12 types d'attaques d'ingénierie sociale
12 types d'attaques d'ingénierie sociale
Une attaque d'ingénierie sociale est une tactique qui, à la base, repose sur un utilisateur en créant un faux récit qui exploite la crédibilité, la cupidité, la curiosité ou toute autre caractéristique très humaine de la victime. Le résultat final est que la victime transmet volontairement des informations privées à l'attaquant, qu'elles soient personnelles (par ex., nom, e-mail), financières (par ex., numéro de carte de crédit, cryptoportefeuille), ou en installant par inadvertance des malware/backdoors sur son propre système.
Alors que les cybercriminels développent des tactiques de plus en plus sophistiquées pour tromper les individus et les employés, les organisations doivent rester proactives. Dans cet article, nous allons explorer douze des attaques d'ingénierie sociale les plus courantes :
Phishing
Le phishing est un type de cyber-attaque consistant en l'envoi de courriels génériques par des cybercriminels se faisant passer pour des personnes légitimes. Ces courriels contiennent des liens frauduleux qui permettent de voler les informations privées des utilisateurs. Les attaques par hameçonnage sont plus efficaces lorsque les utilisateurs n'en ont pas conscience.
Une attaque de phishing est une mesure ou un ensemble des mesures que prend un pirate informatique pour vous exploiter. Le phishing par email est souvent facile à détecter en raison d’erreurs de grammaire et/ou d’orthographe. Cependant, les attaquants sont de plus en plus sophistiqués techniquement. Les nouvelles attaques se concentrent sur l’exploitation des émotions humaines pour vous pousser à agir : peur, indignation et curiosité.
Spear Phishing
Le spear phishing est l’une des formes de cyberattaques les plus dangereuses et ciblées. Contrairement aux attaques de phishing classiques, qui visent un large public dans l’espoir d'attraper des victimes peu méfiantes, le spear phishing est une forme d’attaque par phishing hautement personnalisée et ciblée, qui cible un utilisateur plutôt qu’un réseau. Les attaquants utilisent des informations détaillées sur leurs victimes pour créer des messages convaincants qui les poussent à divulguer des informations sensibles ou à cliquer sur des liens malveillants.
Appât
Cette attaque utilise une fausse promesse pour attirer une victime via la cupidité ou l'intérêt. Les victimes sont attirées dans un piège qui compromet leurs informations sensibles ou infecte leurs appareils. Un exemple serait de laisser une clé USB infectée par un malware dans un lieu public. La victime peut être intéressée par son contenu et l'insérer dans son appareil, en installant involontairement le malware.
Whaling
Le whaling est un genre spécialisé d’attaque de phishing qui cible les cadres ou les personnes haut placées dans des organisations, comme les dirigeants, les responsables et d'autres leaders. Le terme de « whaling » (pêche à la baleine) se rapporte au fait que l'attaque cible les « gros poissons », qui détiennent généralement une autorité importante et un accès à des informations sensibles. Contrairement aux attaques de phishing traditionnelles qui peuvent cibler un grand volume de personnes lambda, le whaling est une attaque hautement ciblée qui utilise des informations détallées sur la victime pour créer des emails convaincants et personnalisés.
Tailgating
Une attaque de tailgating est une violation de la sécurité physique dans laquelle une personne non autorisée pénètre dans une zone restreinte en suivant de près une personne autorisée. Cette attaque repose sur l'erreur humaine plutôt que sur le piratage ou les vulnérabilités techniques. Contrairement aux cybermenaces techniques, telles que les malware et le phishing, la neutralisation exploite le comportement humain et les failles dans les protocoles de sécurité physique pour infiltrer les organisations non détectées. Les organisations qui ne parviennent pas à mettre en œuvre des contrôles de sécurité physique solides courent un risque élevé de violations qui pourraient mener à d’autres types d’attaques, telles que des malware ou des attaques de phishing.
Smishing
Les attaques de smishing utilisent des SMS, également connus sous le nom de textos. Cette forme d’attaque est devenue de plus en plus populaire, car les utilisateurs ont plus tendance à faire confiance à un message reçu via une application de messagerie sur leur téléphone plutôt que par email.
Escroqueries basées sur l’IA
Les escroqueries basées sur l’IA exploitent la technologie d’intelligence artificielle pour tromper les victimes. Voici les types courants :
- Escroquerie par texte IA : Messages textuels trompeurs générés par l’IA pour hameçonnage d’informations ou propagation de malware.
- Escroquerie à l'image de l'IA : De fausses images créées à l’aide de l’IA pour manipuler et tromper les individus.
- Arnaque à la voix basée sur l'IA : Messages vocaux frauduleux générés par l’IA pour usurper l’identité d’entités de confiance et tromper les victimes.
- Escroquerie par IA et vidéo : Vidéos manipulées créées à l’aide de l’IA, appelées deepfakes, utilisées pour diffuser la désinformation ou cibler des individus.
Vishing
Le vishing, qui est l’abréviation de « voice phishing », est un type d’attaque d’ingénierie sociale qui utilise des appels téléphoniques ou une communication vocale pour inciter quelqu’un à donner des informations sensibles, telles que les coordonnées bancaires, les identifiants de connexion ou les informations d’identification personnelle (PII). Alors que les emails de phishing sont plus fréquemment reconnus, les attaques de vishing sont en augmentation, souvent volant sous le radar. Contrairement à d’autres cyberattaques qui ciblent les canaux numériques, le vishing manipule la confiance humaine grâce à une interaction vocale directe, ce qui en fait un outil puissant pour les escrocs.
Craint
L'effrayement implique que les victimes aient peur des fausses alarmes et des menaces. Les utilisateurs peuvent être trompés en pensant que leur système est infecté par des malware. Ils installent ensuite le correctif logiciel suggéré, mais ce logiciel peut être le malware lui-même, par exemple, un virus ou un spyware. Des exemples courants sont des bannières contextuelles qui apparaissent dans votre navigateur, affichant du texte comme « Votre ordinateur peut être infecté ». Il vous proposera d'installer le correctif ou vous dirigera vers un site Web malveillant.
Prétexte
Le prétexte est une tactique d'ingénierie sociale dans laquelle les attaquants créent un faux scénario pour inciter les victimes à révéler des informations sensibles. Contrairement au phishing, il repose sur l’instauration de la confiance plutôt que sur la peur.
Les cybercriminels peuvent se faire passer pour des personnalités, des collègues ou des fournisseurs pour obtenir des identifiants de connexion, des données financières ou un accès au système. Les organisations peuvent éviter les attaques de prétexte en formant les employés à vérifier les identités, à remettre en question les demandes inhabituelles et à suivre des protocoles de sécurité stricts.
Quishing
Quishing, un terme dérivé du « phishing de code QR », est un type de cyberattaque où les cybercriminels utilisent des codes QR malveillants pour inciter les gens à visiter de faux sites Web ou à télécharger des malwares sur leurs appareils. Ces codes QR malveillants peuvent être intégrés dans des e-mails, des publicités, des flyers et même simplement être ajoutés à des codes QR préexistants pour cibler un utilisateur non méfiant. L'objectif de cette attaque est de voler des informations sensibles telles que des mots de passe, des données financières ou infectent l'appareil d'un utilisateur avec des logiciels malveillants qui peuvent mener à une exploitation ultérieure à l'avenir.
Compromission des emails professionnels (BEC)
Business Email Compromise (BEC) est un type d'arnaque ciblant les entreprises qui effectuent des virements bancaires et ont des fournisseurs à l'étranger. Les comptes de messagerie d’entreprise ou accessibles au public de cadres ou d’employés de haut niveau liés au financement ou impliqués dans des paiements par virement bancaire sont usurpés ou compromis par des enregistreurs de frappe ou des attaques de phishing pour effectuer des transferts frauduleux, entraînant des pertes de centaines de milliers de dollars.
Comment prévenir les escroqueries en ingénierie sociale ?
La plus grande armure que l'on puisse utiliser contre les tactiques d'ingénierie sociale employées par les escrocs en ligne aujourd'hui est d'être bien informé des nombreuses façons dont un cybercriminel pourrait tirer parti de votre vulnérabilité sur les réseaux sociaux. Plus que les conséquences habituelles de la chute des attaques de spam, de phishing et d’infections par des malware, le défi posé par les cybercriminels est d’avoir une compréhension et une compréhension fermes pour préserver la confidentialité de vos données.
En plus de surveiller les signes avant-coureurs ci-dessus, les bonnes pratiques suivantes doivent être suivies :
- Gardez votre système d'exploitation et votre logiciel de cybersécurité à jour.
- Utilisez l'authentification multifacteur et/ou un gestionnaire de mots de passe.
- N’ouvrez pas les emails et les pièces jointes provenant de sources inconnues.
- Définissez vos filtres anti-spam trop hauts.
- Supprimez et ignorez toute demande d’informations financières ou de mots de passe.
- Si vous suspectez quelque chose pendant une interaction, soyez calme et prenez les choses lentement.
- Faites vos recherches en ce qui concerne les sites Web, les entreprises et les particuliers.
- Faites attention à ce que vous partagez sur les réseaux sociaux : utilisez vos paramètres de confidentialité.
- Si vous êtes un employé d'une entreprise, assurez-vous de connaître les politiques de sécurité.
Solution Vision One Platform de Trend Micro
Trend Vision Oneð est une plateforme de cybersécurité qui simplifie la sécurité et aide les entreprises à détecter et à neutraliser les menaces plus rapidement en consolidant plusieurs fonctionnalités de sécurité, en permettant un meilleur contrôle de la surface d'attaque de l'entreprise et en fournissant une visibilité complète sur sa posture de cyber-risque.
La plateforme basée sur le cloud exploite l'IA et la veille sur les menaces de 250 millions de capteurs et de 16 centres de recherche sur les menaces dans le monde entier pour fournir des informations complètes sur les risques, une détection précoce des menaces et des options automatisées de réponse aux risques et aux menaces dans une seule solution.