En effet, les acteurs malveillants récupèrent les données publiées par chacun, les adresses IP indiquant le nom et la localisation de la personne et bien d'autres données encore. Des données importantes qui leur permettent de créer des attaques de type ingénierie sociale.
Cette typologie d’attaques est caractérisée par la manipulation psychologique des victimes. Les hackers sont en capacité de convaincre tout un chacun de divulguer des informations ou d'effectuer des actions au nom du pirate lui-même. S'appuyant ainsi sur l'erreur humaine plutôt que sur les vulnérabilités logicielles.
Phishing, vishing, smishing… Est-ce un nouveau menu de sushis ? Hélas non, ce sont des cybermenaces !
Le phishing, ou hameçonnage, est un type de fraude en ligne qui consiste à inciter les gens à fournir des informations sensibles - telles que des mots de passe ou des numéros de carte de crédit, en se faisant passer pour une source digne de confiance. Le phishing peut se faire par le biais de courriels, de médias sociaux ou encore de sites web malveillants.Le phishing par téléphone, également appelé vishing, est un autre type d'attaque courant et prospère lorsque les cybercriminels ont un minimum d'informations concernant les intérêts de l'utilisateur. Ils exploitent ces connaissances pour créer un sentiment d'urgence impliquant un problème chez la victime, puis ils interviennent pour lui sauver la mise en proposant une solution simple.
Dans d'autres cas, la psychologie positive sera utilisée pour faire savoir à l’utilisateur qu’il a gagné un prix ou un concours - par exemple - ou qu’il reçoit une bonne nouvelle, et il lui sera alors demandé de fournir des informations personnelles afin de recevoir le prix.
Le smishing, également connu sous le nom de SMS-phishing, est une forme de phishing utilisant les téléphones comme plateforme d'attaque. Le criminel exécute l'attaque dans l’intention de rassembler des informations personnelles, notamment le numéro de sécurité sociale et/ou de carte de crédit. Le smishing est envoyé par SMS - d’où son nom : « SMiShing ».
Comment s’en prémunir ? Ne tombez pas dans le piège !
Voici quelques conseils que vous pouvez appliquer pour vous protéger efficacement de ces menaces modernes :- Si un courriel vous semble douteux : ne cliquez pas sur les pièces jointes ou sur les liens qu’il contient, vous devez vous connecter en saisissant l’adresse officielle dans la barre d’adresses de votre navigateur ;
- Vérifiez que les liens hypertextes et le message ne comportent pas de fautes d'orthographe ;
- Demandez-vous si vous attendiez un courriel de l'expéditeur ou si ce courriel est inattendu ;
- Si vous réglez un achat en ligne par exemple et que vous devez donc fournir des informations relatives à votre carte bancaire, vérifiez que vous êtes sur un site web sécurisé qui utilisent des certificats SSL commençant par « https » - le « s » signifiant sécurisé ;
- Ne divulguez jamais d'informations confidentielles dans une réponse à un message électronique, même s’il est écrit d’une manière à apparaître urgent. Les cybercriminels tirent profit des techniques d’ingénierie sociale pour obtenir des données personnelles, comme des noms, adresses, informations bancaires… qui peuvent servir à des activités frauduleuses ;
- Installez un logiciel antivirus sur vos appareils et vérifiez que votre antivirus est à jour pour maximiser sa protection contre les programmes malveillants ;
- Utilisez un filtre anti-hameçonnage compatible au logiciel de courrier électronique installé sur votre ordinateur. Il est également possible d’en installer un dans votre navigateur ;
- Utilisez un logiciel de filtre anti-pourriel ou les fonctionnalités de classement automatique en tant que spam de votre boîte de réception : même si ces filtrages ne sont pas exhaustifs, ils permettent de réduire le nombre de ces courriels ;
- Changez régulièrement vos mots de passe et évitez d'utiliser le même mot de passe pour plusieurs comptes.
Ces attaques d’ingénierie sociale réussissent parce qu'elles exploitent le maillon « faible » de la chaîne de sécurité - le facteur humain. En appliquant les conseils de sécurité décrits ci-dessus, vous serez sur la bonne voie pour assurer la sécurité et la protection de vos données, de celles de votre entreprise et de vos clients. Toutefois, une vigilance constante est nécessaire. Les attaquants continueront à tenter d'obtenir vos informations - et ce par tous les moyens. Par conséquent, faites attention à chaque e-mail, SMS ou appel reçus. Et en cas de doute: raccrochez et ne cliquez pas sur les éléments suspects !
Par Ghizlane Marouane, Consultante GRC chez Synetis