Intel Security décortique les attaques par ingénierie sociale pour aider à s'en protéger
Dans une nouvelle étude, la division sécurité du fondeur détaille le fonctionnement de l’ingénierie sociale et suggère des contrôles pour s’en protéger.
Le constat, sans appel, ne surprendra guère : « l’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui le facteur humain est le souvent la clé qui permet aux hackers d’agir. En manipulant [les utilisateurs], ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », indiquant Raj Samani, directeur technique EMEA d’Intel Security, dans un communiqué de presse. Plus loin, Paul Gillan, directeur opérationnel de l’EC3, ajoute : « aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs ». Faisant là référence aux chevaux de Troie plus ou moins sophistiqués et diffusés par courriel, il souligne que « ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes prétendument légitimes ».
Des biais psychologiques naturels
Et selon Intel Security, 18 % des utilisateurs visés par un e-mail de hameçonnage cliquent sur le lien menant au logiciel malveillant chargé de commencer la compromission. Alors, pour la division sécurité du fondeur, il convient de rester vigilent à six leviers psychologiques exploités par les cybercriminels. Et cela commence par la réciprocité des échanges : une tendance naturelle à se sentir obligé de répondre lorsque l’on reçoit un message. Répondant à la même logique, la victime engagée dans une démarche « choisit très souvent de tenir ses promesses pour rester cohérentes et éviter de paraître peu voire non fiable ». Sans surprise, les tentatives de hameçonnage sont dès lors « plus productives lorsque le cybercriminel réussi à gagner la confiance de sa victime ». Et, bien sûr, cela fonctionne encore mieux lorsque l’attaquant usurpe l’identité d’une figure d’autorité… C’est la fameuse arnaque au virement demandé par le Pdg.
A cela, il convient d’ajouter l’effet de masse : envoyer le message à sa cible ainsi qu’à ses collègues augmente les chances de réussite. Enfin, mais l’on touche là plus à des approches visant le grand public : l’appétence pour la rareté et la tendance à chercher à saisir rapidement des offres à la durée de vie limitée.
Sensibiliser, encore et toujours…
Face à cela, Intel Security propose plusieurs pistes, touchant en premier les personnes, mais également les processus et les ressources technologiques.
Pour les utilisateurs, le groupe recommande sans surprise de fixer des limites claires, de sensibiliser en continu, d’encourager à vérifier les demandes suspectes, et de créer une culture dont la culpabilisation est absente afin de découvrir plus vite les éventuels comportements à risque.
En ce qui concerne les processus, Intel recommande de mettre en place un système de consignation des appels suspects, de blocage informatif des pages Web suspectes, de notification des clients en cas de rejet d’une demande – ce qui permet au client légitime de découvrir qu’un tiers a tenté d’usurper son identité –, ou encore de mise en place d’un scénario d’escalade, et enfin d’exercices de test de la vulnérabilité des personnels aux attaques par ingénierie sociale.
Et si Intel Security n’oublie la technologie, c’est ici sans jouer l’inflation : le groupe recommande ainsi de systématiser l’enregistrement des appels vocaux, de transférer les appels suspects vers des lignes surveillées, de filtrer e-mail et accès Web, et enfin de miser sur l’authentification forte.