Le Social Engineering est une stratégie consistant à tirer partie des failles humaines des utilisateurs pour obtenir des données personnelles, prendre le contrôle d’un ordinateur, soutirer des informations, mots de passe ou sommes d’argent. les hackers profitent des faiblesses des utilisateurs plutôt que des failles techniques. Le Social Engineering est l’utilisation de la confiance , de la crédulité, de la peur des utilisateurs à des fins malveillantes. Ce n’est pas une technique de hack a proprement parler, plutôt une fraude ou une escroquerie. Ce type d’attaques ne nécessite pas forcément de grandes compétences techniques. mais le Social Engineering est aussi utilisé par les meilleurs hackers pour arriver à leurs fins.
Le Social Engineering par téléphone.
Les cyber-criminels appellent directement les utilisateurs ou utilisent des fenêtres pop-up qui enjoignent les internautes à les contacter. Les escrocs se font généralement passer pour des techniciens de chez Microsoft et prétextent un problème de virus pour prendre le contrôle de votre ordinateur et vous soutirer de l’argent. Pour vous mettre en confiance, les faux techniciens utilisent parfois des informations personnelles qu’ils détiennent sur vous ou votre machine.
Sachez qu’un technicien Microsoft ne vous contactera JAMAIS par téléphone. Ni pour un virus ni pour quoi que ce soit d’autre.
Le Phishing.
Cette technique consiste à vous envoyer un e-mail semblant provenir d’une banque, d’une entreprise, d’un fournisseur d’accès, de la sécurité sociale… bref, d’un organisme qui vous est familier. L’e-mail prétexte généralement un piratage, un virement non-autorisé ou un problème sur votre compte. Il vous envoie ensuite via un lien vers un faux site internet ressemblant au site officiel. Le cyber-criminel n’a plus qu’à vous demander vos identifiants et votre mot de passe pour accéder à vos données personnelles.
- Vérifiez toujours l’émetteur d’un e-mail.
- Méfiez vous des liens et des pièces jointes.
- N’agissez pas dans la panique. Prenez le temps de vérifier la fiabilité d’un site avant de rentrer vos informations (adresse, https, CGU, liens…)
- En cas de doute, contactez directement l’organisme par téléphone.
L’usurpation d’identité.
L’usurpation d’identité est une technique très utilisée en Social Engineering. Les hackers peuvent se faire passer pour un prétendant sur un site de rencontre ou un ami sur les réseaux sociaux. Généralement le but est de vous extorquer de l’argent. Soyez toujours méfiant. Demandez à votre interlocuteur des preuves de son identité. Les hackers arnaquent parfois certaines entreprises en se faisant passer pour le PDG, un collaborateur ou un partenaire.
Sur le net il est aisé de se faire passer pour quelqu’un d’autre. Interrogez-vous sur la personne avec laquelle vous êtes en train de converser, plus particulièrement si cette dernière vous demande des informations, des coordonnées ou de l’argent. Plus généralement, ne dévoilez jamais vos mots de passe ou identifiants (À PERSONNE). Ne délivrez pas d’informations sensibles via chat, messagerie instantanée ou e-mail.
Social Engineering : comment s’en protéger ?
- Prenez garde à ce que vous publiez. Ces informations facilement accessibles pourront un jour être utilisées contre vous par des cyber-criminels.
- Méfiez vous des chaînes de mail, messages faussement urgents, pièces jointes, offres alléchantes, promotions exceptionnelles, émetteurs inconnus…
- Les fautes d’orthographes, liens ne fonctionnant pas ou sites qui ne vous sont pas familiers doivent vous mette la puce à l’oreille.
- Vérifiez TOUJOURS la fiabilité d’un site avant de renseigner vos coordonnées, même si ce site vous semble familier.
- Utilisez un filtre anti-spam.
- Informez-vous ! Le Social Engineering repose sur une méconnaissance des pratiques de sécurité. Plus vous connaîtrez la façon dont procèdent les hackers, plus vous serez en mesure de vous protéger contre ce type de piratage.