À un niveau plus macro, toute action liée à la psychologie comportementale peut être considérée comme une ingénierie sociale. Cependant, ce concept n'est pas toujours lié à des activités criminelles ou frauduleuses. En fait, l’ingénierie sociale est largement utilisée et étudiée dans des domaines tels que les sciences sociales, la psychologie et le marketing.
En matière de cybersécurité, l'ingénierie sociale fait référence à une série d'activités malveillantes qui tentent de manipuler les gens pour qu'ils adoptent un mauvais comportement avec des arrière-pensées, comme le vol d'informations personnelles identifiables qui peuvent ensuite être utilisées pour voler des informations personnelles ou confidentielles de leur entreprise. La fraude à l’identité est une conséquence courante de ce type d’attaques, entraînant dans de nombreux cas des pertes financières importantes.
L’ingénierie sociale est souvent considérée comme une cybermenace, mais le concept existe depuis longtemps et le terme peut également être associé à une fraude réelle, impliquant souvent l’usurpation d’identité d’un auditeur ou d’un expert informatique. Cependant, l’avènement d’Internet a permis aux pirates informatiques de mener plus facilement des attaques de manipulation à plus grande échelle et, malheureusement, ces activités malveillantes se produisent également dans le domaine des cryptomonnaies.
Comment ça marche?
Tous les types d’ingénierie sociale reposent sur les faiblesses de la psychologie humaine. Les fraudeurs utilisent les émotions pour manipuler et tromper leurs victimes. Ils s'attaquent aux peurs, à l'avidité, à la curiosité et même à la volonté des gens d'aider les autres. Parmi les divers comportements malveillants d’ingénierie sociale, le phishing est l’un des cas les plus courants et les plus connus.
Hameçonnage
Les e-mails de phishing imitent souvent les e-mails d'entreprises légitimes, telles que les banques nationales, les chaînes de magasins, les boutiques en ligne réputées ou les fournisseurs de messagerie. Dans certains cas, ces e-mails frauduleux avertissent les utilisateurs que leurs comptes doivent être mis à jour ou qu'une activité inhabituelle s'est produite, leur demandant de fournir des informations personnelles pour confirmer leur identité et gérer leurs comptes. Par peur, certains utilisateurs cliquent immédiatement sur le lien et accèdent à un faux site Web, fournissant ainsi aux criminels les données dont ils ont besoin. À ce stade, les informations seront entre les mains de pirates informatiques.
Menaces
Des techniques d’ingénierie sociale sont également utilisées pour diffuser ce qu’on appelle des scarewares. Comme son nom l’indique, un malware est un type de malware conçu pour intimider et menacer les utilisateurs. Ils impliquent souvent la création de fausses alertes dans le but d’inciter les victimes à installer des logiciels frauduleux d’apparence légitime ou d’inciter les utilisateurs à visiter des sites Web afin d’infecter leurs systèmes. Cette technique repose généralement sur la crainte des utilisateurs que leurs systèmes aient été compromis, les persuadant de cliquer sur des bannières Web ou des pop-ups. Ces messages disent généralement : « Votre système est infecté, veuillez cliquer ici pour le nettoyer. »
tromper
Le phishing est une autre forme d’ingénierie sociale qui pose problème à de nombreux utilisateurs imprudents. Exploitant généralement la cupidité ou la curiosité de l'utilisateur pour attirer les victimes. Par exemple, un escroc pourrait créer un site Web proposant du contenu gratuit, tel que des fichiers musicaux, des vidéos ou des livres. Pour accéder à ces fichiers, les utilisateurs doivent généralement créer un compte et fournir leurs informations personnelles. Dans certains cas, la création d'un compte peut ne pas être requise, car les fichiers téléchargés peuvent également être directement infectés par des logiciels malveillants qui envahiront le système informatique de la victime et collecteront ses données sensibles.
Dans la vraie vie, le phishing peut également être réalisé via l’utilisation de stockage USB et de disques durs externes. Les fraudeurs peuvent intentionnellement laisser un appareil infecté dans un lieu public, incitant les individus curieux à le vérifier et à visualiser son contenu, infectant finalement leurs ordinateurs personnels.
Ingénierie sociale et crypto-monnaie
Une mentalité avare peut être très dangereuse lorsqu'il s'agit des marchés financiers, et les traders et les investisseurs sont particulièrement vulnérables au phishing, aux systèmes de Ponzi et pyramidaux, ainsi qu'à d'autres types d'escroqueries. Dans le secteur de la blockchain, l’attention suscitée par les crypto-monnaies a attiré de nombreuses nouvelles personnes dans ce domaine dans un laps de temps relativement court (en particulier pendant le marché haussier).
Bien que de nombreuses personnes ne comprennent pas pleinement le fonctionnement des crypto-monnaies, elles entendent souvent des reportages sur le potentiel du marché à générer d’énormes gains et investissent aveuglément sans effectuer de recherches adéquates. L’ingénierie sociale est particulièrement préoccupante pour les débutants car ils sont souvent piégés par leur propre cupidité ou leur peur.
D'une part, le désir de réaliser des profits rapides et de gagner de l'argent incitera les novices à rechercher de faux avantages et à croire aux promesses des parachutages. D’un autre côté, les utilisateurs peuvent craindre que leurs fichiers privés soient compromis et payer la rançon. Dans certains cas, les utilisateurs sont simplement trompés par de fausses alertes ou messages créés par des pirates informatiques et ne sont pas réellement infectés par un ransomware.
Comment prévenir les attaques d'ingénierie sociale
Comme mentionné précédemment, les escroqueries d’ingénierie sociale ne fonctionnent que parce qu’elles exploitent les faiblesses humaines. Ils utilisent souvent la peur comme facteur de motivation, incitant les gens à prendre des mesures immédiates pour se protéger (ou protéger leurs systèmes) contre une menace irréelle. Certaines attaques d’ingénierie sociale s’appuient également sur la cupidité humaine pour attirer les victimes dans divers types d’escroqueries en matière d’investissement. Il est donc important de se rappeler que si une offre semble trop belle pour être vraie, il s’agit probablement d’une arnaque.
Même si certains fraudeurs sont sophistiqués, les attaquants moyens commettent des erreurs évidentes. Les titres de certains e-mails de phishing et menaces contiennent souvent des erreurs grammaticales ou orthographiques, ce qui ne trompe généralement que les imprudents – alors soyez prudent.
Pour éviter d'être victime d'une attaque d'ingénierie sociale, vous devez prêter attention aux mesures de sécurité suivantes :
Renseignez-vous, ainsi que votre famille et vos amis. Apprenez-leur des exemples courants d’ingénierie sociale malveillante et présentez-leur les principes clés de sécurité.
Soyez prudent lorsque vous manipulez les pièces jointes et les liens des e-mails. Évitez de cliquer sur des publicités et des sites Web provenant de sources inconnues ;
Installez un véritable logiciel antivirus pour maintenir vos applications logicielles et votre système d'exploitation à jour ;
Si vous souhaitez protéger vos identifiants de connexion par courrier électronique et d'autres données personnelles, utilisez une solution d'authentification multifacteur. Comme mettre en place une authentification à deux facteurs (2FA) pour votre compte Binance.
Pour les entreprises : les employés doivent être habilités à identifier les attaques d'ingénierie sociale afin de prévenir les attaques de phishing et d'ingénierie sociale.
Réflexions récapitulatives
Les cybercriminels sont toujours à la recherche de nouveaux moyens de tromper les utilisateurs dans le but de leur voler leur argent et leurs informations sensibles. Il est donc important de vous informer ainsi que votre entourage. Internet constitue un refuge sûr pour ces types d’escroqueries, particulièrement courantes dans le domaine des cryptomonnaies. Soyez donc prudent et vigilant pour éviter de tomber dans les pièges de l’ingénierie sociale.
De plus, toute personne qui décide de négocier ou d’investir dans des crypto-monnaies doit effectuer suffisamment de recherches au préalable pour s’assurer d’avoir une bonne compréhension du marché et des mécanismes de fonctionnement de la technologie blockchain.