Archives par mot-clé : ingénierie sociale

backdoor, Cybersécurité, Espionnae, Espionnage Spy, ID, Identité numérique, Securite informatique, Smartphone, Social engineering, Téléphonie

GhostPairing, l’arnaque qui contourne votre vigilance

Sans casser le chiffrement, sans voler de mot de passe, sans SIM swapping, des cybercriminels peuvent désormais accéder à WhatsApp. Une attaque qui pousse l’utilisateur à autoriser lui-même l’intrusion.

Des chercheurs en cybersécurité de Gen alertent sur une nouvelle méthode, baptisée GhostPairing, permettant de prendre le contrôle d’un compte WhatsApp sans dérober de mot de passe, sans attaquer le chiffrement et sans détourner la carte SIM. Le scénario repose sur la confiance : un message d’un contact proche, du type « Salut, j’ai trouvé ta photo« , entraîne la victime vers une fausse page imitant Facebook. Sous couvert de vérification d’identité, l’utilisateur saisit un code d’appairage WhatsApp authentique, ce qui ajoute, à son insu, le navigateur de l’attaquant comme appareil connecté. Le téléphone reste normal, l’espionnage devient discret et durable.

Le piège : une fausse photo, un vrai appairage

L’attaque ne commence pas par une faille technique spectaculaire. Elle démarre par un réflexe humain, la curiosité, et par un ressort social, la confiance. Un message arrive d’un contact connu :  » Salut, j’ai trouvé ta photo » ; « Hello, c’est toi sur la vidéo ?« . Ce type de phrase fonctionne précisément parce qu’elle semble banale, presque intime. Elle abaisse la méfiance, surtout quand elle vient d’une personne proche, et elle donne envie de cliquer sans trop réfléchir. Une approche qui n’est pas nouvelle, mais prend une nouvelle tournure.

Le lien conduit ensuite vers une page frauduleuse qui copie l’apparence de Facebook. Là encore, l’attaquant joue sur un automatisme. Les internautes ont intégré l’idée qu’un site peut demander une « vérification » avant d’afficher un contenu. Cette étape est le cœur du piège. Ce qui ressemble à un contrôle d’identité n’est pas un écran de sécurité, c’est le processus de connexion d’un appareil WhatsApp.

La victime se retrouve à saisir un code d’appairage parfaitement légitime. Le détail est crucial : il ne s’agit pas d’un code inventé ou d’un contournement du chiffrement. C’est un mécanisme normal de la plateforme, prévu pour relier un nouvel appareil à un compte existant. En entrant ce code, l’utilisateur ajoute involontairement le navigateur du cybercriminel dans la liste des appareils connectés. L’accès s’installe sans bruit, sans alerte évidente, et surtout sans que le compte principal ne soit « déconnecté ».

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Pourquoi c’est inquiétant : l’accès est invisible, la confiance devient vecteur

Plusieurs raisons de s’inquiéter, et elles ont un point commun : GhostPairing s’appuie sur le fonctionnement prévu de WhatsApp. Aucun mot de passe n’est nécessaire, ce qui réduit les signaux classiques d’attaque. Il n’y a pas non plus de SIM swapping, donc pas de coupure de ligne ou de perte de réseau qui pourrait alerter la victime. Et le chiffrement n’est pas « cassé », la manœuvre se déroule avant tout au niveau de l’autorisation d’accès.

La conséquence opérationnelle est claire : le téléphone continue de fonctionner normalement. L’utilisateur envoie et reçoit ses messages comme d’habitude, pendant qu’un second appareil lit, copie et observe. Dans une logique de renseignement, c’est précisément le scénario recherché : accès continu, discret, et à fort contenu informationnel. Les messages, les photos, les contacts, mais aussi les échanges privés qui révèlent des habitudes, des relations, des trajets, des fragilités, deviennent accessibles.

Le risque de propagation est aussi central. L’arnaque se diffuse via des comptes déjà compromis, qui écrivent ensuite à des proches, à des groupes familiaux ou à des cercles professionnels. L’effet boule de neige est alors mécanique : la confiance circule plus vite que les mises en garde. Une fois à l’intérieur d’un réseau social de proximité, l’attaquant gagne un avantage psychologique sur chaque nouvelle cible.

Insistons sur l’escalade possible. Avec un accès aux conversations, l’attaquant peut préparer des fraudes plus lourdes : usurpation d’identité, escroqueries ciblées, chantage. Les contenus vocaux, les photos et les échanges privés servent de matière première. Ce n’est pas seulement une atteinte à la vie privée, c’est un levier d’action contre la victime et son entourage.

Ce qui change : l’attaque ne casse rien, elle fait accepter

GhostPairing illustre une évolution majeure : au lieu de forcer la porte, l’attaquant obtient les clés en demandant poliment. Il ne s’agit pas d’un exploit complexe, mais d’une mise en scène qui amène l’utilisateur à valider lui-même l’accès. Les mécanismes de connexion rapides, QR codes, appairage, confirmations “en un geste”, sont conçus pour faciliter la vie. Ils deviennent aussi des surfaces d’abus, car ils réduisent la visibilité de ce qui est réellement accordé.

Le signal dépasse WhatsApp. DataSecuritybreach.fr y voit un avertissement pour toutes les plateformes où les connexions entre appareils se font vite, avec peu de friction et peu d’explications. Dans un monde où l’authentification se fluidifie, l’attaquant investit la persuasion. Il ne cherche pas seulement une faille, il cherche un réflexe.

Face à ce type d’attaque, la première défense consiste à regarder ce qui est déjà autorisé. Data Security Breach recommande de contrôler la liste des appareils liés au compte WhatsApp via les paramètres puis la section des appareils connectés, et de retirer tout appareil inconnu. Ensuite, il faut traiter comme suspect tout site qui demande de scanner un QR code WhatsApp ou d’entrer un code d’appairage pour accéder à une photo ou à un contenu. Cette demande est un signal d’alarme, car elle mélange deux univers, un prétexte « photo » et une action « connexion ».

Enfin, l’activation de la vérification en deux étapes est présentée comme une mesure utile, mais l’élément décisif reste la sensibilisation de l’entourage. Comme l’arnaque exploite les relations, prévenir famille, collègues et groupes devient une mesure de protection collective. La sécurité se joue alors autant dans la technique que dans la culture du doute.

Avec GhostPairing, voici une prise de contrôle qui ne ressemble pas à un piratage classique : elle s’installe par consentement trompé, sans bruit, et transforme un mécanisme d’appairage en porte d’entrée. Dans un écosystème où les connexions « sans friction » se multiplient, la question cyber et renseignement est directe : comment rendre visibles, compréhensibles et contestables ces autorisations, avant qu’elles ne deviennent l’arme favorite des escrocs ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à notre NewsLetter

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Espionnage Spy, Social engineering

Réseaux sociaux professionnels, nouvelles armes d’ingérence

Utilisés pour recruter, réseauter ou lever des fonds, les réseaux sociaux professionnels deviennent aussi un terrain d’ingérence, d’escroqueries sophistiquées et de collecte discrète d’informations sensibles.

Les réseaux sociaux professionnels sont désormais centraux pour recruter, chercher un emploi ou nouer des partenariats. Mais la même mécanique de visibilité, fondée sur la mise en avant des parcours, projets et intérêts, expose chercheurs, dirigeants et salariés à des approches malveillantes. Un flash Ingérence 2025 de la DGSI détaille plusieurs scénarios concrets : faux investisseurs, mécénats imaginaires portés par des célébrités, usurpation d’identité de collaborateurs pour soutirer des informations stratégiques. Derrière ces démarches se trouvent des escrocs, des réseaux criminels ou des acteurs liés à des puissances étrangères. L’enjeu n’est plus seulement la cybersécurité technique, mais la maîtrise de son exposition numérique et la protection du renseignement économique et scientifique.

Réseaux sociaux professionnels, un angle mort de la sécurité

Les plateformes dédiées à la vie professionnelle sont devenues incontournables pour les trajectoires de carrière, la chasse de talents ou la mise en relation entre entreprises et chercheurs. Leur logique encourage toutefois à dévoiler bien plus que son simple CV, en exposant centres d’intérêt, projets, technologies maîtrisées, partenariats envisagés sans parler des égoscentricité diverses.

Cette surabondance de données en libre accès offre un terrain idéal à des acteurs malveillants. Escrocs, réseaux criminels organisés ou intermédiaires agissant pour le compte d’États étrangers peuvent y repérer des profils, cartographier des écosystèmes entiers et préparer des approches ciblées. Les informations utilisées pour bâtir le scénario de manipulation proviennent le plus souvent des contenus que la victime a elle-même publiés.

La DGSI souligne que cet usage non contrôlé des réseaux sociaux professionnels touche tous les niveaux, du jeune salarié au dirigeant d’entreprise, en passant par les chercheurs et cadres intermédiaires. Les motivations varient, mais se recoupent : escroquerie financière, déstabilisation d’une structure, captation d’informations économiques, technologiques ou scientifiques sensibles.

Le caractère dématérialisé de ces approches joue en faveur des attaquants. Une demande de connexion, un message flatteur ou une opportunité d’investissement semblent moins menaçants qu’un rendez-vous en face à face. La distance numérique atténue le sentiment de risque et abaisse la vigilance, alors même que les conséquences possibles sont lourdes : pertes financières, fuite de données, atteinte durable à la réputation.

Aux yeux de la DGSI, ces événements, souvent perçus comme des incidents isolés par ceux qui les subissent, s’inscrivent pourtant dans des stratégies plus larges. Une même campagne peut viser simultanément plusieurs chercheurs, différentes start-up d’un même secteur ou divers services au sein d’un groupe industriel, sans que chacun n’ait conscience d’être pris dans un ensemble coordonné.

L’obligation de discrétion inhérente à une recherche d’emploi ou à une discussion de partenariat complique encore la détection interne. Un salarié ou un responsable de laboratoire hésitera à alerter sa hiérarchie sur une approche ambiguë de peur de dévoiler des démarches personnelles. Ce silence crée un angle mort dont les attaquants tirent parti.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes exploitables, priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Du faux investisseur au faux collègue, trois scénarios révélateurs

Le premier cas mis en avant par la DGSI concerne une start-up française en difficulté financière, active dans un secteur jugé sensible. Son dirigeant est approché sur un réseau social professionnel par un cabinet de conseil étranger qui se présente comme l’intermédiaire d’un fonds d’investissement. Le discours est calibré : promesse de capital, discours rassurant, vocabulaire professionnel.

Très vite, le cabinet réclame une présentation détaillée des activités de la jeune pousse, au motif d’évaluer un futur investissement. Le dirigeant, en quête de solutions, partage même un projet de nouveau produit encore en conception. Sans exiger de documents financiers solides, sans poser de questions approfondies, l’intermédiaire transmet une offre d’investissement très avantageuse pour la start-up. Cette absence de curiosité économique réelle constitue un premier signal d’alerte.

Lorsque le service juridique de l’entreprise engage une due diligence, les incohérences se multiplient. Les adresses électroniques des membres du prétendu cabinet de conseil ne correspondent pas au nom de la structure. L’identité de l’investisseur final ne peut être confirmée. Le montage financier proposé comporte, lui aussi, des zones d’ombre. La DGSI, sollicitée, confirme que ni le cabinet ni le fonds ne possèdent d’existence légale dans leurs pays d’origine et n’apparaissent dans aucune base de données officielle. Le dirigeant met immédiatement fin aux échanges, évitant à la fois une escroquerie potentielle et une exposition de ses informations sensibles.

Le deuxième scénario illustre une approche à mi-chemin entre ingénierie sociale et escroquerie classique, habillée en mécénat prestigieux. Un responsable de centre de recherche reçoit, via un réseau social professionnel, un message d’un individu se présentant comme le chargé de communication d’une célébrité internationale. Or le chercheur venait justement de publier un message signalant son intérêt pour cette personnalité, ce qui a probablement servi de déclencheur.

L’interlocuteur affirme que la célébrité souhaite financer les travaux du centre à hauteur de plusieurs millions d’euros, en cohérence avec ses engagements caritatifs. En sources ouvertes, les dons récents de cette star, relayés massivement sur les réseaux, semblent effectivement orientés vers un domaine proche de celui du laboratoire. Pour le chercheur, cette concordance entre le discours du contact et les informations publiques accroît la crédibilité du récit, au point qu’il poursuit la discussion.

Puis le scénario bascule vers un schéma d’escroquerie bien connu. Avant tout versement, le prétendu chargé de communication demande au chercheur de régler une taxe locale de plusieurs milliers d’euros, officiellement nécessaire pour débloquer le don. La DGSI, alertée, rappelle qu’il s’agit d’un mode opératoire typique des fraudes sur Internet et conseille fermement au chercheur de cesser immédiatement tout échange. Si la tentative échoue, elle révèle la capacité des attaquants à exploiter l’ego, la notoriété et l’actualité médiatique pour paraître crédibles.

Le troisième exemple met en lumière les dangers de l’usurpation d’identité interne. Dans une société développant des technologies sensibles, le dirigeant découvre sur un réseau social professionnel un profil se faisant passer pour un comptable de l’entreprise. Ce faux collaborateur tente de se connecter à un grand nombre de salariés. Grâce à un message d’alerte diffusé rapidement en interne, aucune interaction significative n’a lieu et le profil est identifié comme frauduleux.

Quelques mois plus tard, un second faux compte apparaît, cette fois encore en se présentant comme salarié de la même société. Plus discret, plus patient, ce profil parvient à engager le dialogue avec plusieurs collaborateurs sur des sujets professionnels. Un employé récemment recruté commet alors une imprudence : il communique des éléments stratégiques, notamment le calendrier de développement de certaines activités et le niveau d’avancement de technologies clés.

Le service sûreté de l’entreprise intervient pour sensibiliser ce salarié et rappeler les règles de protection de l’information. Le faux profil est signalé à l’ensemble du personnel. L’épisode illustre la fragilité particulière des nouveaux arrivants, moins familiers de la culture de sécurité de la structure, et montre qu’un simple échange en ligne peut suffire à livrer des renseignements à forte valeur ajoutée.

De la sensibilisation à la réaction, la stratégie défensive de la DGSI

Face à cette montée en puissance des approches malveillantes sur les réseaux sociaux professionnels, la DGSI insiste d’abord sur la prévention. Une hygiène numérique régulière doit être intégrée dans la culture de l’entreprise ou du laboratoire. Les services chargés de la sécurité des systèmes d’information peuvent organiser des sessions de formation internes, rappeler les bonnes pratiques et expliquer les mécanismes de l’ingénierie sociale. Les collaborateurs sont également invités à suivre les modules en ligne et le guide des bonnes pratiques proposés par l’Agence nationale de la sécurité des systèmes d’information. La DGSI, de son côté, mène des conférences de sensibilisation sur les risques numériques dans les environnements économiques et scientifiques.

La prévention passe aussi par une utilisation plus réfléchie des réseaux sociaux professionnels. La DGSI recommande d’ajuster les paramètres de confidentialité pour limiter l’accès du grand public aux informations du profil. Les personnes occupant des fonctions stratégiques doivent particulièrement éviter de publier des détails trop précis sur leurs responsabilités, leurs projets, leurs partenaires ou leurs technologies. Chaque information partagée peut, à terme, nourrir un scénario d’approche hostile.

Sur le plan opérationnel, l’identification des profils à risque devient une compétence clé. Les profils nouvellement créés, dotés de très peu de relations professionnelles et d’un parcours lacunaire ou incohérent, doivent immédiatement éveiller la méfiance. L’usage d’outils de recherche d’images inversées permet de repérer les photos issues de banques d’images ou volées à d’autres utilisateurs. Des vérifications simples sur Internet ou sur l’intranet de l’organisation peuvent aussi confirmer ou infirmer l’existence réelle d’un contact prétendument rattaché à une entité connue.

La vigilance ne doit pas se limiter au moment de la demande de connexion. Toute sollicitation d’informations, qu’elles soient personnelles ou professionnelles, doit pousser l’utilisateur à s’interroger sur l’identité et les intentions de son interlocuteur. Tant que cette identité n’est pas clairement confirmée, le téléchargement et l’ouverture de pièces jointes envoyées via ces plateformes sont à proscrire, sous peine de risquer une infection ou une fuite de données.

Même un faux profil soigneusement construit, maîtrisant les codes des réseaux professionnels, reste rarement indétectable. Il est possible de recouper sa réputation en interrogeant d’autres membres de son propre réseau ou en observant le réseau de la personne suspecte. Un premier échange par téléphone ou en visioconférence peut offrir des indices supplémentaires sur la réalité de l’interlocuteur, même si cette étape ne suffit pas toujours à lever tous les doutes.

En cas d’approche suspecte, la DGSI recommande plusieurs réflexes. Il est préférable d’ignorer une invitation plutôt que de la refuser explicitement, car une invitation laissée sans réponse empêche l’émetteur de relancer ultérieurement. Lorsqu’un faux profil est détecté, les personnes visées doivent alerter leur responsable sûreté, leur fonctionnaire de sécurité défense ou la direction. Cette remontée d’information permet de prévenir l’ensemble des collaborateurs et de repérer d’éventuels cas similaires.

Les services d’assistance des principaux réseaux sociaux professionnels disposent, selon la DGSI, de dispositifs de signalement dédiés aux faux profils et aux contenus frauduleux. Les utiliser systématiquement contribue à assainir l’écosystème numérique de l’entreprise. Enfin, lorsqu’une société ou un organisme de recherche actif dans un domaine sensible détecte une campagne ou des approches répétées, il est encouragé à prendre contact avec la DGSI via l’adresse securite-economique@interieur.gouv.fr, afin d’être accompagné dans l’analyse et la réponse à apporter.

Les réseaux sociaux professionnels concentrent désormais une part croissante du renseignement exploitable sur les organisations, leurs projets et leurs talents. Faute de maîtrise de cette exposition numérique, dirigeants, chercheurs et salariés deviennent des cibles accessibles pour des acteurs dont la frontière entre criminalité, espionnage économique et ingérence étrangère est parfois floue. La réponse ne se résume plus à la protection des systèmes d’information : elle implique une culture partagée de vigilance, un encadrement clair de ce qui peut être publié et une capacité à détecter les signaux faibles d’une approche hostile. Reste une question centrale pour les années à venir : les organisations sauront-elles traiter leurs traces numériques professionnelles comme un actif stratégique à protéger au même titre que leurs secrets industriels ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
LinkedIn
GNews
Autres

Base de données, Communiqué de presse, Cybersécurité, double authentification, Entreprise, Fuite de données, Mise à jour, Securite informatique

Fraude au nom de domaine : des millions de nouveaux domaines frauduleux. Plus de 90% restent actifs

La société Proofpoint, spécialiste de la mise en conformité et cybersécurité, a publié son rapport 2019 sur la fraude au nom de domaine. L’étude dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de l’entreprise. Elle contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.

Chasse aux domaines frauduleux ! À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale, terme connu aussi sous Social Engineering, pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes. Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients.

Hausse de 11%

Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif.

Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.

Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.

Quand le HTTPS sert aux pirates

Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.

96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.

Une enquête du blog ZATAZ, le plus vieux blog dédié à la cybersécurité en langue française du monde, démontrait comment des entreprises, et leurs clients, se font piéger par des domaines .com transformés en .co.

Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.

Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.

Entreprise, Fuite de données, Social engineering

Quand l’escroc informatique se prend pour un mentaliste

Le CERT-FR, cellule gouvernementale en charge de la sécurité informatique des infrastructures étatiques, a constaté une recrudescence de techniques d’ingénierie sociale (Social Engineering) où un escroc se fait passer pour un agent appartenant à un service de support technique.

Comme le rappel le CERT France, deux méthodes principales sont employées pour contacter une victime potentielle. D’abord l’appel à froid « cold call ». L’escroc appelle directement sa victime en prétendant être le technicien d’un service de support informatique. Il utilise alors des techniques d’ingénierie sociale en expliquant à la victime que son ordinateur est sujet à des comportements suspects. Une technique vieille comme le monde. Kevin Mitnick, hacker mythique, s’en était fait une spécialité dans les années 80. En janvier dernier, une société du sud de la France se voyait « détourner » pas moins de 17 millions d’euros via l’ingénierie sociale.

Autre possibilité, la publicité en ligne. Certains pirates utilisent les moteurs de recherche pour référencer de fausses entreprises de support informatique. Un utilisateur à la recherche d’une solution à un problème technique pourra être tenté de rentrer en contact avec ces fausses sociétés. La victime mise en confiance est incitée à payer pour une assistance ou un produit. Dans certains cas, le prétendu technicien peut faire installer à l’utilisateur ciblé des logiciels de prise de contrôle à distance (tel que LogMeIn) sur ses équipements.

Depuis peu, le même type d’escroquerie a été constaté pour les terminaux mobiles. Le manque de connaissances, de formations, d’informations et la naïveté des victimes permet aux voleurs de prendre le contrôle de l’ordinateur, de la connexion ou d’un terminal. Nous vous parlions, l’année dernière, de faux antivirus commercialisés en Belgique. « Un technicien de support informatique légitime, explique le CERT France, n’est pas censé amener l’utilisateur à installer un quelconque outil supplémentaire sur un poste de travail, ni à lui demander d’identifiants et de mots de passe d’authentification« .

Pour s’en protéger, il suffit de faire preuve de la plus grande prudence vis-à-vis des appels téléphoniques provenant de services de support alors que ceux-ci n’ont pas été sollicités. Ne pas hésiter à être « paranoïaque et solliciter, dans un cadre professionnel, uniquement les services de supports internes à l’entreprise ou à l’organisation.

 

 

Arnaque, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)