Vous recevez un email de votre directeur commercial : “je suis en train de closer un client, pour conclure la vente j’ai besoin que tu ailles acheter 500€ de cartes cadeaux Amazon”. 

Cela vous parait bizarre, mais vous recevez un autre message “c’est un client clé et c’est vraiment urgent. J’ai besoin que tu t’en occupes tout de suite”. 

Dans le doute, vous allez acheter les cartes cadeaux, et vous les envoyez à l’adresse mail qui vous a écrit. 

Il s’agit d’une histoire vraie. Bien sûr, ce n’était pas votre directeur commercial derrière, mais des hackers. 

Et l’outil qu’ils utilisent pour pousser leurs cibles à agir (acheter une carte, télécharger un fichier), divulguer une information ou renseigner ses identifiants s’appelle l’ingéniérie sociale (social engineering en anglais). 

Cet article répondra aux questions suivantes :

  • Qu’est ce que le social engineering (ingéniérie sociale en français) ? 
  •  Comment les hackers s’en servent ils pour des attaques de phishing ?
  • Comment pouvez-vous protéger vos utilisateurs ?

Qu’est ce que le social engineering (ingéniérie sociale en français) ? 

Définition du social engineering en cybersécurité

Le social engineering (ingéniérie sociale en français) est une pratique de manipulation des individus. Replacée dans le contexte de la cyber sécurité, le social engineering est l’ensemble des techniques de manipulation psychologique utilisées par les hackers pour amener leurs cibles à effectuer l’action souhaitée. 

Les techniques d'ingénierie sociale reposent sur des éléments de notre processus de décision appelés biais cognitifs. En termes simples, elles exploitent les "faiblesses" de notre processus de pensée pour contourner notre analyse et notre prudence.

Ils sont, en partie, basés sur les 6 principes d'influence énoncés par R. Cialdini : réciprocité, rareté, autorité, engagement et cohérence, sympathie et consensus.

L’objectif pour les hackers est de trouver les bons messages et le bon contexte pour activer des ressorts psychologiques qui vont amener leurs cibles à agir d’une façon différente de ce qu’elles feraient normalement, à leur détriment. 

Vecteurs d’attaque utilisant le social engineering

Les hackers peuvent utiliser des tactiques de social engineering dans leurs attaques sur de nombreux vecteurs. 

  • Email : Sans doute le plus fréquent, les hackers peuvent utiliser des tactiques de social engineering dans leurs emails de phishing et de spear-phishing. Leur objectif va être d’augmenter la crédibilité de leurs emails en ajoutant des éléments d’authenticité, et de travailler leur message pour augmenter la probabilité que leur cible agisse, par exemple en téléchargeant une pièce jointe infectée et en activant les macros 
  • SMS : Les hackers peuvent pratiquer le smshing (SMS phishing) et utiliser des techniques de social engineering pour obtenir des informations, comme des codes à usage unique dans le cadre de contournement de l'authentification multi-factorielle. L’exemple ci-dessous montre un SMS utilisé pour récupérer un code à usage unique de vérification après une tentative de connexion initiée par les hackers :
  • Appel : Le Vishing (Voice - ou voix - phishing) peut être utilisé pour convaincre des cibles très spécifiques (dans des attaques de whaling) en ajoutant un niveau de crédibilité car les gens ont tendance à accorder de la confiance à un interlocuteur réel
  • Navigateur : Par exemple dans une attaque grand public classique qui consiste à afficher des faux éléments semblant indiquer un virus, pour contraindre la victime à appeler un faux service client, qui, moyennant paiement, “nettoiera” l’ordinateur à distance)
Un exemple d'escroquerie par navigateur utilisant l'ingénierie sociale (source: FTC)
  • Courrier : Un courrier du greffe de commerce demandant le paiement d’une taxe de création d’entreprise à en tête officiel ? C’est une fraude par courrier utilisant la preuve sociale et l’urgence comme technique de social engineering 
  • Physique : Un inconnu qui vous demande de le laisser entrer dans le bâtiment de vos bureaux parce qu’il travaille dans telle société, à rendez-vous avec son CFO (qu’il vous cite) et n’a pas de badge ? Cela pourrait être une forme de social engineering là encore pour pénétrer dans les bureaux. 

Comment les hackers se servent du social engineering dans leurs attaques de phishing ? 

Si l’on se pense sur le phishing par email - qui est le vecteur d’attaque contre les entreprises le plus utilisé - comment les hackers utilisent ils le social engineering dans leurs attaques de phishing ou de spear-phishing ? 

Quel est l’objectif des hackers? 

Les hackers vont chercher à convaincre leur cible de prendre une action qui n’est pas dans son intérêt. Cela peut être : 

  • Ouvrir une pièce jointe et exécuter les macros (ce qui déclenche le téléchargement d’un loader comme Qakbot, Hancitor ou Bumblebee pour en citer quelques uns)
  • Aller sur un site en cliquant un lien
  • Télécharger un fichier et l’exécuter
  • Renseigner ses identifiants sur une page web

Dans tous les cas, c’est une étape préliminaire à une cyberattaque qui peut déboucher sur un ransomware, un Business Email Compromise (BEC), une fuite de données…

Comment utilisent-ils le social engineering dans leurs phishing ? 

Les hackers vont intégrer des tactiques de social engineering dans leur mail pour manipuler leur cible. On peut citer par exemple : 

  • Preuve sociale ou confiance: L’objectif ici est d’augmenter la crédibilité de leur attaque avec des faux éléments d’authenticité. Les hackers disposent pour cela d’un outil très efficace : l'OSINT. L’utilisation d’information disponibles publiquement peut leur permettre de trouver les noms des dirigeants de la société, ceux de ses clients et fournisseurs, des responsables des différentes équipes… Ils peuvent ensuite s’en servir via des attaques BEC où ils se font passer pour des interlocuteurs habituels (voire, si la boîte mail est compromise, directement depuis les emails légitimes).
  • Rareté: Le sentiment de rareté peut entraîner une pression à agir pour la cible. On peut citer comme exemples la création d’un sentiment d’urgence (”vous n’avez que quelques heures pour remettre votre mot de passe à jour”) ou l’appât du gain (”vous avez un nouveau lead dans votre CRM”).
  • Autorité: L’autorité est un levier psychologique puissant pour les hackers (en s’appuyant là encore sur une reconnaissance de l’organisation de l’entreprise). Comme évoqué ci-dessus un message du CEO ou du Directeur Commercial va augmenter les chances, surtout si il est associé à une urgence, que les bons réflexes soient mis de côté dans le traitement du mail de phishing.
  • Réciprocité: La réciprocité est un élément fondamental de la société humaine. On en trouve des traces dans le Code d’Hammurabi (18e siècle avant JC) avec le principe légal “d’un oeil pour un oeil”. Les hackers ont toujours su utiliser ce levier pour parvenir à leurs fins : dès les départ, avec les fraudes au prince nigerian, l’élément clé était la promesse de réciprocité (des fonds immédiats pour débloquer une somme conséquente d’où serait tirée une récompense).
  • Appréciation: On est toujours sensibles aux compliments… Et les hackers l’ont bien compris ! Une attaque de phishing ciblant des chercheurs dans des universités au Royaume-Uni a ainsi commencé avec des emails complimentant les chercheurs sur leurs travaux (on est là sur du spear-phishing travaillé) et évoquant la possibilité de reconnaissance via des nominations dans des journaux ou des prix.
  • Engagement et cohérence: Jouer sur l’engagement des employés à prendre des mesures qui leur paraissent relever de l’intérêt de l’entreprise peut permettre de les piéger. Ainsi, demander une mise à jour d’un logiciel utilisé par l’entreprise, surtout en combinant ce message avec d’autres leviers psychologiques, est une approche potentiellement efficace pour les hackers. 

Exemples de social engineering dans le phishing

Voici quelques exemples tirés des scénarios de nos simulations qui utilisent des leviers de social engineering : 

Docusign du CEO : autorité, preuve sociale

Nouveau prospect CRM : preuve sociale, gain personnel

CFO reset password : urgence, preuve sociale, autorité, engagement

Comment pouvez-vous protéger vos utilisateurs ?

Comment pouvez-vous protéger au mieux votre entreprise de ces techniques qui reposent sur des biais cognitifs profondément ancrés ? Les solutions technologiques ont clairement un rôle à jouer - et un rôle important. Mais, en outre, notre conviction, chez Mantra est qu'un problème humain exige également une réponse humaine.

La meilleure façon de protéger vos équipes - au niveau "humain" - est de leur donner les bons outils pour détecter les tactiques d'ingénierie sociale.

Pour y parvenir, voici quelques-unes des meilleures pratiques que nous pouvons recommander :

  • Organiser fréquemment des cours de sensibilisation à la cybersécurité qui leur rappelleront les différentes tactiques et techniques utilisées par les hackers, les différents vecteurs d'attaque potentiels, ce que les hackers cherchent à obtenir (pièce jointe, téléchargement, identifiants...).
  • Former par des simulations de phishing qui exposeront vos équipes (sans danger) à ces techniques. Ici, fréquence, réalisme et adoption sont les clés !
  • Fournir autant d'informations contextuelles que possible pour les aider à prendre la bonne décision.

L'objectif est que vos équipes soient capables d'analyser correctement, de manière automatique et réflexe, les e-mails de phishing qu'elles reçoivent.

Pour en savoir plus sur l’approche de Mantra, Contactez-nous ici