Pas besoin d’un grand savoir-faire technique pour voler des données ou infecter un système informatique, il suffit de s’adresser aux bonnes personnes par mail.
Publié quelques jours après la révélation d’une cyberattaque qui a touché plus de 100 banques à travers le monde (voir notre article), le rapport d'Intel Security « Piratage de l'OS humain » élaboré avec le soutien du Centre Européen de lutte contre la cybercriminalité d'Europol, présente les méthodes de manipulations des hackers pour rendre les collaborateurs d’entreprises complices ou acteurs d’actes de cybercriminalité.
Dans l’exemple cité, les attaques de phishing ciblées ont permis l’ouverture de brèches au sein de ces réseaux bancaires, démontrant ainsi la faiblesse intrinsèque du « pare-feu humain » Deux tiers des e-mails dans le monde sont des spams qui visent à extorquer des informations personnelles et confidentielles ainsi que de l'argent, selon Mc Affe Labs. En 2014, le spécialiste de la sécurité, a enregistré plus de 30 millions de liens suspects, liés à une forte augmentation des mails de phishing (hameçonnage). 92 % des employés français, 80 % des salariés à travers le monde, se sont déjà fait piéger par des menaces informatiques et notamment par des tentatives d’hameçonnage.
« L’analyse de nombreux cas d’usurpation de données nous montre qu’aujourd’hui le facteur humain est le plus souvent la clé qui permet aux hackers d’agir. En manipulant les personnes, ils les incitent à prendre des mesures qui facilitent l’infection des systèmes par des logiciels malveillants », commente Raj Samani, directeur technique EMEA d’Intel Security et conseiller auprès du Centre européen de lutte contre la cybercriminalité d'Europol. « Aujourd’hui, les cybercriminels n’ont pas nécessairement besoin de savoir-faire technique pour atteindre leurs objectifs. Certains logiciels malveillants peuvent infecter les ordinateurs en y accédant directement par e-mails. Ces attaques ciblées manipulent les victimes et les incitent à ouvrir des pièces jointes, prétendument légitimes, ou à cliquer sur un lien qui semble provenir d’une source sûre », ajoute Paul Gillen, directeur des opérations du Centre.
Voici les techniques de persuasion les plus souvent utilisées par les cybercriminels :
1. Réciprocité des échanges : les victimes ont tendance à se sentir obligées de répondre.
2. Rareté de l’offre : les individus sont motivés par l’obtention de ce qu’ils croient être une ressource rare ou une offre limitée dans le temps et peuvent ainsi s’exposer plus facilement au cybercrime. Par exemple, un faux courriel envoyé par une banque demandant à l'utilisateur d’accepter une demande suspecte afin d’éviter la désactivation de son compte dans les 24 heures peut avoir tendance à inciter au clic.
3. Cohérence des engagements : une fois engagée dans une démarche, la victime choisit très souvent de tenir ses promesses pour rester cohérente et éviter de paraître peu voire non fiable. Par exemple, un pirate peut se présenter en tant qu’un membre de l’équipe SI de l’entreprise et, après avoir fait en sorte qu’un employé s’engager à respecter tous les processus de sécurité, lui demander d’effectuer une tâche suspecte sur son poste, qui semblerait être conforme aux exigences de sécurité.
4. Appréciation et amitié : les tentatives d’hameçonnage sont plus productives lorsque le cybercriminel réussit à gagner la confiance de la victime. Pour endormir la méfiance, un pirate pourrait notamment essayer d’entrer en contact, soit par téléphone soit en ligne, et « charmer » au préalable sa victime potentielle.
5. Respect de l’autorité : Les directives dans un e-mail prétendument envoyé de la part du PDG de l’entreprise sont plus susceptibles d’être suivies par un employé.
6. L’effet de masse : par exemple, si un courriel de phishing est prétendument envoyé à un groupe de collègues, plutôt qu’à un seul destinataire, la victime potentielle de l’attaque se sent davantage rassurée et est plus susceptible de croire que le mail provient d’une source sûre.
Lire le rapport complet d’Intel Security : http://www.mcafee.com/us/resources/reports/rp-hacking-human-os.pdf
