Êtes-vous bombardé de courriels d’hameçonnage? Craignez-vous que même l’hameçonnage le plus élémentaire puisse infiltrer votre organisation? Dans ce billet de blogue, nous expliquons comment fonctionne l’ingénierie sociale, comment les cybercriminels ciblent vos émotions et comment repérer les tentatives d’hameçonnage potentielles.

Qu’est-ce que l’ingénierie sociale?

L’ingénierie sociale est un moyen très efficace pour les cybercriminels d’obtenir un accès non autorisé à vos informations personnelles et privées via votre téléphone, votre ordinateur portable ou tout autre appareil électronique. Les cybercriminels créent des escroqueries qui tentent de tirer profit de vos émotions en vous poussant à agir rapidement sans évaluer pleinement la situation. 

Quelles sont les émotions ciblées lors d’attaques d’ingénierie sociale?

• La peur 

• La cupidité

• La surprise

• La colère

• La curiosité

Pourquoi sommes-nous victimes de tentatives d’hameçonnage?

En exploitant des émotions telles que la peur, la cupidité, la surprise, la colère ou la curiosité, les cybercriminels cherchent à vous pousser à agir sur ces émotions sans penser de manière critique à la situation. Le psychologue et économiste Daniel Kahneman explique comment cela fonctionne à travers un modèle impliquant deux systèmes de pensée :

Le système no. 1 est rapide et intuitif. C’est le système qui traite les réponses émotionnelles et les décisions que nous prenons quotidiennement. Nous sommes confrontés chaque jour à des milliers de décisions, du choix de la chaussette à enfiler en premier à la quantité de crème que nous voulons dans notre café. Si nous devions réfléchir de manière critique à chaque petite décision, nous ne pourrions plus rien accomplir, c’est pourquoi nous sommes si dépendants du système no. 1. Il s’appuie sur des raccourcis mentaux, ou des réponses du « pilote automatique » qui aident à alléger le fardeau mental de la prise de toutes ces décisions. Cependant, ce système peut également nuire à notre prise de décision. M. Kahneman affirme que tous les humains ont un parti pris envers la vérité, ou une tendance à croire que les gens disent généralement la vérité plutôt que de mentir, croyance qui peut nous pousser à cliquer sur une pièce jointe suspecte ou sur un lien promettant quelque chose de peu vraisemblable, par exemple.

Le système no. 2 est délibéré et lent. C’est le système que nous utilisons lorsque nous prenons des décisions difficiles qui nous obligent à nous arrêter et à considérer nos options, par exemple pour une décision sur un changement de carrière ou pour l’achat d’une nouvelle voiture. Les cybercriminels dépendent du fait que nous n’utilisons pas ce type de prise de décision et que nous faisons plutôt confiance à nos émotions et à la réponse du système no. 1.

 Quelles sont les tactiques d’ingénieries sociales utilisées par les criminels?

Autorité : ce type d’attaque est populaire pour l’hameçonnage vocal et par texto. La plupart des gens ne veulent pas avoir de problème juridique, c’est pourquoi ils ont tendance à faire ce qui est demandé. Ces attaques jouent généralement sur la peur, car nous craignons d’avoir des ennuis avec la justice ou une autre figure d’autorité.

Affection : il est bien connu que les gens aiment les personnes qui sont aimables ou serviables. Cette tactique peut être utilisée lors d’attaques d’hameçonnage vocal ou par courriel, et elle est parfois utilisée en tandem avec une tactique de réciprocité. En général, le cybercriminel communiquera avec vous en prétendant être aimable ou serviable pour vous pousser à lui fournir des informations personnelles, telles que des identifiants de connexion, votre NAS ou d’autres informations classifiées. Ces attaques peuvent tirer profit d’émotions telles que la curiosité et la surprise.

Rareté : il s’agit d’une technique d’hameçonnage populaire qui implique généralement des limites de quantité ou une restriction dans le temps. Par exemple, vous pouvez recevoir un courriel semblant provenir d’une personne à un échelon supérieur de votre organisation vous demandant de cliquer sur un lien pour terminer une tâche en 15 minutes, sans quoi vous pourriez avoir des ennuis. Ce type d’attaque tire parti d’émotions telles que la peur ou la surprise, car le courriel est inattendu et vous craindrez probablement les conséquences qu’impliquerait de ne pas accomplir l’action demandée.

Preuve sociale : il s’agit de faire référence à une organisation ou une personne en particulier pour tromper les gens en leur faisant croire qu’ils ont le pouvoir de faire des demandes spécifiques. Par exemple, un cybercriminel peut demander vos identifiants de connexion en se faisant passer pour votre patron ou pour une autre personne qui travaille pour votre entreprise. Cette méthode d’ingénierie sociale dépend des émotions de peur et de surprise.

Réciprocité : cette tactique consiste à vous demander de fournir des renseignements parce qu’on vous a donné quelque chose. Par exemple, vous pourriez recevoir un courriel indiquant qu’on vous a offert une augmentation si vous cliquez sur le lien fourni et entrez vos renseignements personnels. Cette tactique tire profit des émotions que sont la surprise, la curiosité, et même la cupidité.

 Comment détecter les tentatives d’hameçonnage

 Cela semble-t-il suspect? – Si vous recevez un courriel provenant d’une adresse que vous ne reconnaissez pas ou si recevez une demande inhabituelle, ne faites pas ce qu’on vous y demande! Vérifiez toujours qu’il s’agit d’une tâche qu’on vous a réellement demandé d’effectuer, ou que la personne en question vous a effectivement envoyé ce courriel ou ce message texte. 

Trop beau pour être vrai? – Si quelque chose semble trop beau pour être vrai, c’est probablement le cas. Bien que de gagner un million de dollars serait incroyable et qu’il puisse être tentant de cliquer sur ce lien, prenez un moment pour réfléchir à la situation. Il s’agit probablement d’un cybercriminel qui tente de tirer profit de vos émotions.

La meilleure défense contre les cybercriminels est d’utiliser le système de prise de décision no. 2 : s’arrêter et analyser la situation avant d’agir. Demandez-vous toujours : est-ce trop beau pour être vrai? Est-ce quelque chose qu’on m’a demandé de faire dans le passé? Est-ce ainsi que la personne ou l’organisation en question communique habituellement avec moi? En cas de doute, communiquez avec la personne ou l’organisation en utilisant une méthode fiable pour confirmer que ce qu’on vous demande est légitime.