Introduction

Selon CertiK, une plateforme de vérification de blockchain et de contrats intelligents, les attaques de phishing ont augmenté de 170 pour cent au deuxième trimestre de 2022, comme le souligne leur rapport trimestriel. De plus, Cisco Talos, une organisation de renseignement sur les menaces et de recherche au sein de Cisco Systems, prévoit que les attaques d'ingénierie sociale, en particulier le phishing, émergeront comme des menaces dominantesdans Web3et le métavers dans les années à venir.

Alors que la bulle Internet a progressivement pris le dessus, devenant l'un des événements les plus recherchés de l'histoire, l'ingénierie sociale dans l'espace Crypto est progressivement en train de gagner en notoriété avec des préoccupations croissantes quotidiennement des victimes d'arnaques et de tentatives de phishing, ce qui a laissé beaucoup dans un état dévasté et confus. Avec l'adoption croissante de la Crypto, des NFT et des technologies Web3, l'occurrence d'arnaques dans ces domaines est également en hausse.

Aussi drôle que cela puisse paraître, l'innovation a progressivement dépassé les limites de la simple amélioration de certains processus ; elle se manifeste également dans la façon dont de nouveaux schémas sont constamment révisés et élaborés pour escroquer un grand nombre de personnes. De manière fascinante, quelques utilisateurs de Web3 tombent encore dans le piège car il est toujours difficile de repérer ou de sentir quand les escroqueries se produisent. Les statistiques ont montré que de nombreuses personnes ignoraient certaines pratiques d'escroquerie jusqu'à ce qu'elles soient profondément impliquées.

Innovation et tendances imprévisibles en ingénierie sociale

Les acteurs malveillants inventent continuellement de nouvelles méthodes pour tromper les utilisateurs afin qu'ils cèdent leurs avoirs en crypto-monnaie, leurs NFT ou leurs informations de connexion confidentielles, le phishing étant une forme prédominante d'attaque par ingénierie sociale.

L'ingénierie sociale est un élément omniprésent dans presque toutes les attaques en cybersécurité, se déclinant sous différentes formes, telles que les escroqueries classiques par e-mail et virus infusées d'aspects sociaux. Son impact s'étend au-delà des appareils de bureau aux sphères numériques, posant des menaces via des attaques mobiles. Notamment, l'ampleur de l'ingénierie sociale ne se limite pas à la sphère numérique, car elle peut se manifester en personne, présentant un paysage de menaces polyvalent.

L'ampleur des dommages de l'ingénierie sociale ne peut être entièrement couverte et comptabilisée en raison de sa large portée. Les chercheurs dans le domaine de la cybersécurité ont découvert une myriade de 57 façons distinctes dont les cyberattaques peuvent affecter négativement les individus, les entreprises et même des nations entières. Ces impacts couvrent un large spectre, englobant des menaces pour la vie, induisant des problèmes de santé mentale tels que la dépression, entraînant des amendes réglementaires et perturbant les activités quotidiennes habituelles.

Principalement, il s'agit d'une stratégie manipulatrice qui tire parti des erreurs humaines pour acquérir des informations privées, un accès non autorisé ou des actifs précieux. Il est à noter que ces escroqueries sont conçues de manière complexe autour de la compréhension des processus de pensée et des comportements humains, ce qui les rend particulièrement efficaces pour manipuler les utilisateurs. En comprenant les motivations guidant les actions d'un utilisateur, les attaquants peuvent habillement les tromper et les influencer.

Types d'attaques d'ingénierie sociale

Source :Office 1.com

Attaques de phishing

L'une des tactiques préférées des criminels en ingénierie sociale a toujours été les attaques de phishing. Ces attaquants se font passer pour votre banque, votre échange de cryptomonnaie ou même un ami tout en essayant de vous inciter à révéler vos mots de passe ou vos informations privées.

• Spam Phishing: C'est comme un filet de pêche jeté large, essayant d'attraper n'importe qui. Ce n'est pas personnel; il espère juste que quelqu'un mord à l'hameçon.
• Phishing par harponnage et hameçonnage ciblé : Ce sont des attaques plus ciblées. Elles utilisent des détails spécifiques vous concernant, comme votre nom, pour vous piéger. Le hameçonnage ciblé vise de gros poissons, comme des personnalités célèbres ou des hauts fonctionnaires.

Maintenant, comment livrent-ils ces tours?

• Phishing vocal (Vishing) : Ils pourraient vous appeler, que ce soit avec un message enregistré ou une personne réelle, vous faisant leur faire confiance et agir rapidement
• Hameçonnage par SMS (Smishing) : Vous recevez un SMS avec un lien ou un message vous demandant de répondre de toute urgence. Cela pourrait vous mener vers un faux site web ou une fraude par e-mail ou numéro de téléphone
• Hameçonnage par e-mail : C’est le classique. Vous recevez un e-mail qui vous incite à cliquer sur un lien ou à ouvrir quelque chose de mauvais
• Hameçonnage de type Angler : sur les médias sociaux, ils pourraient se faire passer pour le service client, détournant ainsi votre conversation vers des messages privés
• Phishing de moteur de recherche: ils manipulent les résultats de recherche, donc vous vous retrouvez sur un faux site Web au lieu du vrai
• Liens d'hameçonnage URL : Ces liens trompeurs apparaissent dans des e-mails, des messages texte ou sur les réseaux sociaux, essayant de vous attirer vers des sites Web frauduleux
• Phishing en session : cela se produit lorsque vous naviguez sur Internet, avec de faux pop-ups demandant vos informations de connexion

D'autres types d'ingénierie sociale incluent:

Attaques d'appât

Le hameçonnage vous piège en utilisant votre curiosité naturelle pour vous attirer et vous exposer à un attaquant. Ils promettent souvent quelque chose de gratuit ou d'exclusif pour vous exploiter, impliquant généralement l'infection de votre appareil par des logiciels malveillants. Les méthodes courantes incluent le fait de laisser des clés USB dans des lieux publics ou d'envoyer des pièces jointes par e-mail avec des offres de cadeaux gratuits ou de faux logiciels.

Attaques par effraction physique

Il s'agit d'attaquants se présentant en personne, faisant semblant d'être quelqu'un de légitime pour accéder à des zones ou des informations restreintes. C'est plus courant dans les grandes organisations. Les attaquants pourraient faire semblant d'être un fournisseur de confiance ou même un ancien employé. C'est risqué, mais si réussi, la récompense est élevée.

Attaques de prétexte

Le prétexte utilise une fausse identité pour établir la confiance, comme se faire passer pour un fournisseur ou un employé. L'attaquant interagit activement avec vous et peut exploiter votre portefeuille une fois qu'il vous a convaincu de sa légitimité.

Attaques de passage en queue

Le tailgating, ou le piggybacking, est lorsque quelqu'un suit une personne autorisée dans une zone restreinte. Ils peuvent compter sur votre courtoisie pour tenir la porte ou vous convaincre qu'ils sont autorisés à entrer. Le prétexte peut également jouer un rôle ici.

Attaques Quid Pro Quo

Cela implique d'échanger vos informations contre une récompense ou une compensation. Ils peuvent proposer des cadeaux ou des études de recherche pour obtenir vos données, en promettant quelque chose de précieux. Hélas, ils prennent simplement vos données sans vous donner quoi que ce soit.

Attaques scareware

Dans les attaques de logiciels d'intimidation, les logiciels malveillants vous effraient pour vous inciter à agir en affichant de faux avertissements d'infections par des logiciels malveillants ou de comptes compromis. Il vous pousse à acheter des logiciels de cybersécurité bidon qui pourraient révéler vos informations privées.

Exemples d'attaques d'ingénierie sociale

Mettre en évidence ces exemples pourrait également servir de point culminant de cet article pour permettre aux lecteurs de prendre des mesures de précaution supplémentaires lorsqu'ils sont confrontés à des situations comme celle-ci.

Les exemples suivants sont des attaques d'ingénierie sociale :

Attaques de vers

Les cybercriminels attirent l'attention en incitant les utilisateurs à cliquer sur des liens ou des fichiers infectés. Les exemples incluent le ver LoveLetter en 2000, le ver email Mydoom en 2004, et le ver Swen se faisant passer pour un message Microsoft offrant un faux correctif de sécurité.

Canaux de Livraison de Liens Malveillants

En ce qui concerne les logiciels malveillants, les liens infectés peuvent être envoyés par e-mail, messagerie instantanée ou salons de discussion sur Internet. Les virus mobiles peuvent être transmis via des messages SMS. Notez que ces messages utilisent généralement des mots intriguants pour inciter les utilisateurs à cliquer, contournant ainsi les filtres antivirus des e-mails.

Attaques de réseau Peer-to-Peer (P2P)

Dans les réseaux P2P, ils sont exploités pour distribuer des logiciels malveillants avec des noms attrayants. Des fichiers comme “AIM & AOL Password Hacker.exe” ou “Playstation emulator crack.exe” attirent les utilisateurs à les télécharger et les lancer.

Humiliation des utilisateurs infectés

Les créateurs de logiciels malveillants manipulent les victimes en leur proposant de faux utilitaires ou des guides promettant des avantages illégaux, tels qu'un accès Internet gratuit ou un générateur de numéros de carte de crédit. Les victimes, ne voulant pas révéler leurs actions illégales, évitent souvent de signaler l'infection.

Comment fonctionne l'ingénierie sociale ?

Source: Imperva, Inc.

Les attaques d'ingénierie sociale reposent principalement sur une communication authentique entre les auteurs et les cibles. Plutôt que de compter sur des méthodes coercitives pour violer les données, les attaquants visent généralement à manipuler les utilisateurs pour compromettre leur propre sécurité.

Le cycle d'attaque d'ingénierie sociale suit un processus systématique utilisé par ces criminels pour tromper efficacement les individus. Les étapes clés de ce cycle sont les suivantes :

• Les attaques d'ingénierie sociale se déroulent généralement en plusieurs étapes. L'acteur malveillant initie le processus en se plongeant dans les antécédents de la victime potentielle, cherchant à recueillir des informations cruciales telles que les pratiques de sécurité faibles ou les points d'entrée vulnérables.
• Une fois armé de suffisamment de détails, l’agresseur établit une relation de confiance avec la victime, en employant diverses tactiques. L’ingénierie sociale englobe des méthodes telles que la création d’une fausse urgence, le fait de se faire passer pour une figure d’autorité ou de faire miroiter des récompenses alléchantes.
• Ensuite, ils se désengagent, ce qui signifie qu'ils se retirent après que l'utilisateur ait effectué l'action souhaitée.

Cette manipulation repose souvent sur l'art de la persuasion, où les attaquants utilisent des tactiques psychologiques pour exploiter le comportement humain. En comprenant ces tactiques, les individus peuvent mieux reconnaître et résister aux tentatives potentielles d'ingénierie sociale, contribuant ainsi à un environnement numérique plus sécurisé. Alors restez informé, restez vigilant et privilégiez la sécurité en ligne!

Ingénierie sociale dans le Web 3.0

Source: Systango

L'espace Web 3.0 a été récemment un terrain de jeu important pour de nombreuses activités malveillantes d'ingénierie sociale. Dans le domaine des cryptomonnaies, les pirates informatiques utilisent souvent des tactiques d'ingénierie sociale pour obtenir un accès non autorisé aux portefeuilles de cryptomonnaies ou aux comptes. Les actifs numériques des utilisateurs de cryptomonnaies, stockés dans des portefeuilles avec des clés privées confidentielles, deviennent des cibles principales pour les escroqueries d'ingénierie sociale en raison de leur nature sensible.

Au lieu de compter sur la force brute pour violer la sécurité et voler des actifs cryptographiques, les auteurs utilisent diverses techniques pour exploiter les vulnérabilités humaines. Par exemple, les attaquants peuvent déployer des stratagèmes pour tromper les utilisateurs en divulguant des clés privées par le biais de méthodes en apparence innocentes, telles que des e-mails d'hameçonnage. Imaginez recevoir un e-mail qui semble provenir de votre service de portefeuille ou de l'équipe de support, alors qu'en réalité, il s'agit d'une tentative d'hameçonnage visant à vous tromper pour révéler des informations cruciales.

Par exemple, une image d'un processus de tentative d'ingénierie sociale sur X (anciennement Twitter) est ci-dessous. Pour le dire simplement, X peut être considéré comme un produit mondial avec des pare-feu et des protections solides, mais malheureusement, l'ingénierie sociale ne connaît pas de limites car ces criminels continuent d'élaborer des modèles innovants et plus avancés pour s'infiltrer à travers n'importe quel mur ou personne/organisation qu'ils souhaitent accéder.

Source: Support X

Un autre tweet a été repéré sur X le 15 juillet 2020, par un utilisateur avec le pseudo ‘@loppLe travail artistique des gars de l'ingénierie sociale semble lui être familier, comme en témoignent ses tweets qui montrent un certain niveau d'expérience.

Source: Jameson Loop sur X

Pour protéger vos avoirs cryptographiques, il est crucial de rester vigilant contre de telles tactiques trompeuses. Soyez prudent face aux e-mails ou messages inattendus, vérifiez l'authenticité de la communication et ne partagez jamais vos clés privées avec des sources inconnues. Un autre tweet du 13 février 2022 montre une nouvelle différence par rapport à des activités similaires.

Source: Thomasg.eth sur X

De plus, en septembre 2023, le protocole décentralisé Balancer, qui opère sur la blockchain Ethereum, a signalé un incident de sécurité impliquant une attaque d'ingénierie sociale. La plateforme a repris le contrôle de son domaine, mais a mis en garde les utilisateurs contre une menace potentielle provenant d'un site non autorisé. Balancer a exhorté les utilisateurs à rester vigilants et à se tenir au courant des risques associés à l'incident.

Source: Balancer sur X

Caractéristiques des attaques d'ingénierie sociale

Les attaques d'ingénierie sociale tournent autour de l'utilisation habile par le fraudeur de la persuasion et de la confiance, incitant les individus à prendre des mesures qu'ils ne considéreraient généralement pas.

Face à ces tactiques, les individus se retrouvent souvent à céder aux comportements trompeurs suivants :

• Émotions exacerbées : La manipulation émotionnelle est un outil puissant, exploitant les individus dans un état émotionnel élevé. Les personnes sont plus enclines à prendre des décisions irrationnelles ou risquées lorsqu'elles éprouvent des émotions exacerbées. Les tactiques comprennent l'instigation de la peur, de l'excitation, de la curiosité, de la colère, de la culpabilité ou de la tristesse.
• Urgence : Les appels ou demandes sensibles au temps représentent une stratégie fiable pour les attaquants. En créant un sentiment d'urgence, les attaquants peuvent présenter un problème prétendument urgent qui exige une attention immédiate ou offrir un prix ou une récompense à durée limitée. Ces tactiques sont conçues pour contourner les capacités de réflexion critique.
• Confiance : Établir la crédibilité est primordial dans les attaques d'ingénierie sociale. La confiance est un élément clé, car les attaquants fabriquent un récit étayé par des recherches suffisantes sur la cible pour le rendre facilement croyable et peu susceptible de susciter des soupçons.

Comment identifier les attaques d'ingénierie sociale

Source : Xiph Cyber

Se défendre contre l'ingénierie sociale commence par la prise de conscience de soi. Prenez un moment pour réfléchir avant de répondre ou d'agir, car les attaquants comptent sur des réactions rapides. Voici quelques questions à considérer si vous soupçonnez une attaque d'ingénierie sociale :

• Vérifiez vos émotions : Vos émotions sont-elles exacerbées ? Vous pourriez être plus susceptible si vous vous sentez inhabituellement curieux, craintif ou excité. Des émotions élevées peuvent obscurcir le jugement, il est donc crucial de reconnaître ces signaux d'alerte.
• Vérifier les expéditeurs de messages : Le message provient-il d'un expéditeur légitime ? Scrutez les adresses e-mail et les profils sur les réseaux sociaux à la recherche de différences subtiles, comme des noms mal orthographiés. Si possible, vérifiez auprès de l'expéditeur présumé par d'autres moyens, car les faux profils sont courants.
• Confirmer l'identité de l'expéditeur : Votre ami a-t-il réellement envoyé le message ? Confirmez avec la personne si elle a envoyé le message, surtout s'il s'agit d'informations sensibles. Il se peut qu'elle ne soit pas au courant d'un piratage ou d'une usurpation.
• Vérifiez les détails du site Web : le site Web a-t-il des détails étranges ? Soyez attentif aux irrégularités dans l'URL, la qualité des images, les logos obsolètes ou les fautes de frappe sur la page Web. Si quelque chose vous semble bizarre, quittez immédiatement le site Web.
• Évaluer l'authenticité de l'offre : L'offre semble-t-elle trop belle pour être vraie ? Soyez prudent face aux offres alléchantes, car elles incitent souvent aux attaques d'ingénierie sociale. Interrogez-vous sur la raison pour laquelle quelqu'un propose des articles de valeur pour un gain minimal de sa part, et restez vigilant contre la collecte de données.
• Examinez les pièces jointes et les liens : les pièces jointes ou les liens semblent-ils suspects ? Si un lien ou un nom de fichier semble flou ou hors contexte, reconsidérez la légitimité de toute la communication. Des signaux d'alerte peuvent inclure un timing étrange, un contexte inhabituel ou d'autres éléments suspects.
• Vérification de l'identité requise : La personne peut-elle prouver son identité ? Si quelqu'un demande l'accès, en particulier en personne, insister sur la vérification de l'identité. Assurez-vous qu'ils peuvent prouver leur affiliation avec l'organisation revendiquée, que ce soit en ligne ou en personne, pour éviter de devenir victime de violations physiques.

Conclusion

Le paysage en constante évolution des attaques d'ingénierie sociale exige une vigilance constante de la part des utilisateurs de Web3. Alors que l'innovation a révolutionné nos vies, elle est également devenue une épée à double tranchant, permettant à la fois le progrès et aux acteurs malveillants. Alors que la responsabilité de protéger nos actifs numériques repose sur nos épaules, prendre des mesures proactives est crucial.

Cet article vous a doté de connaissances précieuses pour identifier et combattre les tentatives d'ingénierie sociale. N'oubliez pas que ralentir et réfléchir de manière critique avant d'agir est votre principale défense. Mettez en œuvre les mesures préventives répertoriées, telles que l'examen des canaux de communication, la mise en place de l'authentification multi-facteurs, le renforcement des mots de passe et rester informé sur l'évolution des techniques de phishing.

Nous pouvons collectivement construire un environnement Web3 plus sécurisé et responsable en étant attentifs et proactifs. N'oubliez pas que la responsabilité incombe à chaque individu de se protéger et de protéger ses actifs numériques. Restez vigilant, restez informé et restez en sécurité !