d’autoriser des transactions financières.
- Reconnaître les techniques de manipulation psychologique utilisées dans les attaques de prétexte.
Authentification multifacteur (MFA)
La MFA ajoute une couche de sécurité supplémentaire en exigeant plusieurs facteurs d’authentification, tels qu’un code d’accès à usage unique ou une vérification biométrique, pour accéder aux comptes. Cela réduit considérablement le risque d'utilisation abusive d'informations d'identification volées.
Signaler une activité suspecte
Les organisations doivent encourager les employés à signaler tout appel, e-mail ou message suspect à l’équipe de sécurité informatique pour une enquête plus approfondie. Disposer d'un mécanisme de reporting proactif aide les organisations à détecter les menaces potentielles et à y répondre avant qu'elles ne s'intensifient.