5 Techniques d'ingénierie sociale et de cyberattaques usuelles et comment les éviter

2020-06-12

Dans l'article précédent de notre série #StaySAFU, nous avons examiné 5 arnaques cryptos courantes et la manière de les éviter. Mais il n'y a pas que le phishing qu'il faut combattre.

Le phishing (hameçonnage) n'est que l'une des nombreuses méthodes utilisées par les malfaiteurs pour voler des données sensibles ou des actifs numériques.

Différence entre l'ingénierie sociale et le piratage informatique

Les attaques d'ingénierie sociale sont basées sur la manipulation psychologique de la cible visant à tromper des victimes inconnues pour qu'elles divulguent des informations confidentielles ou cèdent leurs biens numériques.

L'ingénierie sociale ne s'attaque pas directement aux systèmes de sécurité au matériel ou à l'aspect technologique. Elle vise le maillon le plus faible de la chaîne - nous même. Par la tromperie et la manipulation, la victime est amenée à remettre volontairement ses données sensibles à l'agresseur.

Les piratages en revanche visent un élément de sécurité complètement différent. Le piratage implique des attaques directes sur le matériel, l'infrastructure ou les éléments de sécurité afin de trouver ou de créer des vulnérabilités exploitables. L'objectif des auteurs est différent. Les techniques les plus courantes aujourd'hui tentent de prendre le contrôle de votre appareil ou de votre système, afin de voler des identifiants pour en tirer un avantage financier. Il arrive également que l'auteur de l'attaque exécute une attaque dans le seul but de faire du mal à la victime.

Examinons maintenant cinq des attaques les plus courantes de piratage et d'ingénierie sociale - et une erreur dont nous sommes tous coupables.

Ransomware (rançongiciel)

Ce logiciel malveillant infecte votre ordinateur et menace généralement de supprimer vos données, à moins que vous ne payiez une rançon. Les modalités varient en fonction du type de ransomware auquel vous êtes confronté.

Les logiciels dits "Scareware" sont le type d'attaque le plus primitif. Votre ordinateur ou votre navigateur interagit avec un script ou un logiciel suspect et affiche un message d'avertissement, essayant de vous effrayer pour que vous téléchargiez un fichier, payiez pour un produit ou contactiez une fausse équipe d'assistance. Vous pouvez facilement supprimer ces Scarewares avec des produits de cybersécurité de haute qualité et facilement accessibles sans endommager vos données ou votre appareil.

Le "Screen Locker" est un autre type d'attaque de Ransomware et est également plus dangereux qu'un Scareware. Les Screen Locker vous interdisent complètement l'accès à votre appareil et affichent un message usurpant l'identité d'un organisme d'État ou d'un groupe de prévention de la criminalité. Par coïncidence, ces groupes sont heureux de déverrouiller votre appareil si vous les payez avec des cryptomonnaies. Cependant, le paiement de la rançon ne libère pas automatiquement vos données et il y a de fortes chances que vos données soient à jamais perdues de toute façon.

Le pire scénario est celui du Ransomware de chiffrement. Dans ce cas, l'attaquant crypte vos données et menace de les supprimer ou de les publier si vous ne payez pas la rançon. Les pirates derrière le célèbre logiciel de rançon WannaCry ont apporté une réputation très négative aux cryptomonnaies - en particulier au Bitcoin - car les victimes devaient payer la rançon en Bitcoin. Le groupe WannaCry a reçu un total de 327 paiements pour un montant de 51,62 BTC. Cela représente une valeur de plus de 500 000 dollars américains au moment de la rédaction de cet article.

Les Screen Lockers et les attaques par Ransomware de chiffrement sont dans de nombreux cas, impossibles à supprimer une fois qu'ils ont pris le contrôle de votre appareil. La seule solution est la prévention.

Baiting (Appâter)

Comme son nom l'indique, l'appâtage est une activité où l'agresseur tente d'attirer ou de faire venir la victime potentielle avec la promesse d'une récompense. L'appâtage se fait à la fois physiquement et en ligne. Dans le domaine physique, l'appât peut être une clé USB ou un portefeuille matériel laissé dans un endroit visible. Une fois que vous le connectez à votre appareil, un logiciel malveillant s'attaque à votre ordinateur. L'appât en ligne se présente généralement sous la forme de publicités et de compétitions "intéressantes".

Si vous trouvez un jour un portefeuille matériel Trezor portant la mention "CZ's BTC Life Savings", il est fort probable que ce ne soit pas vrai. N'utilisez pas d'appareils qui ne vous appartiennent pas, et restez vigilant face aux annonces et aux offres qui promettent de bonnes affaires ou des bénéfices assurés.

Vishing

Combinaison des mots "voice" et "phishing", le “Vishing” est un de ces types d'attaques dont la “popularité” est en hausse, avec de nouvelles variations apparaissant chaque jour. Cette technique n'utilise pas les e-mails, les appels téléphoniques ou les messages, mais les services de téléphonie sur Internet (VoIP). L'attaque consiste en un appel vous informant que votre compte ou votre carte bancaire est verrouillé, que votre prêt hypothécaire est prêt ou qu'une organisation caritative sollicite votre contribution. Les auteurs se font souvent passer pour des personnes de confiance, comme des employés de banque, des agents de recouvrement, le service clientèle ou même des organismes de perception d'impôts comme l'IRS.

Vous pouvez facilement démasquer l'hameçonnage vocal en appelant le numéro officiel de l'organisation que la personne qui appelle prétend représenter et en vérifier les informations. Une pratique courante, en cas de soupçon, consiste à raccrocher et à appeler le numéro indiqué sur le site web de l'organisation.

Le service d'assistance Binance ne vous contactera jamais par téléphone. Ne partagez jamais de données sensibles par téléphone car, quel que soit votre fournisseur ou le fabricant de votre téléphone, aucun appel téléphonique n'est totalement privé.

Pretexting (Prétexte)

Le but de cette attaque est d'obtenir vos informations privées par le biais d'une série de mensonges. Sous différents prétextes, l'agresseur se fait souvent passer pour une personne que nous connaissons ou une autorité de confiance, comme la police ou les responsables d'une banque. Ce menteur utilisera un sentiment d'urgence pour obtenir vos informations privées ou vous demander d'effectuer des tâches spécifiques.

Les cibles les plus courantes de cette technique de pretexting sont les numéros de sécurité sociale, les détails de cartes bancaires, les adresses personnelles, les numéros de téléphone, les phrases de seed, ou même les Bitcoins. Pour éviter de devenir une victime, appliquez les mêmes règles que pour l'hameçonnage vocal : vérifiez toujours que vous parlez à une personne légitime en engageant une communication sur un canal différent de celui que vous utilisez à ce moment-là.

Bait and Switch (Appâter et échanger)

Les terrains de chasse de ce type d'agresseur sont les environnements de confiance des sites web et des moteurs de recherche. Les domaines frauduleux sont affichés comme des résultats ordinaires - parfois sponsorisés - parmi les nombreux résultats licites de votre recherche. Grâce à des techniques de référencement avancées et à de la publicité payante, l'appât se fait passer pour un site web officiel et grimpe dans les classements des moteurs de recherche. Une fois que vous avez cliqué sur le résultat en le croyant légitime, vous êtes amené sur le site web de l'agresseur.

Pour éviter cette attaque, vous devez être proactif. Évitez de visiter des sites web dont les noms sont inhabituels ou qui contiennent des fautes de frappe. Ne croyez pas les publicités qui promettent des résultats illusoires. Faites preuve de bon sens, et ne cliquez pas automatiquement sur quelque chose qui attire votre attention.

Réutilisation des identifiants

Bien qu'il ne s'agisse pas d'une attaque en soi, c'est néanmoins une vulnérabilité qui mérite d'être mentionnée car elle est régulièrement exploitée par les pirates. La réutilisation des informations de connexion est une chose dont nous avons tous été les coupables. Nous avons tous réutilisé le même nom d'utilisateur et le même mot de passe pour plusieurs services. Lorsqu'un pirate vole vos données sur une plateforme, tous vos autres comptes sont exposés et en danger si vous n'utilisez pas des identifiants uniques.

Laissez le réemploi des identifiants derrière vous. Vous disposez aujourd'hui d'un vaste choix de gestionnaires de mots de passe gratuits et sécurisés en open-source, qui vous permettront de générer des mots de passe sûrs et uniques pour chaque site que vous visitez.

Conclusion

Il est important de souligner que tous les piratages ne sont pas forcément malveillants. Les Cypherpunks, les testeurs de piratage, les hackers blancs (white hat hackers), et bien d'autres encore, aident les particuliers et les entreprises à rester en sécurité en cette ère numérique. La sphère crypto est remplie de milliers d'entreprises de cryptos et Bitcoin, de particuliers et de professionnels de la sécurité qui créent un avenir plus sûr pour nous tous.

Nous pensons que notre force dépend de celle du maillon le plus faible. Chaque individu doit apprendre à assurer sa sécurité et à garder la maîtrise de ses données privées et de ses avoirs. Comme pour toute forme d'attaque, votre meilleure défense est le bon sens et la conscience.

Améliorons ensemble notre sécurité numérique. Partagez notre campagne #StaySAFU avec vos amis !

Suivez la campagne de sécurité #StaySAFU et ne laissez rien passer

Disponible - #StaySAFU avec la campagne de sécurité Binance

Disponible - 8 Statistiques surprenantes sur le hameçonnage (Phishing)

Disponible - 5 escroqueries courantes des cryptomonnaies et comment les éviter

Disponible - 5 Ingénierie sociale et cyberattaques courantes, comment les éviter

12 juin - Sécurisez votre compte Binance en 7 étapes simples

15 juin - #StaySAFU avec les conseils de sécurité des pros

17 juin - Comment sécuriser vos cryptomonnaies

17 juin - Participez au concours #StaySAFU et gagnez une part des 500 BNB mis en jeu

Si ce n'est pas déjà fait, assurez-vous de suivre Binance et Binance Academy sur Twitter pour être prévenu des publications prochaines des articles de notre série #StaySAFU !