Ingénierie sociale : quand les cybercriminels exploitent la nature humaine
Les cybercriminels délaissent les attaques et kits d’exploitation automatisés au profit de l’ingénierie sociale. Ce changement de cap augmente l’impact des cyberattaques, propageant le piratage psychologique à grande échelle via emails, réseaux sociaux et applications mobiles.
L’approche consistant à exploiter la nature humaine s’est très fortement généralisée dès le second semestre 2016 au niveau mondial, avec 99%des attaques par email conçues, non plus à l’aide de failles d’exploitation ou de vulnérabilités du système, mais de manière à ce que les utilisateurs cliquent et installent eux-mêmes les malwares. Les messages malveillants contenant des URL se multiplient également. Ces messages pointent vers des pages de phishing d’identifiants, élaborées pour ressembler aux pages officielles de marques et ainsi induire en erreur les utilisateurs afin qu’ils communiquent les identifiants de leur compte.
De l’art de la personnalisation en masse
Si les campagnes à grande échelle qui ratissent large à l’aide de centaines de milliers d’emails malveillants envoyés à l’aveugle continuent de sévir à travers le monde (en témoignent les récents et non moins puissants Wannacry, Adylkuzz ou Petrwrap), la tendance forte est désormais à des campagnes de faible envergure, hautement ciblées, aux pièges soigneusement élaborés.
Pour augmenter les chances de tromper leurs cibles, les auteurs d’attaques font ainsi appel à des leurres et à des pièces jointes dans la langue locale, à du code Web propre à la région qui relaie les instructions malveillantes et à des campagnes dont le timing correspond aux heures ouvrables de la région des destinataires visés (et à leur comportement en matière de clics).
Mais les cybercriminels ne s’arrêtent pas là. Ils choisissent avec soin les jours et heures d’envoi de leurs campagnes pour qu’elles aient un maximum d’impact. Il semble d’ailleurs que le volume de messages malveillants avec pièce-jointe atteigne son maximum le jeudi dans la majorité des pays. Les cybercriminels déploient également tous les efforts nécessaires pour que leurs messages atteignent les boîtes de réception au moment où les utilisateurs sont les plus susceptibles de cliquer, c’est-à-dire en début de journée. L’objectif est de leur laisser la journée entière pour consulter les messages et activer leurs liens malveillants. Quelle que soit la région, l’activité atteint son point culminant aux alentours de la pause déjeuner.
En outre, la concentration des clics est la plus forte pendant les heures ouvrables. Pendant cette période, le laps de temps entre la réception de l’email et le clic sur l’URL est généralement le plus court : 48.6% des clics interviennent en moins d’une heure et 87.1% des clics dans les premières 24 heures.
L’ingénierie sociale à l’heure du mobile et des réseaux sociaux
Ces deux dernières années, le taux de clics effectués depuis des terminaux mobiles a plus que doublé, représentant désormais 42% du nombre total de clics sur des URL malveillantes. L’adoption massive des appareils mobiles dans le monde de l’entreprise en a fait de puissants vecteurs de clics. Cette tendance n’a pas échappé aux cybercriminels, qui, à grands renforts d’applications mobiles frauduleuses, incitent les utilisateurs à révéler des informations confidentielles.
Par ailleurs, bien qu’il ne date pas d’hier, le phishing par SMS prolifère et s’appuie sur des techniques toujours plus innovantes pour tromper les utilisateurs. D’autant qu’il n’existe actuellement aucune solution commerciale efficace permettant de filtrer les messages reçus pour ce type d’hameçonnage… A cette brèche de sécurité s’ajoute le fait que la petite taille des écrans des terminaux mobiles permet difficilement de déterminer si un site Web est factice ou non.
Côté réseaux sociaux, les comptes frauduleux de support client sont apparus fin 2015, et n’ont eu de cesse de se développer depuis. D’apparence légitime, ces comptes usurpent en réalité l’identité d’enseignes connues pour répondre aux demandes de leurs clients. Ils sont utilisés dans le cadre d’attaques dites de « Phishing Angler », pratique ayant connu une hausse de 150% en 2016.
Connaître les menaces pour mieux se protéger
Les faiblesses de l’être humain font de celui-ci une cible de choix pour les cybercriminels. Chaque jour nous en apporte la preuve, avec des offensives d'envergure menées au moyen de messages envoyés à des millions de destinataires, des campagnes personnalisées de moindre ampleur ou encore des attaques très ciblées visant à soutirer des informations confidentielles et des identifiants bancaires à des individus précis.
Pour se protéger efficacement, il est impératif de se concentrer sur le principal vecteur d’entrée des menaces en entreprise : la messagerie électronique. Il est également important de surveiller continuellement l’évolution des menaces pour identifier les campagnes d’attaques, les nouveaux outils, tactiques et cibles, afin de neutraliser plus facilement les attaques. Enfin, et le conseil peut paraître évident de prime abord, il est capital d’informer et de sensibiliser tous les utilisateurs régulièrement, à travers des formations ou des campagnes spécifiques. Pour que l’humain ne soit plus toujours le maillon faible de la sécurité des organisations !