Mutuelle entreprise – Les 6 principales formes d’ingénierie sociale et comment protéger votre entreprise



Alors que la cybersécurité devient un sujet fréquemment abordé, les entreprises du monde entier sont concernées. Que fait une entreprise typique pour accroître la sécurité de ses données? Ils téléchargent le dernier logiciel antivirus, mettent en œuvre un protocole de chiffrement des données et / ou installent un pare-feu. Malheureusement, tout cela ne fera pas beaucoup de bien si des logiciels malveillants sont introduits dans le système de l’intérieur, c’est-à-dire par un employé.

Cela pourrait ne pas être suffisant… car l’ingénierie sociale est responsable de 43% de toutes les violations de données enregistrées, selon Rapport d’enquête de Verizon sur les violations de données pour 2017

Le graphique ci-dessous, extrait du rapport de Verizon mentionné ci-dessus, l’illustre très bien:

Rapport de Verizon sur les violations de données 2018 - 43% proviennent de violations de l'ingénierie sociale

Qu’est-ce donc que l’ingénierie sociale?

L’ingénierie sociale est une méthode d’utilisation de la psychologie pour accéder aux systèmes informatiques et inciter les victimes à donner des informations sensibles et personnelles telles que des mots de passe et d’autres informations d’identification. À quelle fréquence avez-vous tenu une porte pour une autre personne et l’avez-vous laissée entrer dans un immeuble ou même sur le lieu de travail? Ou avez-vous reçu un e-mail innocent d’un ami avec une pièce jointe ou un lien?

Voyons les techniques d’ingénierie sociale les plus courantes.

1. Hameçonnage

Le phishing est la technique d’ingénierie sociale la plus utilisée par les cybercriminels aujourd’hui. Le phishing utilise un faux e-mail provenant d’un tiers auquel la victime aurait confiance pour les inciter à fournir des informations sensibles. La victime pourrait recevoir un e-mail de ce qui semble être sa banque ou Paypal par exemple, lui demandant de se connecter au site Web. Les raisons sont variées. On pourrait vous dire que votre compte a été compromis (oh l’ironie) et vous devez mettre à jour votre mot de passe; ou que la banque met à jour sa politique de confidentialité et vous devez vous connecter pour confirmer votre accord. Une fois la connexion terminée, le pirate reçoit les informations d’identification. BAM, vous avez été conçu socialement!

Une autre façon de fonctionner consiste à envoyer un faux message d’un «ami», d’un «collègue» ou d’une autre personne de confiance. Ce message vous demandera d’ouvrir une pièce jointe (comment pouvons-nous résister à consulter une infographie de football ou une nouvelle sur cette célébrité scandaleuse). Un pirate pourrait utiliser des e-mails, des SMS ou des messages sur les réseaux sociaux pour éliminer cette arnaque. Une fois que vous avez ouvert la pièce jointe ou cliqué sur le lien, un logiciel malveillant s’introduit dans votre système informatique. BAM! Vos données informatiques sont désormais à la merci du pirate.

Même si nous savons tous vérifier la source de tout e-mail, le réflexe de cliquer sur un lien ou de suivre les instructions pour se connecter est presque automatique.

C’est tellement efficace, simplement parce que ça marche.

2. Vishing

Vishing utilise la même idée que le phishing, juste par téléphone. Pensez au dernier appel SPAM que vous avez reçu, à parler d’une croisière que vous avez «gagnée» et des informations que vous devez fournir pour recevoir votre prix. Ceci est un excellent exemple de vishing. Les fraudeurs vous demanderont vos informations personnelles telles que la date de naissance, l’adresse, les informations financières, etc. Ou vous pourriez recevoir un e-mail de votre «banque» vous demandant d’appeler le numéro de la banque pour confirmer votre identité. Bien sûr, vous appelleriez plutôt l’escroc.

Un exemple est une arnaque utilisée depuis au moins 2009. Un pirate informatique, se faisant passer pour un architecte de solutions Microsoft, appellera l’employé d’une organisation et l’informera que son ordinateur a été infecté par un virus. Ensuite, en règle générale, l’employé est invité à télécharger un logiciel à partir du site Web de «Microsoft» pour corriger la situation. L’employée sans méfiance ne sait pas qu’elle télécharge vraiment un malware.

3. Prétexte

Le prétexte est une autre technique similaire au phishing. Lorsque le phishing s’attaque à la peur ou à l’urgence de la victime de faire quelque chose, le prétexte capitalise sur le désir de confiance des humains. Le pirate crée un faux sentiment de sécurité et de confiance avec sa victime. L’arnaque de prétexte nécessite beaucoup de recherches de la part d’un escroc, concoctant une histoire qui laisse peu de doute qu’il est sûr de leur fournir les informations demandées. Certains escrocs utilisent également le prétexte pour accéder à l’emplacement physique de l’organisation en prétendant être un employé d’une autre succursale, un vérificateur, etc.

Par exemple, lors d’une recherche sur une grande entreprise avec plusieurs sites, un escroc est susceptible d’exploiter le fait que les employés de différents sites ne se connectent pas souvent avec d’autres sites. Imaginez, un autre «employé» venant visiter votre succursale, disant qu’ils sont l’assistant du directeur financier. Ils ont la bonne histoire, disent tous les bons mots, connaissent tous les bons faits sur le directeur financier et l’entreprise. Vous n’avez aucune raison de ne pas les croire.

Après tout, il est tout à fait possible qu’il s’agisse d’une nouvelle embauche à laquelle vous avez en quelque sorte raté un e-mail. Ils pourraient même avoir un badge (faux bien sûr)! Vous pourriez donc ne pas hésiter à leur fournir les rapports financiers dont ils ont «besoin» pour leur agence. Qu’est-ce qui vient de se passer ici? L’escroc possède les données financières sensibles de votre entreprise et, pour empirer les choses, vous avez été amené à les leur fournir volontiers. C’est du prétexte.

4. Appâtage

Tout le monde aime obtenir des trucs gratuits, non? Un téléchargement gratuit d’une chanson populaire, d’un film ou d’une application. Qu’est-ce qui pourrait mal se passer?

Si les escrocs sont derrière cela, alors votre ordinateur a probablement été compromis dès que vous avez commencé ce téléchargement. L’appâtage promet un bien gratuit, comme une chanson, en échange de vos informations. Une fois que vous avez fourni les données sensibles recherchées par les pirates, le virus est téléchargé sur votre ordinateur.

Les torrents illégaux qui contournent les lois sur le droit d’auteur sont connus pour contenir des logiciels malveillants et des virus et sont un bon exemple d’appâtage.

5. Quid Pro Quo

Quid Pro Quo implique une promesse de service (contrairement à Baiting qui promet un bien comme un film ou une application) en échange d’informations sensibles. Le programme Quid Pro Quo le plus courant est un escroc prétendant être un consultant informatique ou un représentant du support client rappelant l’employé. Finalement, il frappera l’employé qui a vraiment un problème. Le «correctif» impliquera généralement la révélation de données sensibles comme un mot de passe et d’autres informations d’identification.

D’autres programmes Quid Pro Quo moins sophistiqués peuvent impliquer un concours sur le lieu de travail ou une enquête.

6. Tailgaiting

Cette technique d’ingénierie sociale n’utilise pas l’e-mail ou un autre support en ligne pour obtenir des informations. Au lieu de cela, le pirate se rapproche de sa victime. Le talonnage est utilisé pour accéder à un bâtiment sécurisé en se mélangeant et en vous faisant penser que le pirate y appartient vraiment. Au début de l’article, nous avons donné un exemple de laisser quelqu’un que vous ne connaissez pas dans un immeuble ou un lieu de travail.

Ceci est un excellent exemple de talonnage. Imaginez une femme d’aspect professionnel, les mains pleines de sac à main et de café et peut-être un autre sac qui a du mal à retirer son badge (ou vous supposez qu’elle essaie de retirer ou de trouver son badge). Si elle vous demandait d’aider et d’ouvrir la porte, n’aimeriez-vous pas gracieusement? Bien sûr, vous le feriez.

Une certaine confiance de la part du pirate, une bonne histoire, une petite conversation et un peu de capacités d’acteur et vous ne vous douterez même jamais que vous venez d’autoriser un pirate dans le bâtiment.

Le rapport de violation de données de Verizon que nous avons mentionné précédemment illustre davantage l’impact de l’ingénierie sociale à travers les industries:

ventilation de l'ingénierie sociale par industrie


Un exemple d’ingénierie sociale – Appâtage

Un bon exemple d’appâtage est un expérience que Steve Stasiukonis, VP et fondateur de Secure Network Technologies mené en 2006 lorsqu’il a été embauché par une caisse populaire pour évaluer leurs vulnérabilités. Son équipe a implanté un virus cheval de Troie sur des lecteurs flash qui ont été laissés sans surveillance dans le parking, à l’extérieur du lieu du déjeuner et dans d’autres zones fréquentées par les employés. En un jour, les données ont commencé à couler. Le cheval de Troie a été conçu pour collecter les mots de passe une fois le lecteur flash branché. Sur 20 disques, 15 ont été trouvés et lancés par des employés curieux et sans méfiance.

S’il s’agissait d’un vrai hacker, tout ce qu’ils auraient à faire serait de s’asseoir et de collecter des mots de passe avec peu de chance d’être pris. Une expérience assez effrayante, vous ne pensez pas?

Une assurance qui couvre ce risque

Avec l’augmentation de la cybercriminalité, les compagnies d’assurance ont développé un produit d’assurance complet et autonome pour atténuer les pertes financières et de réputation après la cyberattaque. Avec la capacité de couvrir une perte de revenus due à l’attaque, les exigences de notification obligatoires, la surveillance du crédit aux parties concernées et le coût des enquêtes médico-légales, la cyber-assurance et l’assurance-criminalité sont des produits que chaque entreprise devrait sérieusement envisager.

La perte due à une attaque d’ingénierie sociale peut également être couverte.

Selon le Ponemon Institute, un incident de violation de données coûte en moyenne 141 $ par enregistrement potentiellement compromis à une entreprise. Le coût total pourrait être de plusieurs centaines de milliers de dollars, selon le type de données que vous stockez et le nombre d’enregistrements potentiellement accessibles.

Comme vous pouvez le constater, la cybercriminalité est un réel danger pour votre entreprise. Alors que les logiciels antivirus et les pare-feu aident à détecter les virus qui tentent d’accéder à vos systèmes de l’extérieur, aucun pare-feu ne peut protéger votre organisation de la nature humaine et introduire les virus de l’intérieur.

La mise en œuvre d’un programme de sensibilisation à la sécurité est un excellent moyen de protéger votre entreprise contre les dangers de l’ingénierie sociale. Le programme devrait éduquer vos employés sur les dangers de l’ingénierie sociale, l’importance des données et comment réagir lorsqu’ils suspectent une attaque.

Cependant, une couverture d’assurance appropriée est un filet de sécurité important lorsque vos meilleurs efforts échouent et que les données sont compromises. Une police d’assurance bien conçue peut vous protéger lorsqu’un pirate en ingénierie sociale frappe et que vous n’avez nulle part où vous tourner.


Pour en savoir plus, vous pouvez toujours contacter un membre de notre équipe par téléphone au 646.854.1058 ou par e-mail à info@foundershield.com à tout moment. Ou créez un compte ici afin d’obtenir un devis pour un programme complet qui protège votre entreprise contre les tactiques d’ingénierie sociale dont nous avons discuté!

Évaluation des lecteurs

[Total: 3 Average: 2.7]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *