Ingénierie sociale
L’ingénierie sociale regroupe des techniques utilisées par les pirates afin d’inciter des utilisateurs peu méfiants à leur envoyer des données confidentielles, infectant ainsi leurs ordinateurs avec des malwares ou ouvrant des liens vers des sites infectés.
Le pirate peut duper la victime pour qu’elle :
- Installe des logiciels malveillants
- Fasse un transfert d’argent
- Communique des informations confidentielles ou des informations d’identification
- Accède aux systèmes ou aux locaux
Comment fonctionnent les escroqueries d’ingénierie sociale ?
Les escroqueries d’ingénierie sociale les plus courantes impliquent qu’un hacker se fasse passer pour une personne légitime qui a besoin d’une aide quelconque.
Le hacker pourrait usurper l’identité :
- D’un plombier ou un mécanicien. Le criminel pourrait arriver en uniforme de travail et tenter d’obtenir l’autorisation de se rendre sur un lieu de travail en faisant semblant qu’il a été appelé pour effectuer des réparations.
- De votre PDG ou un autre membre de la direction. Le hacker peut vous envoyer un e-mail ou un SMS qui prétend provenir d’une personne importante, et vous demander de remettre des informations confidentielles ou d’effectuer un paiement.
- D’un membre du service informatique. Un hacker pourrait appeler votre bureau et prétendre être membre de votre service informatique. Il pourrait alors vous demander vos mots de passe ou d’autres informations confidentielles.
- De n’importe quel collègue. Une tactique classique d’ingénierie sociale consiste à simplement traîner dans les lieux communs et à participer à des conversations confidentielles ou à suivre les membres du personnel à travers des portes fermées dans des zones sécurisées.
Comment les hackers rendent-ils leurs escroqueries crédibles ?
Les hackers peuvent utiliser des informations clés pour rendre leurs tentatives d’ingénierie sociale plus susceptibles de réussir.
Par exemple, la technique du pré-texte (Pre-Texting) est fréquemment utilisée par les cybercriminels. Cette technique consiste à embrouiller une personne afin que cette dernière donne au cybercriminel des informations confidentielles.
Ces informations peuvent être diverses :
- Le nom du personnel de l’entreprise. Les noms des employés sont facilement trouvables sur le site Web de l’entreprise ou sur les réseaux sociaux. Un hacker pourrait dire quelque chose du style : « Tristan du service financier était censé m’envoyer des fichiers, mais il est actuellement en vacances et il a dû oublier… »
- Des noms de partenaires ou de clients. Un hacker pourrait suivre les réseaux sociaux de l’entreprise pour obtenir des nouvelles sur les nouveaux clients et partenaires. Ils pourraient alors appeler un employé et dire quelque chose comme : « Je suis votre nouveau membre du service informatique XXX. Pourriez-vous m’aider à trouver le mot de passe du Wi-Fi ? »
- Toute autre information. Si un hacker découvre qu’elle marque est le frigo dans la cuisine du bureau, il pourrait entrer et faire semblant d’être un réparateur, ou s’il découvre le nom du chien du bureau, il pourrait appeler pour faire semblant d’être un vétérinaire.
Vérifiez l’identité de votre interlocuteur
La meilleure chose à faire pour empêcher les attaques d’ingénierie sociale est de toujours vérifier l’identité de la personne qui vous appelle, qui vous envoie un courriel ou qui frappe à votre porte.
Posez-vous la question : Comment puis-je savoir que cette personne est bien la personne qu’elle prétend être ?
Voici d’autres précautions que vous devriez toujours prendre :
- Chaque fois qu’une nouvelle personne vous contacte pour la première fois, vérifiez toujours d’abord son identité ou consultez quelqu’un qui a déjà travaillé avec elle.
- Si un plombier, un mécanicien, un membre du service informatique ou toute autre personne demande à entrer dans les locaux de l’entreprise, demandez toujours à voir une pièce d’identité d’abord.
- Ne partagez jamais vos mots de passe. Un membre légitime du personnel informatique ne demandera jamais à avoir votre mot de passe.
- Ne branchez jamais de périphériques à votre ordinateur, sauf si vous êtes complètement certain de leur propriétaire et de leur contenu.
- Confronter les personnes qui tentent de vous coller quand vous passez une porte sécurisée, ainsi que des personnes qui marcheraient dans les locaux sans pièce d’identité.
- Si vous n’êtes pas certain de la personne à qui vous parlez par téléphone ou par e-mail, rappelez la personne ou l’organisation à qui vous pensez que vous devriez parler directement.
Sensibilisez vos collaborateurs
Oris votre prestataire informatique du nord de la France