D’un point de vue général, toute manipulation liée à la psychologie comportementale peut être considérée comme de l’ingénierie sociale. Cependant, le concept n'est pas toujours lié à des activités criminelles ou frauduleuses. En réalité, l'ingénierie sociale est largement utilisée et étudiée dans différents contextes, dans des domaines tels que les sciences sociales, la psychologie et le marketing.
En matière de cybersécurité, l'ingénierie sociale est utilisée avec des arrière-pensées et désigne un ensemble d'activités malveillantes, dans le but de manipuler les personnes pour les amener à faire de mauvais choix, comme le partage d’informations personnelles ou confidentielles pouvant être utilisées ultérieurement contre elles ou l’entreprise à laquelle elles appartiennent. Le vol d'identité est une conséquence classique de ce type d'attaques et entraîne souvent de lourdes pertes financières.
Comment ça marche?
Le Phishing
Les e-mails de phishing imitent souvent la correspondance d'une entreprise authentique, comme un groupe bancaire national, une boutique en ligne réputée ou un fournisseur d’email. Dans certains cas, ces e-mails clones vont avertir les utilisateurs que leur compte doit être mis à jour ou a présenté une activité inhabituelle, leur demandant de fournir des informations personnelles afin de confirmer leur identité et de régulariser leurs comptes. Par peur, certaines personnes cliquent alors rapidement sur les liens et accèdent à un faux site Web afin de fournir les données requises. À ce stade, les informations seront alors entre les mains des pirates.
Le Scareware
Des techniques d'ingénierie sociale sont également appliquées pour répandre ce qu'on appelle un Scareware. Comme son nom l'indique, un scareware est un type de malware conçu pour effrayer et choquer les utilisateurs. Ils impliquent en général la création de fausses alarmes qui tentent de tromper les victimes en leur demandant d'installer un logiciel frauduleux qui a l'air authentique, ou en accédant à un site Web qui infecte leur système. Une telle technique repose souvent sur la crainte des utilisateurs de compromettre leur système, les persuadant de cliquer sur une bannière Web ou un pop-up. Les messages annoncent généralement quelque chose du style : "Votre système est infecté, cliquez ici pour le restaurer."
L’appâtage
L’appâtage est une autre méthode d'ingénierie sociale qui cause des problèmes à de nombreux utilisateurs peu attentifs. Cela implique l'utilisation d'appâts pour attirer les victimes en jouant sur leur cupidité ou leur curiosité. Par exemple, les escrocs pourront créer un site Web qui offre quelque chose gratuitement, comme des fichiers de musique, des vidéos ou des livres. Mais pour accéder à ces fichiers, les utilisateurs doivent créer un compte en fournissant leurs informations personnelles. Dans certains cas, il n’est pas nécessaire de créer un compte car les fichiers sont directement infectés par des malware qui pénètrent dans le système informatique de la victime et collectent leurs données sensibles.
Les systèmes d'appâtage peuvent également se produire dans le monde réel via l'utilisation de clés USB et de disques durs externes. Les arnaqueurs peuvent par exemple laisser intentionnellement des appareils infectés dans un lieu public. Ainsi, toute personne curieuse qui s'en empare pour en vérifier le contenu finira par infecter son ordinateur personnel.
Ingénierie sociale et crypto-monnaies
Comment prévenir les attaques d'ingénierie sociale
Comme mentionné précédemment, les escroqueries d'ingénierie sociale fonctionnent parce qu'elles jouent sur la nature humaine. Ils utilisent généralement la peur comme facteur déclencheur, exhortant les gens à agir immédiatement pour se protéger (ou protéger leur système) contre une menace irréelle. Les attaques reposent également sur la cupidité humaine, attirant les victimes dans divers types d’escroqueries à l’investissement. Il est donc important de garder à l'esprit que si une offre semble trop belle pour être vraie, elle l'est probablement.
Bien que certains escrocs utilisent des moyens sophistiqués, d'autres arnaqueurs font des erreurs assez visibles. Certains e-mails de phishing, et même les bannières de scareware, contiennent souvent des erreurs de syntaxe ou des mots mal orthographiés. Ils ne sont efficaces que pour ceux qui ne prêtent pas suffisamment attention à la grammaire et à l’orthographe - gardez donc vos yeux ouverts.
Afin d'éviter de devenir victime d'attaques d'ingénierie sociale, vous devez prévoir les mesures de sécurité suivantes:
- Eduquez-vous, votre famille et vos amis. Expliquez-leur les cas courants d'ingénierie sociale malveillante et informez-les des principes généraux de sécurité.
- Soyez prudent avec les pièces jointes et les liens. Évitez de cliquer sur les annonces et les sites Web de sources inconnues;
- Installez un antivirus de confiance et maintenez vos applications logicielles et votre système d'exploitation à jour;
- Utilisez des solutions d’authentification multifactorielles chaque fois que vous le pouvez pour protéger vos identifiants de courrier électronique et d’autres données personnelles. Configurez l'authentification à deux facteurs (2FA) sur votre compte Binance.
- Pour les entreprises: pensez à entraîner vos employés à identifier et à se prévenir des attaques de phishing et des schémas d'ingénierie sociale.
Pour conclure
Les cybercriminels sont constamment à la recherche de nouvelles méthodes pour tromper les utilisateurs, dans le but de leur voler leurs fonds et leurs informations sensibles. Il est donc très important de vous informer et de sensibiliser ceux qui vous entourent. Internet est un paradis pour ces types d'escroqueries, et elles sont particulièrement répandues dans le monde des crypto-monnaies. Soyez prudent et restez vigilant pour éviter de tomber dans les pièges de l'ingénierie sociale.