Dans un monde de plus en plus connecté, où la confiance est à la fois une monnaie et une vulnérabilité, les acteurs de la menace cherchent à manipuler le comportement humain et à profiter de la tendance des gens à vouloir se rendre utiles. Dans cette infographie, nous étudierons le piratage psychologique, et la raison pour laquelle les acteurs de la menace valorisent les identités professionnelles par-dessus tout, tout en vous présentant quelques-unes de leurs techniques leur permettant de manipuler la nature humaine pour atteindre leurs objectifs.
Elle tire sa force de l'économie de la confiance : la fraude par piratage psychologique
Le piratage psychologique et l'attrait criminel de l’hameçonnage
Environ 901 pour cent des attaques par hameçonnage impliquent des tactiques de piratage psychologique conçues pour manipuler les victimes, généralement par courriel, afin qu'elles révèlent des informations sensibles, qu'elles ouvrent des fichiers ou cliquent sur des liens malveillants. Les attaques par hameçonnage sont rentables pour les attaquants, adaptables pour contourner les mesures de prévention et affichent des taux de réussite élevés.
Les leviers du comportement humain
Généralement, les techniques de piratage psychologique reposent sur l'utilisation de la confiance et de la persuasion par l'attaquant pour convaincre ses cibles de prendre des mesures qui seraient autrement contraires à leur caractère. Les trois leviers efficaces sont l'urgence, l'émotion et l'habitude.2 Urgence Personne ne veut passer à côté d’une opportunité à durée limitée ni se risquer à ne pas respecter une échéance importante. Le sentiment d'urgence peut souvent pousser des cibles, rationnelles en temps normal, à fournir des informations personnelles.
Exemple : Fausse urgence
« L’élément caractéristique d'un courriel d'attaque par hameçonnage, c’est la présence d’un délai en tout genre dans celui-ci. Il veut vous pousser à prendre une décision dans un délai très court. »
Jack Mott – Veille des menaces Microsoft
Émotion
La manipulation émotionnelle peut donner l'avantage aux cyberattaquants, car les humains sont plus susceptibles de prendre des mesures risquées lorsqu'ils sont dans un état émotionnel instable, en particulier si la peur, la culpabilité ou la colère sont en jeu.
Exemple : Manipulation émotionnelle
« L’appât le plus efficace que j'aie jamais vu était un courriel très court, disant que le conjoint de la personne contactée avait engagé une société pour préparer les documents de divorce. Il invitait ensuite la personne à cliquer sur le lien pour télécharger son exemplaire. »
Sherrod DeGrippo – Veille des menaces Microsoft
Habitudes
Les criminels sont de fins observateurs du comportement, et ils accordent une attention particulière aux habitudes et aux routines que les gens adoptent « en pilote automatique », sans trop réfléchir.
Exemple : Habitudes courantes
Dans une technique connue sous le nom de « quishing3 », les arnaqueurs se font passer pour une entreprise crédible et vous demandent de scanner un code QR dans leur courriel. Par exemple, ils peuvent vous dire que vous devez scanner le code parce qu’un soi-disant paiement d'une facture n'a pas été effectué, ou que vous devez réinitialiser votre mot de passe.
« Les acteurs de la menace s'adaptent aux évolutions des entreprises. Ils sont très doués pour déployer des appâts crédibles, dans le contexte où nous les recevons habituellement. »
Jack Mott – Veille des menaces Microsoft
La frontière entre l’identité personnelle et professionnelle d'un employé est parfois floue. Un employé peut être tenté d’utiliser son courriel professionnel pour les comptes personnels qu'il utilise dans le cadre de son travail. Les acteurs de la menace essaient parfois d'en tirer parti en se faisant passer pour l'un de ces programmes afin d'accéder aux informations de l'entreprise d'un employé.
« Dans les escroqueries par hameçonnage par courriel, les cybercriminels recherchent dans leurs « appâts » des adresses électroniques d'entreprises. Les adresses électroniques personnelles ne valent pas la peine qu'on leur consacre du temps. Les adresses professionnelles ayant plus de valeur, ils consacreront davantage de ressources et d'attention à la personnalisation des attaques pour ces comptes. »
Jack Mott – Veille des menaces Microsoft
« L’arnaque d’un siècle »
En général, les attaques par piratage psychologique prennent du temps. Les pirates psychologiques ont tendance à établir une relation de confiance avec leurs victimes au fil du temps en utilisant des techniques d’usure, et cela commence par des recherches. Le cycle de ce type de manipulation peut se dérouler comme suit :
- Recherche : Les arnaqueurs identifient une cible et recueillent des informations de base, comme les points d'entrée potentiels ou les protocoles de sécurité.
- Infiltration : Les arnaqueurs s'évertuent à établir une relation de confiance avec la cible. Ils racontent une histoire, accrochent la cible et prennent le contrôle de l'interaction pour l'orienter dans un sens qui leur est favorable.
- Exploitation : Les pirates psychologiques obtiennent les informations de la cible au fil du temps. Généralement, la cible transmet ces informations de son plein gré, et les arnaqueurs peuvent s'en servir pour accéder à des informations encore plus confidentielles.
- Fin de l’interaction : Un pirate psychologique mettra un terme à l'interaction, de la manière la plus naturelle possible. Un arnaqueur compétent y parviendra sans que cela n’éveille le moindre soupçon chez la cible
Les attaques par BEC se distinguent dans le secteur du cybercrime par l’accentuation du piratage psychologique , mais aussi par l’art de la tromperie. Les attaques par BEC réussies coûtent aux organisations des centaines de millions de dollars chaque année. En 2022, le Federal Bureau of Investigation (FBI) Internet Crime Complaint Center a enregistré des pertes ajustées de plus de 2,7 milliards USD pour 21 832 plaintes d’attaques par BEC déposées.4
Les principales cibles des attaques par BEC sont les cadres et autres dirigeants, les responsables financiers, le personnel des ressources humaines ayant accès à certains éléments dans les dossiers des employés, tels que les numéros de sécurité sociale, les déclarations de revenus ou d’autres informations personnelles. Les nouveaux employés, potentiellement moins propices à identifier les demandes par courriel inhabituelles, sont également ciblés.
Presque toutes les formes d’attaques par BEC sont en augmentation. Les types d'attaques par BEC courants sont :5
- Compromission de messagerie directe (DEC) : Les comptes de messagerie compromis sont utilisés pour manipuler socialement des rôles comptables internes ou tiers dans le but de virer des fonds sur le compte bancaire de l'attaquant ou de modifier les informations de paiement d'un compte existant.
- Compromission de messagerie des fournisseurs (VEC) : Piratage psychologique d'une relation existante avec un fournisseur en détournant un courriel relatif à un paiement et en se faisant passer pour un employé de l'entreprise afin de convaincre un fournisseur de rediriger un paiement en souffrance vers un compte bancaire illicite.
- Arnaque utilisant de fausses factures : Il s'agit d'une escroquerie de masse par piratage psychologique qui utilise des marques commerciales connues pour convaincre les entreprises de payer de fausses factures.
- Usurpation d'identité d'un avocat : L'exploitation de relations de confiance avec de grands cabinets d'avocats réputés afin d'accroître la crédibilité auprès des dirigeants de petites entreprises et de start-ups pour achever le paiement des factures en souffrance, en particulier avant des événements importants tels que les introductions en bourse. Les paiements sont redirigés vers un compte bancaire illicite une fois qu'un accord sur les conditions de paiement a été conclu.
Octo Tempest
Octo Tempest est un collectif d'acteurs de menaces anglophones à but lucratif connu pour lancer des campagnes de grande envergure ayant pour objectif de promouvoir des techniques de type adversary-in-the-middle (AiTM), du piratage psychologique et des possibilités d'échange de cartes SIM.
Octo Tempest est un collectif d'acteurs de menaces anglophones à but lucratif connu pour lancer des campagnes de grande envergure ayant pour objectif de promouvoir des techniques de type adversary-in-the-middle (AiTM), du piratage psychologique et des possibilités d'échange de cartes SIM.
Diamond Sleet
En août 2023, Diamond Sleet a compromis la chaîne d'approvisionnement du fournisseur allemand de logiciels JetBrains en compromettant les serveurs utilisés pour les processus de développement, de test et de déploiement des logiciels. Diamond Sleet ayant déjà réussi à infiltrer des environnements de développement par le passé, Microsoft estime que cette activité présente un risque particulièrement élevé pour les organisations concernées.
En août 2023, Diamond Sleet a compromis la chaîne d'approvisionnement du fournisseur allemand de logiciels JetBrains en compromettant les serveurs utilisés pour les processus de développement, de test et de déploiement des logiciels. Diamond Sleet ayant déjà réussi à infiltrer des environnements de développement par le passé, Microsoft estime que cette activité présente un risque particulièrement élevé pour les organisations concernées.
Sangria Tempest6
Sangria Tempest, également connu sous le nom de FIN, est réputé pour cibler le secteur de la restauration et voler les données des cartes de paiement. L'un de leurs appâts les plus efficaces consiste à porter une accusation d'intoxication alimentaire, dont les détails peuvent être consultés à l'ouverture d'une pièce jointe malveillante.
Sangria Tempest, également connu sous le nom de FIN, est réputé pour cibler le secteur de la restauration et voler les données des cartes de paiement. L'un de leurs appâts les plus efficaces consiste à porter une accusation d'intoxication alimentaire, dont les détails peuvent être consultés à l'ouverture d'une pièce jointe malveillante.
Sangria Tempest, qui est principalement originaire d'Europe de l'Est, a utilisé des forums clandestins pour recruter des personnes dont la langue maternelle est l'anglais, qui sont formées à la manière d'appeler les magasins pour leur faire parvenir l’appât par courriel. Le groupe a volé des dizaines de millions de données de cartes de paiement de cette façon.
Midnight Blizzard
Midnight Blizzard est un acteur de la menace basé en Russie connu pour cibler principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux États-Unis et en Europe.
Midnight Blizzard est un acteur de la menace basé en Russie connu pour cibler principalement les gouvernements, les entités diplomatiques, les organisations non gouvernementales (ONG) et les fournisseurs de services informatiques, principalement aux États-Unis et en Europe.
Midnight Blizzard se sert de messages Teams pour envoyer des appâts tentant de voler les informations d'identification d'une organisation ciblée en attirant l'attention d'un utilisateur et en l'incitant à approuver les invites d'authentification multifacteur (MFA).
Le saviez-vous ?
La stratégie de Microsoft en matière de dénomination des acteurs de la menace a évolué vers une nouvelle taxonomie de dénomination des acteurs de la menace s'inspirant de thèmes liés à la météo.
La stratégie de Microsoft en matière de dénomination des acteurs de la menace a évolué vers une nouvelle taxonomie de dénomination des acteurs de la menace s'inspirant de thèmes liés à la météo.
Les attaques par piratage psychologique peuvent être sophistiquées, mais il existe des moyens de les prévenir.7 Si vous êtes attentif à votre vie privée et à votre sécurité, vous pouvez battre les attaquants à leur propre jeu.
Tout d'abord, demandez aux utilisateurs de garder leurs comptes personnels pour leur vie privée et de ne pas les mélanger avec des courriels professionnels ou des tâches liées au travail.
Veillez également à imposer l'utilisation de l’authentification multifacteur. Les pirates psychologiques recherchent généralement des informations telles que des identifiants de connexion. En activant l’authentification multifacteur, si un pirate obtient votre nom d'utilisateur et votre mot de passe, il ne pourra pas obtenir l’accès à vos comptes et à vos informations personnelles pour autant.8
N'ouvrez pas les courriels ou les pièces jointes provenant de sources suspectes. Si un ami vous envoie un lien sur lequel vous devez cliquer de toute urgence, vérifiez auprès de lui si le message provient bien de lui. Prenez votre temps et demandez-vous si l'expéditeur est bien celui qu'il prétend être avant de cliquer sur quoi que ce soit.
Prenez votre temps et vérifiez
Méfiez-vous des offres trop belles pour être vraies. Vous ne pouvez pas gagner une loterie à laquelle vous n'avez pas participé, et aucune redevance étrangère ne vous cédera une grosse somme d'argent. Si l'offre semble trop tentante, faites une recherche rapide pour déterminer si elle est réelle ou s'il s'agit d'un piège.
Ne partagez pas trop d'informations en ligne. Les pirates psychologiques ont besoin de la confiance de leurs cibles pour que leurs escroqueries fonctionnent. S'ils peuvent trouver vos données personnelles dans vos profils de réseaux sociaux, ils peuvent les utiliser pour donner plus de crédibilités à leurs escroqueries.
Sécurisez vos ordinateurs et vos appareils. Utilisez des logiciels antivirus, des pare-feux et des filtres de courriels. Ainsi, dans le cas où une menace venait à se frayer un chemin jusqu’à votre appareil, vous serez protégé et cela vous permettra de conserver vos informations en toute sécurité.
« Lorsque vous recevez un appel téléphonique ou un courriel suspect, l’astuce, c’est de prendre son temps et de vérifier. Les gens commettent des erreurs lorsqu'ils agissent trop rapidement, il est donc important de rappeler aux employés qu'ils ne sont pas obligés de réagir immédiatement face à ce genre de situation. »
Jack Mott – Veille des menaces Microsoft
Pour en savoir plus sur les manières de protéger votre organisation, consultez le site Le risque de la confiance : Menaces de piratage psychologique et cyberdéfense.
- [2]
Le contenu de cette section provient de https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, autour de 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Remarque : Le contenu provient de https://go.microsoft.com/fwlink/?linkid=2263229