Comment fonctionne l'ingénierie sociale ou “social engineering” et comment vous protéger ?

Découvrez comment vous protéger des menaces d’ingénierie sociale et garantir la sécurité de vos données confidentielles sur Internet et au quotidien.

Temps de lecture: 8 min

L'ingénierie sociale regroupe de nombreuses techniques de fraude utilisées par des cybercriminels pour subtiliser vos données personnelles. Ils mettent en place des techniques de manipulation et exploitent des utilisateurs peu méfiants pour mener des activités frauduleuses. Découvrez dans cet article comment vous préparer à ce type de fraude et apprenez à vous défendre en ligne et au quotidien.

Qu'est-ce que l'ingénierie sociale ?

L'ingénierie sociale est une technique de fraude qui permet aux criminels de voler des informations confidentielles sans pirater des systèmes de sécurité complexes et à grande échelle. Au contraire, ils utilisent une série de techniques de manipulation pour mettre leur victime en confiance, et tromper les personnes peu méfiantes. Leurs techniques exploitent certains aspects de la psychologie de leurs victimes pour les pousser à transmettre leurs données personnelles sans se rendre compte du danger encouru. Tout d'abord, les fraudeurs mettent au point un scénario convaincant pour faire croire à leurs victimes qu'elles sont en sécurité. Ils peuvent se faire passer pour une personne d'autorité, comme un policier ou un représentant du gouvernement. Un grand nombre d'entre eux adoptent des approches insistantes et parfois menaçantes, car ces méthodes peuvent être très efficaces pour mettre en œuvre des scénarios qui peuvent effrayer les victimes.

Aujourd’hui, l'ingénierie sociale est devenue une véritable menace en ligne. Il est plus facile d'envoyer un email trompeur, ou d'amener quelqu'un à cliquer sur un lien, que de se vêtir d’un faux uniforme de policier par exemple, pour obtenir des informations en se rendant au domicile de sa victime. Les risques liés à une attaque en ligne sont souvent les plus faibles pour leurs auteurs. Peu importe la technique utilisée, l'objectif de l'ingénierie sociale est d'avoir accès à des informations privées et confidentielles pour s’en servir à des fin frauduleuses.

Les techniques d'ingénierie sociale

Voici les techniques de fraude les plus courantes :

La technique du prétexte ou « pretexting »

Les cybercriminels utilisent cette technique pour forcer leurs victimes à partager des informations confidentielles. Pour y arriver, ils créent un sentiment d'urgence chez les victimes et les poussent à répondre rapidement à leur demande. Dans d'autres cas, ils ne demandent pas immédiatement des informations à leurs victimes. Les fraudeurs prennent leur temps afin d'instaurer un climat de confiance. Malheureusement, il est très difficile d'anticiper ou d'identifier ce genre de fraude. Cependant, il est très important de toujours questionner l’identité des personnes censées représenter une organisation ou une autorité. En posant simplement quelques questions, vous pourrez vous assurer de la bonne foi de vos interlocuteurs.

La technique de l’appâtage ou « baiting »

Cette méthode de fraude fait miroiter une offre irrésistible afin de d'attirer les victimes dans un piège. La technique de l'appâtage en ligne prend la forme de publicités alléchantes ou d'offres invraisemblables. Imaginez que vous recevez un lien pour télécharger la dernière production hollywoodienne gratuitement, ou qu’une fenêtre s’ouvre dans votre navigateur indiquant que vous avez gagné une grande somme d’argent. Il s’agira sans doute d’une tentative de “baiting” : soyez vigilant !

La technique de l’hameçonnage ou « phishing »

Il s'agit de l'une des fraudes les plus fréquentes à laquelle les gens doivent faire face aujourd'hui sur internet. La plupart des attaques de phishing reposent sur des pratiques d’ingénierie sociale : on manipule la victime pour l’amener à transmettre certaines de ses données personnelles. La personne doit cliquer sur un lien dans un mail ou dans un sms par exemple, puis est invitée à saisir certaines informations confidentielles. Certains fraudeurs piratent également votre boîte mail puis envoient des mails frauduleux à votre liste de contacts. Il est primordial d’être vigilant quel que soit l’expéditeur.

La technique du donnant-donnant ou « quid pro quo »

Avec le quid pro quo - qui signifie une chose contre une autre en latin, les criminels piègent les victimes en leur faisant révéler des informations confidentielles et en leur promettant un échange de services ou de biens. Une approche répandue consiste à être contacté par quelqu'un appartenant par exemple à un service d'assistance technique informatique qui prétend avoir été chargé de vous aider à résoudre un problème quelconque. Lorsque les criminels ont la chance de tomber sur quelqu'un qui rencontre effectivement des problèmes techniques avec son équipement, ils accèdent à l'ordinateur de la victime et volent des informations personnelles, en prétendant les aider.

Les exemples d'attaques d’ingénierie sociale

Les fraudeurs utilisent des techniques qui varient énormément. Ils peuvent être très créatifs et de nouvelles tentatives de tromperie apparaissent tous les jours. Découvrez quelques exemples d’attaques pour vous permettre d’identifier plus clairement les menaces potentielles :

  • L’appâtage (« baiting ») : des agences gouvernementales de plusieurs États américains ont été victimes de la technique de l’appâtage en 2018. Ils ont reçu des enveloppes, timbrées de Chine, contenant une lettre et un CD-Rom. Le CD contenait un code malveillant caché parmi des documents à l'apparence innocente.

  • La technique du prétexte (« pretexting ») : un rapport de 2019 de Verizon a révélé que les criminels se font souvent passer pour des collègues de travail pour tromper leurs victimes, en se faisant passer par exemple pour le service RH ou financier d'une entreprise.

  • L’hameçonnage (« phishing ») : en 2020, une attaque d'hameçonnage a envoyé des emails semblant provenir de l'Organisation Mondiale de la Santé (OMS). Le message contenait de fausses informations sur les actions à mener pour empêcher la propagation du coronavirus. Après avoir essayé de télécharger le document en pièce jointe, les victimes ont été redirigées vers un site internet frauduleux.

  • Le quid pro quo ou “donnant-donnant” : en 2016, une étude menée par l'université du Luxembourg a révélé que les victimes étaient plutôt enclines à transmettre leur mot de passe lorsqu'on leur offrait un petit cadeau. Cette technique est efficace car elle utilise la réciprocité, un terme de psychologie désignant le sentiment d'obligation des gens à retourner une faveur. Si efficace, en fait, que les participants ont été convaincus de partager leurs données lorsqu'on leur offrait un simple morceau de chocolat.

Comment pouvez-vous vous protéger ?

Heureusement, bien que les techniques varient, il existe de nombreuses mesures à mettre en place pour vous protéger. La vigilance est essentielle, tout comme la méfiance envers toutes les sollicitations que vous recevez de la part d'expéditeurs inconnus. Découvrez quelques façons de vous protéger :

  • Vérifiez toujours la provenance des emails que vous recevez et surtout lorsque l’on vous demande de transmettre des données personnelles ou de cliquer sur un lien. Faites particulièrement attention aux coordonnées de l'expéditeur, au corps de l’email et surtout aux liens et aux pièces jointes attachées.

  • Si le message vous demande de répondre rapidement, prenez votre temps et redoublez de vigilance. C'est une des ruses les plus répandues des fraudeurs pour vous pousser à agir avant de réfléchir.

  • Si une offre semble trop belle pour être vraie, elle l’est probablement. Restez très vigilant.

  • Protégez votre ordinateur avec un antivirus efficace ou une protection pare-feu.

  • Connectez-vous à vos comptes grâce l’authentification multi-facteurs (ou double authentification). Cela permet de mettre en place une double sécurité, en envoyant par exemple un code sur votre téléphone lorsque vous accédez à l’un de vos comptes.

  • Vérifiez toujours deux fois les liens que vous recevez dans vos emails, et, en cas de doute, rendez-vous sur le site internet en question en tapant directement l'adresse dans votre navigateur, plutôt que de cliquer sur le lien présent dans l'email.

  • Ne téléchargez pas de fichiers, ne communiquez aucune information personnelle ou ne cliquez pas sur les liens fournis par des expéditeurs inconnus. Et comme nous l’avons mentionné en début d’article, la vigilance est la principale défense contre ce type de fraude. Les criminels espèrent vous prendre au dépourvu, mais vous avez maintenant une longueur d'avance.

La sécurité chez N26

Nous avons mis en place plusieurs mesures de sécurité pour que vous puissiez utiliser votre compte en tout sérénité. Pour accéder à votre compte, vous devez ainsi vous connecter grâce à un mot de passe sécurisé ou à l’aide de la reconnaissance faciale ou de votre empreinte digitale depuis votre téléphone synchronisé. Si vous vous connectez depuis votre navigateur, vous devrez valider votre connexion depuis le téléphone lié à votre compte. De plus, vous devrez définir un code de validation pour valider vos transactions comme vos virements. Vos paiements en ligne sont également sécurisés grâce à la technologie 3D Secure.

Au-delà des ces mesures de sécurité, veuillez noter que :

  • Nous ne vous contacterons jamais pour vous menacer de fermer votre compte si vous ne répondez pas dans un délai précis.

  • Nous ne vous demanderons jamais de divulguer vos identifiants de connexion via un email, un appel téléphonique ou un sms.

  • Nous ne vous demanderons jamais de vous connecter à un compte créé à votre insu.

  • Nous ne vous contacterons jamais via Whatsapp, ou tout autre service de messagerie privée.

Si vous pensez avoir été confronté à une fraude de ce type, veuillez contacter notre Service Client le plus rapidement possible. Vous pouvez nous contacter via le Livechat directement depuis votre application N26.

Par N26

La banque qui s'adapte à votre quotidien.

Articles similaires

Ces articles pourraient vous intéresser