Nous pouvons protéger nos mots de passe, installer un logiciel antivirus et mettre en place un pare-feu, mais malgré cela, les pirates peuvent toujours exploiter un maillon faible : les humains.

Tout un type de piratage, connu sous le nom d’ingénierie sociale, s’est développé autour de cette vulnérabilité. En utilisant une combinaison de piratage technique, de compétences interpersonnelles et de manipulation, l’ingénieur social peut extraire des informations sensibles d’une cible.

Malgré la ruse des attaques d’ingénierie sociale, il est possible de les repérer et de s’en protéger. Voyons notamment dans cet article des choses à avoir à l’esprit pour augmenter la sécurité de nos données.

🎣 Attaques de phishing

L’hameçonnage est une pratique consistant à déguiser des e-mails et d’autres messages comme s’ils provenaient de sources fiables dans le but d’influencer le destinataire pour qu’il révèle des informations sensibles.

Le titre et le contenu des messages sont généralement formulés pour induire la peur, créer un sentiment d’urgence ou piquer notre intérêt avec des cadeaux.

Par exemple, recevoir un e-mail avec le titre « Urgent : vous avez droit à un remboursement d’impôt » peut nous inciter à prendre des décisions irréfléchies, pensant qu’il y a une fenêtre limitée pour réclamer ce remboursement supposé.

Comment se protéger du phishing : 

  • Ne pas cliquer sur les liens dans les e-mails : Si vous avez des doutes sur la sécurité de l’e-mail, ne cliquez pas sur les liens, même s’ils semblent légitimes. Au lieu de cela, ouvrez l’e-mail sur votre bureau et passez votre souris sur le lien pour prévisualiser l’URL. En cas d’hameçonnage, vous verrez généralement que l’aperçu redirige vers un site Web suspect. Vous pouvez également utiliser d’autres sites pour vérifier si un lien est sûr.
  • Ne pas télécharger les pièces jointes : Le moyen le plus simple d’infecter votre appareil avec des logiciels malveillants consiste à télécharger des pièces jointes. La plupart des clients de messagerie Web analysent les pièces jointes pour vous indiquer si elles sont sûres, mais elles ne sont pas infaillibles. Si vous téléchargez une pièce jointe, analysez-la avec un antivirus avant de l’ouvrir.
  • Vérifier l’extension des fichiers : Les cybercriminels déguisent souvent les logiciels malveillants en quelque chose comme « document.pdf.exe » pour vous inciter à voir la pièce jointe comme un document PDF au lieu d’un programme exécutable. Pour plus de sécurité, n’ouvrez (ou ne téléchargez) jamais de pièces jointes « .exe ». Vérifiez l’adresse de l’expéditeur. Le nom de l’expéditeur correspond-il à son adresse e-mail ? Un expéditeur peut apparaître comme « PayPal », mais l’adresse peut ressembler à « [email protected] » ou « [email protected] ». Si l’adresse e-mail semble inhabituelle, ne cliquez sur aucun lien et ne téléchargez pas de pièces jointes.

📞 Attaques de vishing (Hameçonnage par téléphone)

Le vishing est similaire au phishing, mais il est plus personnalisé. Au lieu d’envoyer des SMS ou d’envoyer un e-mail, l’auteur de la menace pourrait appeler sa cible, prétendre être un employé légitime d’une entreprise ou d’un organisme gouvernemental et essayer d’établir une relation.

vishing attaque cyber

Cette attaque peut être efficace, car parler à un humain réel peut aider les gens à atténuer leurs défenses habituelles. Un exemple courant est l’escroquerie du support technique Windows, où un acteur malveillant nous demande de vérifier notre mot de passe, un OTP ou d’autres informations confidentielles.

Comment se protéger du vishing

  • Vérifier l’identité de l’appelant : si quelqu’un prétend être de notre banque, réalisons un contrôle de sécurité. Obtenons un nom complet, un département et une succursale. Ensuite, visitons le site Web officiel de notre banque et appelons le service client sur une ligne distincte. L’idée est ici de vérifier que l’appelant est bien la personne qu’elle prétend être.
  • Ne pas partager le code PIN, le mot de passe ou l’OTP de notre compte par téléphone : personne ne doit nous appeler pour nous demander nos informations de carte de crédit, notre numéro de sécurité sociale, le mot de passe de notre compte ou le code PIN de notre carte par téléphone. Si quelqu’un demande ces détails, il s’agit très probablement d’une arnaque.
  • Mettre fin à l’appel et signaler l’incident au support de notre banque : Il faut se méfier des appelants aimables. Alors que certaines personnes sont juste gentilles et agréables, cela peut aussi faire partie de la tactique de l’ingénieur social pour nous mettre à l’aise et nous rendre plus susceptible de divulguer des informations.

📱Escroqueries sur les réseaux sociaux

Si nous recherchons notre nom complet sur Google, nous verrons très probablement de nombreuses choses sur notre identité numérique. Cela inclut des liens vers nos comptes Twitter, LinkedIn, Facebook ou Instagram, ainsi que des photos de nous.

Maintenant, réfléchissons aux informations que nous pouvons obtenir à partir de ces liens : emplacement approximatif (ou détaillé), lieux que nous avons visités, amis, lieu de travail, etc. Il peut être terrifiant de voir la quantité d’informations que nous avons publiée, même lorsque nous n’en avons pas l’intention.

reseaux-sociaux

Les cybercriminels peuvent rechercher ces données sur le Web, et les utiliser pour nous comprendre, puis concevoir et lancer une attaque d’ingénierie sociale efficace. Ils peuvent faire semblant d’être d’anciens camarades de classe ou encore une connaissance d’un voyage que nous avons fait il y a longtemps.

Comment se protéger des escroqueries sur les réseaux sociaux : 

  • Considérer ce que nous publions. Évitez de géolocaliser votre photo ou utilisez uniquement un emplacement général comme la ville ou le pays. Recherchez et supprimez ou floutez les informations sensibles dans l’arrière-plan de la photo.
  • Ajuster ses paramètres de confidentialité. Les réseaux sociaux nous aiment pour tout partager avec tout le monde – c’est pourquoi les paramètres de confidentialité de Facebook sont si compliqués, mais nous pouvons toujours prendre le contrôle de notre vie privée avec ces paramètres. Par exemple, nous pouvons restreindre les personnes qui peuvent voir l’activité de notre compte aux amis uniquement ou même sélectionner les contacts qui peuvent voir nos messages.
  • Supprimer les amis que nous ne connaissons pas : Si nous avons créé notre compte il y a longtemps, il y a de fortes chances que nous ayons des amis que nous ne connaissons même pas et avec qui nous n’avons jamais interagi. Supprimer des personnes que nous ne connaissons pas de notre liste d’amis peut aider à réduire le risque que nos messages soient vus par des inconnus.
  • Empêcher l’indexation des moteurs de recherche : Les plateformes de réseaux sociaux comme Pinterest, Facebook, Reddit et LinkedIn ont des paramètres que nous pouvons activer pour empêcher notre compte d’apparaître dans les résultats de recherche. La plupart de ces plateformes ont ce paramètre comme « désactiver l’indexation des moteurs de recherche ».
  • Privatiser notre(nos) compte(s) : un compte privé signifie que seuls les abonnés que nous approuvons peuvent voir nos publications. Vous n’êtes pas obligé de rendre tous vos comptes de médias sociaux privés. Ceux où vous êtes le plus susceptible de divulguer des informations personnelles ou des événements de la vie feront l’affaire.
  • Réfléchir avant de poster : Ce n’est pas parce que l’option de publication existe que nous devons le faire. Réfléchir à ce que nous publions peut nous aider à éviter de trop partager publiquement et à créer une relation plus saine avec la technologie.

🗑️ Attention à ce que nous mettons dans nos poubelles

Nous pouvons recevoir des informations confidentielles (dossiers médicaux, relevés bancaires ou correspondance du gouvernement) dans notre boîte aux lettres physique. Et si nous ramenons des affaires à la maison, il y a de fortes chances que certains papiers finissent à la poubelle.

Nos ordures peuvent être un coffre au trésor pour des attaquants déterminés. La plongée dans les poubelles, c’est quand quelqu’un fouille dans les poubelles dans l’espoir de trouver des informations sur nous et qu’ils peuvent utiliser à des fins malveillantes.

Comment garder nos fichiers privés :

  • Tout déchiqueter : les pages individuelles peuvent sembler inoffensives et il est difficile de voir le mal à jeter un reçu. Cependant, lorsqu’ils sont associés à d’autres documents, les documents supprimés peuvent fournir aux attaquants suffisamment de contexte pour en savoir plus sur nous que prévu. Il est ainsi utile de déchirer soigneusement les papiers en morceaux avant de les jeter.
  • Stocker nos données dans un coffre fort numérique : gérer nos affaires depuis sur Internet génère moins de paperasse pour vous et est sans doute plus pratique. La plupart des banques et des fournisseurs de services sont passés en ligne. Si votre fournisseur de services autorise les relevés en ligne, envisagez de les utiliser à la place.
  • Protéger les informations confidentielles : cela semble démodé, mais si nous avons besoin de conserver des copies papier de documents contenant des informations privées ou confidentielles, nous devons les garder dans un lieu sûr sous clé ou encore dans un coffre-fort.

⌨️ Typosquattage

Il est trop facile de mal orthographier l’adresse d’un site Web. Et c’est exactement ce que veut l’ingénieur social avec la méthode du typosquattage.

Ces attaquants revendiquent des sites Web similaires à des destinations populaires (pensez à « Amozon » plutôt qu’à « Amazon »), puis utilisent ces pages soit pour rediriger les utilisateurs, soit pour capturer les informations de connexion au site réel. Certains des plus grands sites vous donnent déjà un coup de main et redirigent les variantes mal orthographiées de leur URL vers la bonne.

Comment nous protéger du typosquatting

  • Faire attention lorsque nous tapons des adresses de sites Web.
  • Installer un bon logiciel antivirus : certains sites de typosquatting vont essayer de nous inciter à télécharger des logiciels malveillants. Une bonne suite antivirus nous alertera des fichiers et sites Web malveillants avant qu’ils ne causent de réels dommages.
  • Marquer les sites fréquemment visités : de cette façon, nous saurons toujours que nous nous dirigeons vers le bon site Web.

🪝💽 Appâtage 

Faire appel à la curiosité (ou au sens de la cupidité) des gens est la raison pour laquelle cette attaque fonctionne.

L’attaquant laissera une clé USB, un CD ou un autre support physique infecté et attendra que quelqu’un le récupère, l’insère dans sa machine et soit infecté.

Comment nous protéger des attaques d’appâtage

  • Ne jamais utiliser de clés USB ou de périphériques de stockage inconnu : si nous ne savons pas exactement d’où provient l’équipement, nous ne devons pas le brancher sur notre machine.
  • Installer une suite antivirus : si nous connectons un appareil inconnu à notre ordinateur, nous devons nous assurer de bénéficier de la meilleure protection possible. Certains logiciels malveillants peuvent échapper aux logiciels antivirus, voire les désactiver, mais il est préférable de verrouiller la porte plutôt que de la laisser grande ouverte.

🏢 Talonnage (Tailgating)

Cette attaque vise le plus souvent les entreprises, mais pas exclusivement. C’est à ce moment-là que l’attaquant entrera dans un bâtiment physique en suivant ou en se plaçant derrière une personne autorisée.

Comment nous protéger du talonnage

  • Être conscient de qui est autour de nous : un bon attaquant ne se démarquera pas, mais si quelqu’un que nous ne reconnaissons pas nous suit toute la journée, nous devons garder un œil sur lui.
  • Ne pas avoir peur de poser des questions : le talonnage est plus courant au travail, où un attaquant espère obtenir des informations sur l’entreprise. Si quelqu’un nous suit dans notre bâtiment de travail, demandez-lui où il va et si nous pouvons l’aider a trouvé son chemin. Cela pourrait amener le criminel à abandonner son attaque.

Pour conclure…

En tant qu’individus, nous bénéficions de “la vie privée dans l’obscurité”. Ainsi, à moins que nous ne soyons une célébrité ou un employé d’une entreprise, il est peu probable que nous soyons spécifiquement ciblés.

Quoi qu’il en soit, nous devons garder ces habitudes à l’esprit, afin d’éviter de tomber dans les pièges que les cybercriminels peuvent nous tendre.

Si vous avez trouvé une faute d’orthographe, merci de nous en informer en sélectionnant le texte en question et en appuyant sur « Ctrl + Entrée« .

cyber Cyberattaque phishing Sécurité numérique

Leave a Reply

Your email address will not be published.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.