Ingénierie sociale: Comment les cybercriminels nous piègent
Risques sur Internet
Des e-mails qui nous menacent d’effacer nos données, des SMS qui nous annoncent des gains exceptionnels ou des contacts sur Facebook qui nous promettent le grand amour: souvent, les rencontres inespérées que l’ont fait en ligne ne tiennent pas leurs promesses. Apprenez-en plus sur les arnaques sur Internet, les techniques des criminels et les façons de vous protéger
Qu’est-ce que l’ingénierie sociale?
L’ingénierie sociale désigne les méthodes qui ont pour objectif les piéger des gens. En nous trompant au moyen d’astuces psychologiques, les criminels essaient de nous subtiliser des informations confidentielles, de se faire de l’argent ou d’obtenir l’accès à l’environnement informatique de l’entreprise. La méthode utilisée pour l’attaque vise toujours l’exploitation de certains comportements. Dans ce contexte, l’«ingénierie sociale» est équivalente au fait d’«influencer les gens» ou à de la «manipulation sociale»
«Mon compte sera supprimé dans 5 minutes?!»
Comment cela fonctionne?
Dans certaines situations, nous, humains, réagissons sans nous poser de questions. En particulier lorsque des émotions fortes sont en jeu, comme le stress, la peur ou l’amour: «Mon compte sera supprimé dans 5 minutes?!» «Le spécialiste IT a besoin de mon mot de passe?!» «Mon grand amour en ligne a besoin d’argent pour soigner un enfant malade?!» Lorsque des criminels se camouflent avec succès et se font passer pour certaines personnes ou entreprises, ils peuvent nous mettre dans des situations où nous nous sentons vulnérables ou tenus de faire quelque chose qui finit par nous porter préjudice.
Les astuces psychologiques – l’élément caractéristique d’un scénario d’ingénierie sociale
Les criminels utilisent des astuces psychologiques pour nous manipuler. Pour cela, ils s’appuient toujours sur nos émotions qui nous mettent la pression et nous empêchent de conserver notre esprit critique. Restez sceptiques lorsque des e-mails ou des appels présentent les caractéristiques suivantes:
- Menace: si vous ne faites pas X, alors il y aura Y!
- Urgence: vous devez agir immédiatement!
- Exclusivité: je m’adresse spécialement à vous!
- Prière: j’ai besoin d’aide!
Scénarios fréquents
Les boutiques en ligne frauduleuses – trop bon marché pour être vraies
Nous nous réjouissons de faire une bonne affaire ou de l’occasion unique d’acquérir un produit à prix réduit. Les criminels en profitent. Ils créent des boutiques en ligne avec des offres séduisantes.
«Le nouvel iPhone maintenant avec 50% de rabais! Seulement pour vous et seulement aujourd’hui!»
Les baskets de marque pour seulement CHF 20? Le sac de designer à 40% de moins? Cela semble alléchant. Souvent, les offres ne sont valables que pour une journée ou même une heure. De cette façon, les criminels essaient d’induire une situation de stress et de nous pousser à accepter l’offre.
Nous cliquons et indiquons les données de notre carte de crédit pour payer. Malheureusement, le produit n’arrivera jamais.
En savoir plus: Shopping en ligne
Arnaqueurs du cœur – nous apportons volontiers notre aide
Si notre grand amour est en difficulté, nous l’aidons sans nous poser de questions. Les criminels profitent de notre propension à aider. Se faisant passer pour une soldate ou un médecin en service à l’étranger, ils acquièrent petit à petit notre confiance et notre cœur en nous envoyant des messages affectueux.
Et c’est enfin le moment de la rencontre en personne. Mais avant, le grand amour rencontré sur Internet annonce par exemple que sa nièce doit subir une opération qui est chère, très chère.
«Tu me manques tellement et j’attends notre rencontre avec tant d’impatience. Malheureusement, je dois encore attendre l’opération de ma nièce. Elle est cruciale et très, très chère...»
Par amour et par souci d’aider, la victime est rapidement disposée à soutenir financièrement la famille étrangère.
En savoir plus: Arnaqueurs du cœur
Arnaque au président – chef·fe ou pas chef·fe
Les criminels utilisent des menaces qui se réaliseront si nous n’agissons pas immédiatement et si nous prenons le temps de réfléchir.
Votre supérieure est en vacances. A la fin de la journée de travail, vous recevez un e-mail qui vous demande de régler immédiatement (!) la facture en pièce jointe. Si vous ne le faites pas, l’entreprise perd un client.
«En ce moment, je ne peux pas être joint par téléphone, mais il est très important que vous effectuiez le paiement avant de rentrer chez vous! Sinon, on perd le client! Traitez impérativement cette affaire de manière confidentielle!»
Le ou la supérieure l’aurait fait volontiers mais il/elle est en vacances et il n’était plus possible de joindre quelqu’un d’autre si tard le soir.
Cependant, l’e-mail et les coordonnées bancaires du client sont faux.
En savoir plus: Arnaque au président
Toutes les victimes ont d’abord des doutes.
Avec ces méthodes, les criminels essaient de les dissiper:
- Ils se font passer pour des personnes dignes de confiance: des femmes, des personnes âgées, des policiers, des supérieurs hiérarchiques.
- Ils impliquent des membres de la famille, des connaissances ou des personnes respectées qui confirment le cas ou l’urgence.
- Ils envoient une prétendue copie de passeport ou de pièce d’identité ou des documents tels que des bons de livraison, des tickets ou des contrats.
- Ils certifient que l’argent à transférer arrivera «en lieu sûr».
- Ils impliquent des entreprises fictives comme des services de livraison avec de vrais sites web
Que faire? – Respirer. Redescendre sur terre. Contrôler.
Respirer: respirez tout d’abord un bon coup quand une urgence survient. Réfléchissez un moment avant de cliquer sur un lien ou de transférer de l’argent. Vérifiez si la situation est réaliste!
Redescendre sur terre: si quelque chose est trop beau pour être vrai, c’est que généralement cela ne l’est pas – surtout sur Internet. Demandez-vous si la demande ou l’offre que vous avez reçue par e-mail ou téléphone est réaliste: est-ce que j’ai participé à une loterie? Est-ce qu’un designer vendrait ses sacs à un prix aussi bas?
Contrôler: si vous n’y voyez toujours pas plus clair, allez plus loin. S’agit-il d’un message douteux de votre banque? Alors, appelez votre banque. Est-ce qu’il s’agit d’un message de votre supérieur hiérarchique? Alors, parlez avec lui/elle. Ou vous avez reçu une facture ou un contrat d’une entreprise que vous connaissez? Alors, prenez contact avec cette entreprise.
C’est déjà fait? Pas de panique.
Vous avez transféré l’argent?
- Parlez-en à votre banque.
- Mettez immédiatement fin à toute communication avec l’attaquant.
- Portez plainte auprès de la police.
Vous avez donné votre mot de passe?
- Changez vos mots de passe.
- Démarrez votre programme antivirus.
- Parlez-en à votre service informatique.
Des cas réels
Des préjudices financiers dans l’entreprise – AMAG et Emile Egger
Des préjudices financiers dans l’entreprise – AMAG et Emile Egger
L’entreprise familiale Emile Egger a été victime d’une «fraude au président» et le réseau d’entreprise de l’importateur de voitures AMAG a été piraté au moyen d’une pièce jointe malveillante dans un e-mail. Dans les deux cas, les préjudices se sont chiffrés en millions.
En savoir plus: TDG: AMAG victime d'une cyberattaque
Le grand amour?
Une Zurichoise a été escroquée de 180 000 CHF par son prétendu grand amour. Elle a été victime d’une «arnaque aux sentiments».
En savoir plus: Tagesanzeiger: Er gaukelte der Zürcherin Liebe vor, sie verlor 180'000 Franken (allemand)
Piratage de Twitter
En juillet 2020, 130 profils Twitter de célébrités internationales ont été piratés. Twitter parle d’une attaque d’ingénierie sociale coordonnée qui visait directement des collaborateurs ayant un accès aux systèmes et aux outils internes.
En savoir plus: RTS: Pour leur piratage de Twitter, les hackers ont manipulé des employés
En savoir plus
Définition de ingénierie sociale
WikipediaLivret protection internet
TCSEn savoir plus sur l’ingénierie sociale (Social Engineering)
eBanking en toute sécurité!En savoir plus sur le phishing
eBanking en toute sécurité!Testez vos connaissances avec le test sur le phishing
eBanking en toute sécurité!En savoir plus sur la fraude au PDG
eBanking en toute sécurité!En savoir plus sur la fraude à l’investissement
eBanking en toute sécurité!Cas actuels et phénomènes courants
Cybercrimepolice (allemand)