Le social engineering ou ingénierie sociale peut être utilisé dans beaucoup de cas. Ici, nous nous intéresserons à la méthode pour duper les personnes dans le cas d’arnaque et escroquerie.

Cette méthode est utilisée par les pirates, hackers et escrocs de la toile, pour vous voler des informations confidentielles et personnelles. Il ne faut pas être un expert de l’informatique pour réussir. Seulement avoir beaucoup de charisme, comprendre la psychologie et connaître les vulnérabilités humaines.

Quelles sont les attaques possible grâce au social engineering ?

Les trois attaques classiques du social engineering

Avant toute duperie par cette méthode, la personne va se renseigner un maximum sur vous, via les réseaux sociaux et internet en général. Cette dernière n’hésitera pas à usurper des identités pour mieux se rapprocher de vous, voire se faire passer pour des organismes publics comme les impôts ou la Sécurité sociale.

Les trois attaques les plus classiques sont celles par téléphone, mail et courrier.

Le social engineering par téléphone

C’est la méthode la plus rapide et la plus simple. Cependant, il faut que l’escroc ait beaucoup de sang-froid pour le faire, car il peut se faire démasquer facilement.

La personne se fait passer pour quelqu’un que vous connaissez et en qui vous avez confiance : vos responsables, vos partenaires, vos fournisseurs…

Il aura effectué toutes les recherches pour connaître vos termes techniques et ne pas se faire piéger. Il vous demandera des données comme compte bancaire, code de carte bleue, des mots de passe ou encore d’effectuer des virements vitaux pour votre entreprise à réaliser de toute urgence. Le dernier exemple correspond à la fraude au président.

Pour ne pas tomber dans le piège, il faut absolument ne rien dire au téléphone et demander confirmation à une autre personne pour les virements entre autres.

Bref, le mot d’ordre est Méfiance.

Le social engineering par mail

C’est la deuxième méthode, la plus répandue.

Il y a plusieurs sujets de mails.

La première, la personne va créer une adresse mail proche de celle que vous connaissez, qui serait le réel expéditeur. Par exemple : monsieurdupond@ et monsieur.dupond@.

La deuxième correspond à l’arnaque « à la nigériane ». La personne se fait passer pour quelqu’un qui a besoin d’aide pour sortir de l’argent contre rétribution, en général.

La troisième est un proche qui vous demande de l’aide financière urgente. Il vous promet de vous rembourser dès qu’il pourra. Ce qui n’arrivera jamais.

La quatrième est un organisme public comme les impôts ou EDF qui vous doit de l’argent. Le mail vous demande donc vos coordonnées bancaires afin de procéder au virement.

Il y a même des escrocs qui vont jusqu’à vous faire croire à une histoire d’amour à la suite d’un match sur une application de rencontre. Ainsi, la personne pourra blanchir son argent grâce à vous, ou vous voler le vôtre.

Il faut absolument faire attention à la rédaction et aux tournures de phrases de ces mails. C’est la première étape qui peut vous mettre la puce à l’oreille.

Lorsqu’il s’agit d’un organisme public, vérifier tout de suite sur le site officiel.

Le social engineering par courrier

De plus en plus rare depuis le développement d’internet et la facilité des mails, c’est une escroquerie qui existe pourtant.

La personne n’hésitera pas à utiliser le logo et la charte graphique officielle de l’organisme dont elle usurpe l’identité.

Le meilleur exemple, est quand vous créez une société, directement après vous recevez des courriers disant que vous devez payer telle ou telle publication ou affichage qui sont obligatoires. Or ce ne sont que des escroqueries.

Si vous avez un doute, n’hésitez pas à contacter l’expéditeur mentionné en trouvant le numéro directement dans un annuaire ou sur internet. Le numéro sur le courrier étant celui de l’escroc.

Les autres types d’attaques grâce au social engineering

Certains escrocs ont une imagination remarquable pour trouver de nouvelles possibilités.

Nous pouvons citer les clés USB ou la souris piégée qui contient un virus ou cheval de Troie.

L’analyse de social engineering permettra de savoir à qui il faut envoyer le cadeau promotionnel au sein de l’entreprise, soit la personne qui a le plus de chance de s’en servir sans même avoir des soupçons.

Il y a aussi la transmission de documents en lien avec vos hobbies ou d’une association que vous soutenez. En cliquant sur le lien du document, vous lancerez un virus sur votre ordinateur sans même le savoir.

En 2012, une histoire a fait couler beaucoup d’encre en France : un journaliste s’est vu pirater toute sa vie entière : tous ses produits Apple, ses mails, ses comptes de stockage en ligne, son compte Amazon.

Dans un premier temps, l’escroc à appeler le service client Amazon en se faisant passer pour ce journaliste, afin de rajouter une carte bancaire en moyen de paiement sur son compte. Pour ce il faut donner son nom, son adresse, et le code de sa carte bancaire.

Dans un deuxième temps, cette même personne rappelle Amazon, car il a perdu ses codes d’accès. Pour vérifier l’identité, il suffit de donner les 4 derniers chiffres d’une carte bancaire associée au compte, soit celle que l’escroc venait de rajouter.

Le compte Amazon est en accès total.

Dans un troisième temps, lors d’une réinitialisation des identifiants d’un compte iCloud, Apple n’a besoin que de 3 informations : le mail du compte, une adresse de facturation et enfin les 4 derniers chiffres de la carte bancaire associée au compte.

Ainsi, l’escroc a eu tous les accès Apple.

Enfin, dans un dernier temps, l’escroc peut soit tout effacer, soit demander de l’argent pour rendre les informations.

Ces exemples démontrent bien que le social engineering permet tous types d’attaques et s’adapte à toutes les personnes et entreprises. C’est pour cela qu’il faut être sensibilisé.

Le pôle Cyber & Investigations, créé par l’association de Shadow Moses, spécialisée dans la cyber-sécurité, et DLP Investigations, agence de détectives privés, vous proposent de vous sensibiliser vous et votre équipe pour lutter contre les menaces internes mais aussi externes.

L’agence DLP Investigations et sa gérante Delphine de La Porte vous conseillent et vous accompagnent dans vos dossiers.
N’hésitez pas à nous contacter grâce au formulaire de contact.