L’ingénierie sociale, un risque majeur pour les entreprises samariennes

Les êtres humains sont imparfaits. Nos cerveaux sont régis par un mélange complexe d’émotions et de processus de pensées rationnelles, ce qui nous rend vulnérables à ceux qui veulent nous exploiter. Cela signifie que nous pouvons être piratés.

Modus operandi : l’ingénierie sociale est une stratégie de fraude non technique utilisée par les cybercriminels. Elle ne requiert aucune compétence informatique en matière de piratage puisqu’elle s’appuie sur les interactions sociales et la confiance humaine : il s’agit ici d’un piratage psychologique. Si l’erreur humaine est l’une des causes de la plupart des cyberattaques, cette faille est particulièrement exploitée dans le cas de l’ingénierie sociale. Pour le cybercriminel, un être humain est beaucoup plus facile à pirater que le réseau d’une entreprise.

Qui sont les pirates ? Espions, employés mécontents, escrocs, courtiers de l’information, gens ordinaires… Ils sont bons dans ce qu’ils font et maîtrisent l’art de recueillir des informations. Ils sont pleinement conscients que leurs victimes ne sont pas aussi bien informées qu’elles devraient l’être.

Plusieurs schémas types

La fraude au président : cette fraude passe par l’usurpation d’identité d’une figure d’autorité pour encourager la victime à céder et effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte d’une dette à régler, de provision sur un contrat, etc.

La fraude au changement de RIB : appelée aussi « fraude au fournisseur », consiste pour les escrocs à s’adresser aux services de comptabilité d’une entreprise en se faisant passer pour un fournisseur. Le faux fournisseur demande le paiement de factures sur un compte bancaire autre que le compte habituel.

Le phishing : l’hameçonnage consiste à faire passer pour légitime un mail/appel/sms frauduleux afin de tromper la cible et déployer d’autres types d’attaque sur son système informatique. Les courriels d’hameçonnage en sont le meilleur exemple. Il est assez facile de concevoir un courriel qui semble légitime, porteur du logo de l’organisation usurpée. Le problème est que le lien ne vous renvoit pas sur la page web authentique de l’établissement que la victime perçoit, mais sur un « faux » site web imitant. Les pièces jointes accompagnant le courriel peuvent également contenir une charge malveillante.

Réseaux sociaux : les criminels se servent des réseaux sociaux pour collecter les informations nécessaires pour créer une histoire de toute pièce. La plupart des utilisateurs ne fait que très rarement attention aux types de données personnelles qu’ils partagent sur les réseaux sociaux : les personnes avec qui ils sont fréquemment en contact, leur lieu de vacances préféré, des informations spécifiques sur leur travail, leur niveau d’étude. Cependant, tous ces éléments peuvent donner des renseignements très précis sur un individu et en faire une cible facile.