Tactique
Nous nous concentrons sur quatre tactiques principales utilisées en ingénierie sociale : ''Phishing'', ''Smishing'', ''Vishing'' et ''Spoofing''.
''Phishing''
Dans cette tactique, un agent malveillant (attaquant) envoie des courriels frauduleux prétendant provenir d'une source connue, qu'il s'agisse d'un membre de la famille, d'un ami, d'un magasin en ligne ou même de votre école, dans le but d'obtenir vos informations personnelles telles que votre nom, votre adresse, votre âge, votre sexe, vos identifiants et vos mots de passe.
Les messages de phishing sont conçus pour susciter la curiosité, l'inquiétude ou l'intrigue des destinataires, afin de provoquer une action rapide et irréfléchie, comme cliquer sur un lien ou répondre au message.
''Smishing''
Le ''smishing'' suit les mêmes concepts que le ''phishing'', mais il se fait uniquement par le biais de la messagerie texte.
Certaines des attaques de ''smishing'' les plus courantes consistent à envoyer des messages textes tels que:
Un lien vers un site frauduleux.
Des pièces jointes contenant des logiciels malveillants pour infecter votre appareil.
''Vishing''
Dans ce cas, l'attaquant se fait passer pour une source fiable par le biais d'un appel téléphonique. Voici quelques exemples de ''vishing'' :
L'attaquant se fait passer pour l'un de vos services numériques (banque, magasin, abonnement vidéo) et vous demande votre identifiant et votre mot de passe afin de résoudre un incident sur votre compte.
Vous avez gagné un prix et pour le réclamer, vous devez fournir des informations personnelles ou payer des frais.
Le pirate prétend travailler à l'agence de recouvrement des impôts et tente de vous effrayer en utilisant un langage menaçant et en évoquant des conséquences juridiques potentielles.
Le pirate prétend avoir détecté un problème sur votre appareil (ordinateur ou téléphone) et vous demande d'installer une application pour le résoudre.
''Spoofing''
Il s'agit d'une méthode qui permet à quelqu'un de se faire passer pour quelqu'un d'autre en ligne. Il s'agit d'usurper ou de fabriquer l'identité d'une personne ou d'un site. Il existe différentes formes d'usurpation d'identité :
L'usurpation de site web. Cette technique consiste à créer un site web qui semble légitime. Elle peut tromper l'utilisateur en collectant des informations personnelles telles que des mots de passe, des identifiants de connexion, des informations sur les cartes de crédit, etc.
L'usurpation d'adresse électronique. Même chose que pour l'usurpation de site web, mais dans ce cas, il s'agit de manipuler des courriels pour faire croire qu'ils proviennent d'une source fiable.
Usurpation d'adresse IP
Espionnage du GPS
Identification de l'appelant par usurpation d'identité
Exemples:
URL légitime : www.paypal.com - Faux : www.p4ypal.com
URL légitime : www.facebook.com - Faux: www.fac3book.com URL l
URL légitime : www.amazon.com - Faux: www.amaz0n.com
URL légitime : www.microsoft.com - Faux: www.micr0soft.com
Dans les prochaines sections, nous examinerons quelques exemples pour nous aider à identifier les éléments communs utilisés pour tenter de nous amener à donner nos informations.
Last updated