L’ingénierie sociale, une menace invisible : tendances et évolutions

Comment les cybercriminels utilisent l’ingénierie sociale pour cibler les entreprises? 

Qu’est-ce que l’ingénierie sociale ?

L’ingénierie sociale est l’une des menaces les plus sournoises qui pèsent sur les entreprises, en particulier pour les TPE, PME et ETI. Contrairement aux attaques informatiques conventionnelles qui exploitent des vulnérabilités techniques, l’ingénierie sociale cible la psychologie humaine pour accéder à des informations confidentielles, des systèmes informatiques et compromettre la sécurité des entreprises. L’ingénierie sociale est une approche d’attaque qui repose sur la manipulation et la tromperie des individus pour obtenir des informations sensibles ou accéder à des systèmes informatiques. Les cybercriminels utilisent diverses techniques pour abuser de la confiance des utilisateurs, les incitant à divulguer des informations confidentielles ou à effectuer des actions préjudiciables. L’ingénierie sociale représente l’une des méthodes les plus répandues et efficaces pour accéder à des informations confidentielles. Les statistiques révèlent que les attaques combinant l’ingénierie sociale et le phishing sont extrêmement efficaces et engendrent des pertes financières considérables pour les entreprises. Voici quelques chiffres illustrant l’ampleur de l’ingénierie sociale :

• L’ingénierie sociale est à l’origine de 98 % des attaques informatiques.
• Plus de 70 % des violations de données commencent par des attaques de phishing ou d’ingénierie sociale.
• En 2021, Google a recensé plus de 2 millions de sites de phishing.
• Environ 43 % des e-mails de phishing usurpent l’identité d’entités connues, telles que Microsoft
• Les PME  de moins de 100 salariés sont 3 fois plus susceptibles d’être la cible de l’ingénierie sociale
• Une étude du Cyber Security Hub a révélé que 3 professionnels de la cybersécurité sur 4 considéraient l’ingénierie sociale ou les cyberattaques de phishing comme la menace « la plus dangereuse » pour la cybersécurité de leur entreprise.

Quelles sont les principales techniques d’ingénierie sociale utilisées par les cybercriminels ?

Cette stratégie principalement basée sur le facteur humain se présente sous différentes formes. Voici quelques exemples courants :

• Phishing et spear-phishing : Le phishing est l’une des techniques les plus utilisées par les cybercriminels pour mener des attaques d’ingénierie sociale. Ils envoient des e-mails ou des messages frauduleux qui semblent provenir d’une source légitime comme une banque, une entreprise ou une institution gouvernementale. Ces messages incitent les destinataires à divulguer des informations confidentielles, telles que des identifiants de connexion ou des données financières. Elle évolue constamment, ce qui rend sa détection et sa prévention de plus en plus complexes. Les cybercriminels utilisent diverses techniques pour rendre ces e-mails de phishing convaincants, notamment la copie de logos, la création de sites web frauduleux qui imitent ceux des entreprises ciblées, et la rédaction de messages d’urgence pour inciter à une action immédiate. Selon le rapport annuel du Bureau Fédéral des Investigations sur les cyberattaques de 2022, elle engendre en moyenne des pertes évaluées à 2,7 milliards de dollars par victime. C’est la menace la plus onéreuse.
• Vishing ou smishing : d’autres variantes du phishing, qui s’appuient sur la voix et les sms. Les hackers se font passer pour des personnes de confiance, comme des agents de support technique ou des ressources humaines pour voler des informations confidentielles.
• Pretexting : le pretexting est une autre technique d’ingénierie sociale couramment utilisée. Les cybercriminels se font passer pour des individus de confiance, comme des collègues de travail, des employés d’une entreprise ou même des fournisseurs. Ils créent une fausse identité et inventent des scénarios pour tromper les victimes et obtenir des informations sensibles. Par exemple, un attaquant pourrait se faire passer pour un responsable des ressources humaines et prétendre avoir besoin d’informations sur les employés. Les victimes, pensant parler à un collègue de confiance, pourraient divulguer des données personnelles sans se douter de l’arnaque
• Baiting : Le baiting consiste à offrir quelque chose d’attirant aux victimes pour les inciter à divulguer des informations sensibles. Cela peut prendre la forme de fichiers comme  des documents professionnels, des vidéos ou des logiciels, mais qui en réalité contiennent des logiciels malveillants. Une fois que les victimes les ouvrent, leurs systèmes sont compromis.
• Whaling : la cible de cette technique est précise, les hackers cherchent à attaquer les plus hauts dirigeants pour leur donner un accès privilégié aux informations les plus confidentielles d’une organisation.

Quels sont les risques potentiels pour une entreprise d’une attaque par ingénierie sociale?

Une attaque par ingénierie sociale peut avoir des conséquences graves pour une entreprise.

1. Fuite de données sensibles : Les attaques d’ingénierie sociale visent souvent à obtenir des informations confidentielles. Si elles réussissent, cela peut entraîner la fuite de données sensibles, telles que des informations sur les clients, les employés, les finances de l’entreprise, ou des secrets commerciaux.
2. Perte financière : Les cybercriminels peuvent utiliser l’ingénierie sociale pour escroquer de l’argent à l’entreprise, que ce soit par le biais de fraudes, de transferts de fonds non autorisés ou de paiements à des fournisseurs frauduleux.
3. Atteinte à la réputation : Les attaques d’ingénierie sociale réussies peuvent gravement nuire à la réputation de l’entreprise. Les clients et les partenaires commerciaux peuvent perdre confiance en l’entreprise si des données sensibles sont divulguées ou si elle est impliquée dans des escroqueries.
4. Interruption des opérations : Certaines attaques d’ingénierie sociale ont pour objectif de perturber les opérations de l’entreprise. Cela peut se traduire par une interruption des services, une perte de productivité et des coûts importants pour rétablir la normale.
5. Responsabilité juridique : Les entreprises peuvent être tenues responsables des atteintes à la vie privée de leurs clients ou des conséquences financières découlant d’une attaque réussie par ingénierie sociale. Cela peut entraîner des poursuites judiciaires.
6. Infiltration de réseaux et de systèmes : Les attaques d’ingénierie sociale peuvent permettre aux cybercriminels de s’introduire dans les réseaux et les systèmes de l’entreprise, ce qui peut conduire à des activités de cyberespionnage, de vol de propriété intellectuelle ou d’autres formes d’intrusion.
7. Propagation de malwares : Les attaquants peuvent utiliser l’ingénierie sociale pour inciter les employés à télécharger des logiciels malveillants, ce qui peut compromettre la sécurité des systèmes informatiques et des données.
8. Perte de données financières ou comptables : Les attaques d’ingénierie sociale peuvent cibler des employés responsables des finances ou de la comptabilité, ce qui peut entraîner une perte de données financières cruciales ou des manipulations frauduleuses.

Pourquoi le télétravail augmente-t-il les risques d’attaque par ingénierie sociale ?

Le télétravail a considérablement modifié la manière dont les collaborateurs interagissent avec les technologies de l’information et les systèmes informatiques de leur entreprise. Le télétravail présente de nombreux avantages, il peut également augmenter les risques d’attaque par ingénierie sociale pour plusieurs raisons.bLorsque les employés travaillent à distance, ils sont souvent seuls et peuvent être plus vulnérables aux attaques d’ingénierie sociale. L’absence de collègues à proximité pour demander conseil ou vérifier des informations peut rendre plus difficile la détection des tentatives d’escroquerie. De plus, certains employés peuvent utiliser leurs ordinateurs personnels pour le travail à distance, ce qui peut être moins sécurisé que les ordinateurs fournis par l’entreprise. Les cybercriminels peuvent exploiter ces appareils pour lancer des attaques. Les réunions virtuelles, les e-mails et les messages en ligne sont les principaux moyens de communication en télétravail. Les cybercriminels utilisent ces canaux pour envoyer des attaques d’ingénierie sociale, telles que des e-mails de phishing, des invitations de réunion frauduleuses, ou des messages de collaboration malveillants. Les employés en télétravail ont souvent moins d’accès à la formation en sécurité informatique et à la sensibilisation aux menaces. Ce qui les rend moins préparés à identifier et à signaler les tentatives d’ingénierie sociale. Enfin, les collaborateurs en télétravail peuvent utiliser des réseaux Wi-Fi publics ou non sécurisés, ce qui accroît le risque de surveillance ou d’interception des communications.

Pour atténuer ces risques, les entreprises doivent mettre en place des mesures de sécurité spécifiques au télétravail, telles que des politiques de sécurité pour les ordinateurs personnels, des formations en sécurité adaptées au télétravail, et des solutions de sécurité de l’e-mail pour détecter et bloquer les attaques d’ingénierie sociale. La sensibilisation des employés aux risques et aux meilleures pratiques en matière de cybersécurité reste essentielle pour prévenir les attaques par ingénierie sociale, quel que soit le lieu de travail.

Quelques exemples d’attaques ces dernières années

• En 2022 , attaque par ingénierie sociale chez Uber :  L’individu a déclaré au New York Times qu’il avait utilisé l’ingénierie sociale : une méthode de phishing courante qui s’attaque à la nature humaine en manipulant les individus pour les pousser à partager des informations personnelles et des confidentielles. Le pirate a contacté un employé via WhatsApp, prétendant être d’Uber IT, et a convaincu la personne de se connecter à une fausse page Web d’Uber. Cela a permis au pirate de récupérer le mot de passe de l’employé, puis de le duper pour qu’il authentifie l’accès avec l’application d’authentification multifacteur (MFA) de l’entreprise.
• En 2020, Twitter a été la cible d’une attaque de type « vishing » (hameçonnage téléphonique): L’attaque a entraîné le vol de plus de 118 000 dollars en bitcoins aux utilisateurs de la plateforme. Environ 130 comptes Twitter, tous certifiés et appartenant à des personnalités célèbres, ont été compromis. Des personnalités comme’Elon Musk, Barack Obama, Kim Kardashian et Warren Buffet ont été touchées. Les attaquants ont orchestré une campagne de hameçonnage en incitant les abonnés à effectuer des paiements en bitcoins vers un portefeuille spécifique, promettant un doublement des sommes transférées. Pour obtenir les informations d’administration de ces comptes certifiés, les fraudeurs ont suivi un processus en deux étapes. Dans un premier temps, ils ont utilisé une technique de « vishing » (hameçonnage téléphonique) en ciblant des employés de niveau inférieur chez Twitter, qui n’avaient pas accès aux outils d’administration. Ces employés ont divulgué leurs informations d’identification, permettant ainsi aux hackers de contacter des employés de rang supérieur ayant des autorisations pour utiliser des outils d’administration. Cela a permis aux fraudeurs de pénétrer les systèmes internes de l’entreprise.
• En 2017, Facebook et Google ont été les victimes d’attaques de type spear-phishing / « BEC » (Business E-mail Compromise – compromission des e-mails professionnels). Un pirate informatique lituanien a réussi à escroquer Facebook et Google. Pour accomplir son méfait, il s’est fait passer, par le biais de messages, pour un employé de Quanta Computer, une entreprise taïwanaise spécialisée dans l’électronique avec laquelle les deux sociétés collaboraient régulièrement. À l’aide de faux contrats, de fausses factures et de fausses relances adressées aux services comptables, le pirate a réussi à obtenir 100 millions de dollars. Afin de ne pas éveiller les soupçons, il avait même ouvert des comptes bancaires à Taïwan.

L’avenir de l’ingénierie sociale : Tendances et évolutions

Les deepfakes sont des contenus multimédias, tels que des vidéos ou des enregistrements audio, créés à l’aide de l’intelligence artificielle pour imiter des personnes ou des scénarios de manière très convaincante. Les cybercriminels utilisent les deepfakes pour créer des enregistrements falsifiés de dirigeants d’entreprise ou de collègues, incitant les employés à prendre des mesures préjudiciables, telles que le transfert de fonds ou la divulgation d’informations sensibles. Pour contrer les deepfakes, il est essentiel de mettre en place des protocoles de vérification rigoureux pour confirmer l’authenticité des médias et de sensibiliser les employés aux risques associés aux contenus multimédias falsifiés.

Les attaques basées sur l’Intelligence Artificielle: L’IA est devenue un outil puissant pour les cybercriminels, qui l’utilisent pour automatiser et personnaliser leurs attaques. Les attaques basées sur l’intelligence artificielle peuvent générer des e-mails de phishing sophistiqués, ciblant spécifiquement des individus ou des organisations, en utilisant des informations collectées sur les médias sociaux et d’autres sources. La détection de ces attaques nécessite des solutions de sécurité de pointe, capables de repérer les schémas d’attaque basés sur l’intelligence artificielle et de bloquer les menaces avant qu’elles n’atteignent les boîtes de réception des utilisateurs.

Comment identifier et  protéger son entreprise des attaques par ingénierie sociale ?

La détection de l’ingénierie sociale est essentielle pour protéger les organisations, en particulier les TPE, PME et ETI, contre les menaces de cyberattaque. Il existe plusieurs outils et technologies conçus pour détecter et contrer les attaques d’ingénierie sociale. En combinant des solutions de sécurité de l’e-mail avancées avec des programmes de formation et de sensibilisation, les entreprises peuvent renforcer leur sécurité contre l’ingénierie sociale. La vigilance continue et la préparation aux menaces émergentes sont essentielles pour protéger les données et les systèmes contre les attaques subtiles de l’ingénierie sociale

Les solutions de sécurité de l’e-mail avancées comme Mailsafe d’Altospam sont l’un des piliers de la défense contre l’ingénierie sociale.  :

• Filtrage intelligent : Ces solutions utilisent des algorithmes avancés pour analyser les e-mails à la recherche de contenus malveillants, de pièces jointes suspectes ou de schémas d’attaque.
• Analyse comportementale : Certaines solutions surveillent le comportement des utilisateurs et des e-mails entrants pour détecter des activités anormales.
  • Détection précoce : Ces solutions identifient les comportements anormaux avant qu’une attaque ne se produise.
  • Adaptabilité : Elles peuvent s’adapter aux nouvelles menaces en analysant en permanence les modèles de comportement.
  • Réduction des fausses alertes : En se concentrant sur les comportements anormaux, ces solutions réduisent les fausses alertes.
• Protection contre le phishing : Elles sont conçues pour repérer les tentatives de phishing en examinant le contenu et les liens des e-mails.
• Formation et sensibilisation des collaborateurs : Certaines solutions offrent des fonctionnalités de formation et de sensibilisation des utilisateurs pour les aider à reconnaître les attaques d’ingénierie sociale.
  • Reconnaissance des signaux : Les employés formés sont plus susceptibles de reconnaître les tentatives d’ingénierie sociale.
  • Réduction des erreurs humaines : La formation contribue à réduire les erreurs humaines pouvant entraîner des compromissions de sécurité.

L’avenir de l’ingénierie sociale présente des défis,  avec une combinaison de sensibilisation au phishing et de technologies avancées comme Mailsafe d’Altospam (anti-phishing, anti-spearphishing, anti-malware et anti-ransomware), les entreprises peuvent renforcer leur sécurité et se prémunir contre les menaces émergentes. Il est essentiel de rester informé des nouvelles tendances et de s’adapter rapidement pour protéger les données et les systèmes contre les attaques d’ingénierie sociale.