Dans un sens plus large, toute forme de manipulation liée à la psychologie comportementale peut être considérée comme une ingénierie sociale. Cependant, le concept n'est pas toujours lié à des activités criminelles ou frauduleuses. En fait, l’ingénierie sociale est largement utilisée et étudiée dans divers contextes, dans des domaines comme les sciences sociales, la psychologie et le marketing.
En matière de cybersécurité, l'ingénierie sociale est menée avec des arrière-pensées et fait référence à un ensemble d'activités malveillantes qui tentent de manipuler les gens pour qu'ils prennent de mauvaises décisions, comme la divulgation d'informations personnelles ou confidentielles qui peuvent ensuite être utilisées contre eux ou leur entreprise. La fraude à l’identité est une conséquence courante de ce type d’attaques et entraîne dans de nombreux cas des pertes financières importantes.
L'ingénierie sociale est souvent présentée comme une cybermenace, mais le concept existe depuis longtemps et le terme peut également être utilisé en relation avec des stratagèmes frauduleux réels, qui impliquent généralement l'usurpation d'identité d'autorités ou de spécialistes informatiques. Cependant, l’émergence d’Internet a permis aux pirates informatiques de réaliser beaucoup plus facilement des attaques manipulatrices à plus grande échelle et, malheureusement, ces activités malveillantes se déroulent également dans le contexte des crypto-monnaies.
Comment ça marche?
Tous les types de techniques d’ingénierie sociale s’appuient sur les faiblesses de la psychologie humaine. Les fraudeurs profitent des émotions pour manipuler et tromper leurs victimes. La peur, l'avidité, la curiosité et même la volonté des gens d'aider les autres se retournent contre eux par diverses méthodes. Parmi les multiples types d’ingénierie sociale malveillante, le phishing est certainement l’un des exemples les plus courants et les plus connus.
Hameçonnage
Les e-mails de phishing imitent souvent la correspondance d'une entreprise légitime, telle qu'une chaîne bancaire nationale, une boutique en ligne réputée ou un fournisseur de messagerie. Dans certains cas, ces e-mails clones avertiront les utilisateurs que leur compte doit être mis à jour ou a montré une activité inhabituelle, les obligeant à fournir des informations personnelles afin de confirmer leur identité et de régulariser leurs comptes. Par peur, certaines personnes cliquent rapidement sur les liens et naviguent vers un faux site Web afin de fournir les données requises. À ce stade, les informations seront entre les mains des pirates.
Logiciel effrayant
Des techniques d’ingénierie sociale sont également appliquées pour diffuser ce qu’on appelle le Scareware. Comme son nom l’indique, un scareware est un type de malware conçu pour effrayer et choquer les utilisateurs. Ils impliquent généralement la création de fausses alarmes qui tentent d'inciter les victimes à installer un logiciel frauduleux qui semble légitime ou à accéder à un site Web qui infecte leur système. Une telle technique repose souvent sur la peur des utilisateurs de voir leur système compromis, les convainquant de cliquer sur une bannière Web ou une fenêtre contextuelle. Les messages disent généralement quelque chose comme : « Votre système est infecté, cliquez ici pour le nettoyer. »
Appâtage
Le appâtage est une autre méthode d’ingénierie sociale qui cause des problèmes à de nombreux utilisateurs inattentifs. Cela implique l’utilisation d’appâts pour attirer les victimes en fonction de leur cupidité ou de leur curiosité. Par exemple, les fraudeurs peuvent créer un site Web proposant quelque chose gratuitement, comme des fichiers musicaux, des vidéos ou des livres. Mais pour accéder à ces fichiers, les utilisateurs doivent créer un compte en fournissant leurs informations personnelles. Dans certains cas, il n’est pas nécessaire de créer un compte car les fichiers sont directement infectés par un malware qui va pénétrer dans le système informatique de la victime et collecter ses données sensibles.
Des programmes d’appâtage peuvent également se produire dans le monde réel grâce à l’utilisation de clés USB et de disques durs externes. Les fraudeurs peuvent intentionnellement laisser des appareils infectés dans un lieu public, de sorte que toute personne curieuse qui s'en empare pour vérifier le contenu finit par infecter son ordinateur personnel.
Ingénierie sociale et crypto-monnaies
Une mentalité avare peut être très dangereuse lorsqu'il s'agit des marchés financiers, rendant les traders et les investisseurs particulièrement vulnérables aux attaques de phishing, aux systèmes de Ponzi ou pyramidaux et à d'autres types d'escroqueries. Au sein de l’industrie de la blockchain, l’enthousiasme suscité par les crypto-monnaies attire de nombreux nouveaux arrivants dans un laps de temps relativement court (en particulier pendant les marchés haussiers).
Même si de nombreuses personnes ne comprennent pas pleinement le fonctionnement des cryptomonnaies, elles entendent souvent parler du potentiel de ces marchés à générer des bénéfices et finissent par investir sans effectuer les recherches appropriées. L'ingénierie sociale est particulièrement préoccupante pour les débutants, car ils sont souvent piégés par leur propre cupidité ou leur peur.
D’une part, la volonté de réaliser des profits rapides et de gagner de l’argent facilement conduit finalement les nouveaux arrivants à courir après de fausses promesses de cadeaux et de parachutages. D’un autre côté, la crainte de voir leurs fichiers privés compromis peut pousser les utilisateurs à payer une rançon. Dans certains cas, il n’y a pas de véritable infection par un ransomware et les utilisateurs sont trompés par une fausse alarme ou un message créé par des pirates.
Comment prévenir les attaques d'ingénierie sociale
Comme nous l’avons mentionné, les escroqueries par ingénierie sociale fonctionnent parce qu’elles font appel à la nature humaine. Ils utilisent généralement la peur comme facteur de motivation, incitant les gens à agir immédiatement afin de se protéger (ou protéger leur système) d’une menace irréelle. Les attaques s’appuient également sur la cupidité humaine, attirant les victimes vers divers types d’escroqueries en matière d’investissement. Il est donc important de garder à l’esprit que si une offre semble trop belle pour être vraie, c’est probablement le cas.
Même si certains fraudeurs sont sophistiqués, d’autres commettent des erreurs notables. Certains e-mails de phishing, et même des bannières de scareware, contiennent souvent des erreurs de syntaxe ou des mots mal orthographiés et ne sont efficaces que contre ceux qui ne prêtent pas suffisamment attention à la grammaire et à l’orthographe – alors gardez les yeux ouverts.
Afin d'éviter d'être victime d'attaques d'ingénierie sociale, vous devez prendre en compte les mesures de sécurité suivantes :
Renseignez-vous, ainsi que votre famille et vos amis. Apprenez-leur les cas courants d’ingénierie sociale malveillante et informez-les sur les grands principes généraux de sécurité.
Soyez prudent avec les pièces jointes et les liens des e-mails. Évitez de cliquer sur des publicités et des sites Web de source inconnue ;
Installez un antivirus fiable et maintenez vos applications logicielles et votre système d'exploitation à jour ;
Utilisez des solutions d'authentification multifactorielle chaque fois que vous le pouvez pour protéger vos informations d'identification de messagerie et autres données personnelles. Configurez l'authentification à deux facteurs (2FA) sur votre compte Binance.
Pour les entreprises : pensez à préparer vos employés à identifier et prévenir les attaques de phishing et les programmes d'ingénierie sociale.
Pensées finales
Les cybercriminels sont constamment à la recherche de nouvelles méthodes pour tromper les utilisateurs, dans le but de voler leurs fonds et leurs informations sensibles. Il est donc très important de vous informer ainsi que votre entourage. Internet constitue un refuge pour ce type d’escroqueries, et elles sont particulièrement fréquentes dans le domaine des cryptomonnaies. Soyez prudent et restez vigilant pour éviter de tomber dans les pièges de l’ingénierie sociale.
De plus, toute personne qui décide de négocier ou d’investir dans des cryptomonnaies doit effectuer des recherches préalables et s’assurer d’avoir une bonne compréhension des marchés et des mécanismes de fonctionnement de la technologie blockchain.
