Les 13 types d'attaques d'ingénierie sociale les plus courants + Comment s'en défendre
L'organisation moyenne est ciblée par plus de 700 attaques d'ingénierie sociale chaque année. Cela représente presque trois attaques chaque jour. Et avec 98 % de toutes les cyberattaques réussies impliquant une forme d'ingénierie sociale, il est essentiel pour les organisations de comprendre les méthodes d'attaque les plus répandues.
Qu'est-ce que l'ingénierie sociale exactement et pourquoi constitue-t-elle une menace si importante pour les organisations aujourd'hui ? Dans cet article, nous allons examiner 13 types courants d'attaques d'ingénierie sociale, expliquer comment elles fonctionnent, fournir des exemples réels et partager les meilleures pratiques pour les prévenir.
1. Hameçonnage
L'hameçonnage est l'une des techniques d'ingénierie sociale les plus courantes. Avec les arnaques de phishing, les attaquants envoient des emails qui semblent provenir de sources fiables pour tromper les individus et leur faire révéler des informations sensibles telles que des mots de passe et des numéros de carte de crédit.
Ces emails inspirent souvent un sentiment d'urgence, incitant la victime à cliquer sur un lien malveillant. Ce lien les redirige vers un faux site web où on leur demande de saisir des données personnelles telles que des identifiants de connexion, des informations sur leur compte, des numéros de sécurité sociale ou d'autres informations confidentielles.
En 2013 , Target Corporation a été victime d'une attaque de phishing où les attaquants ont initialement accédé à leur réseau via un email de phishing envoyé à une entreprise de CVC connectée à Target. Cela a conduit à une violation de données compromettant les informations de carte de crédit de plus de 40 millions de clients.
Target n'est pas la seule organisation à subir une cyberattaque de ce genre : une étude de 2022 menée par le Ponemon Institute a révélé que 54 % des organisations avaient connu une violation de données causée par l'un de leurs fournisseurs tiers au cours des 12 mois précédents.
Lectures recommandées
Comment mettre en place un programme de gestion des risques pour les fournisseurs afin de prévenir les violations des tiers
2. Phishing cloné
Le phishing cloné est un type particulier d'attaque de phishing où un email légitime est utilisé pour créer un email presque identique ou "cloné", mais avec quelques modifications cruciales.
Voici comment fonctionnent généralement les campagnes de phishing cloné :
- Sélection de l'email : L'attaquant sélectionne un email légitime envoyé à la victime visée. Cet email peut être n'importe quoi, d'une annonce de routine de l'entreprise à une facture ou une notification de compte.
- Création du clone : L'attaquant fait une copie ou un "clone" de l'email, le reproduisant aussi fidèlement que possible à l'original.
- Modification du contenu : L'attaquant modifie certains éléments de l'e-mail cloné. Cela implique généralement de changer les liens ou les pièces jointes dans l'e-mail pour des éléments malveillants. Par exemple, là où l'e-mail original pourrait contenir un lien vers une facture en ligne, le clone pourrait contenir un lien vers un site web malveillant conçu pour récolter des identifiants de connexion.
- Renvoyer l'email : L'attaquant envoie l'e-mail cloné aux destinataires initiaux, mais le fait apparaître comme s'il provenait du même expéditeur que l'e-mail original. Cela peut être accompagné d'un prétexte tel qu'un lien mis à jour, une version corrigée de la pièce jointe ou toute excuse qui semble plausible.
- Réponse de la victime : Si les destinataires de l'e-mail cloné croient qu'il s'agit d'un suivi légitime de l'e-mail précédent, ils peuvent cliquer sur le lien ou télécharger la pièce jointe sans méfiance. Cela peut conduire à la compromission de données sensibles ou à une infection par un logiciel malveillant.
Le hameçonnage par clonage est particulièrement efficace car il utilise la confiance établie par l'e-mail original et légitime pour contourner les défenses de la victime. Il est toujours important de vérifier l'authenticité des communications par e-mail, en particulier celles contenant des liens ou des pièces jointes, même si elles semblent provenir d'une source connue. Il est conseillé de contacter directement la personne ou l'entreprise pour confirmer la légitimité de l'e-mail, surtout si l'e-mail semble inattendu ou légèrement différent du style de communication habituel.
Si vous parvenez à repérer un e-mail de phishing, il peut être tentant de répondre à la tentative d'escroquerie et de les réprimander — mais ce n'est pas une bonne idée. Tout d'abord, répondre à un e-mail de phishing vérifie que votre adresse e-mail est active, ce qui peut faire de vous une priorité élevée pour des attaques de suivi, ou pour que votre adresse e-mail soit vendue à d'autres attaquants. Votre réponse peut également donner aux cybercriminels accès à des informations supplémentaires telles que des données de localisation ou la signature e-mail de votre entreprise, qui peut inclure des numéros de téléphone, des adresses et d'autres informations qu'ils peuvent utiliser pour créer des campagnes de phishing plus convaincantes — ou potentiellement piéger vos collègues ou contacts LinkedIn.
3. Prétexting
Le prétexting implique qu'un attaquant crée un scénario fabriqué pour obtenir des informations d'une cible. Ils se font souvent passer pour quelqu'un en position d'autorité ou quelqu'un ayant une raison légitime de demander les informations.
L'attaquant construit une histoire qui convainc la victime de divulguer des informations sensibles ou de réaliser une action compromettant la sécurité.
Le prétexting en tant que tactique est utilisé dans une variété d'attaques d'ingénierie sociale, en particulier le phishing, le whaling (hameçonnage ciblant les hauts dirigeants) et la compromission des e-mails professionnels. Mais les cybercriminels peuvent également utiliser le prétexting seul pour voler des informations précieuses à leurs victimes.
En 2016, un pirate a accédé aux données de milliers d'employés du ministère de la Justice et du Département de la Sécurité intérieure, y compris les adresses e-mail et les numéros de téléphone, en se faisant passer pour un employé du gouvernement. Ils ont ensuite publié les informations en ligne.
En 2017, l'Université MacEwan a envoyé près de 9 millions de dollars à quelqu'un se faisant passer pour un entrepreneur d'une entreprise de construction travaillant sur un nouveau projet de bâtiment. Une lettre d'accompagnement jointe à l'e-mail semblait avoir été signée par le directeur financier de l'entreprise de construction réelle, et l'université a viré l'argent sur le compte bancaire spécifié dans l'e-mail. L'escroquerie n'a été découverte que lorsque la véritable entreprise de construction a contacté l'université pour s'enquérir du solde impayé.
L'école a finalement récupéré plus de 90 % des fonds perdus, mais seulement après de longues procédures judiciaires et beaucoup d'attention médiatique. Ils ont depuis mis en place de nouveaux processus et formations de sensibilisation à la sécurité pour tous les employés.
L'année dernière, le FBI a averti les organisations de santé contre des plans visant à extorquer de l'argent ou à voler des informations personnellement identifiables (PII) en utilisant le prétendu. Les escrocs usurpent des numéros de téléphone authentiques ou utilisent de faux titres pour se faire passer pour des responsables d'agences. Ils informent alors les cibles qu'elles ont été assignées à comparaître pour fournir un témoignage d'expert dans une affaire pénale ou civile, qu'elles ont échoué à comparaître et qu'elles ont été jugées en désobéissance au tribunal et condamnées à une amende. Le défaut de paiement de l'amende entraînerait un mandat d'arrêt, les escrocs utilisant des tactiques agressives pour mettre la pression sur les cibles afin qu'elles paient immédiatement par virement bancaire, en espèces par courrier ou en cryptomonnaie.
4. Appât
L'appât est similaire au phishing mais implique la promesse d'un objet spécifique que l'attaquant utilise comme appât. Cela pourrait être des logiciels gratuits, des cartes cadeaux, des téléchargements de films ou de musiques, ou tout autre chose qui semble attrayante pour la cible. L'attaquant utilise cet appât pour inciter la victime à télécharger des logiciels malveillants ou à révéler des identifiants de connexion.
Les dépôts de clés USB sont un exemple classique d'appât. Le Département de la Sécurité Intérieure des États-Unis a une fois effectué un test sur des employés du gouvernement pour voir à quel point il était facile pour les hackers d'installer des malwares ou de gagner l'accès aux systèmes informatiques. Des clés USB ont été déposées dans les parkings des agences gouvernementales et des prestataires privés — et 60 % des personnes qui les ont ramassées les ont branchées à leurs appareils. Si la clé comportait un logo officiel, 90 % y ont été branchées.
5. Quid pro quo
Avec les attaques de quid pro quo, les acteurs de la menace exploitent la loi de la réciprocité psychologique — lorsque quelqu'un nous aide, nous voulons rendre la pareille.
Souvent, les attaques de quid pro quo se produisent lorsque des cybercriminels se font passer pour des supports informatiques ou techniques. Ils peuvent proposer d'installer un logiciel antivirus ou de résoudre un problème avec un système informatique en échange d'informations sensibles comme des identifiants de connexion. Une fois qu'ils ont accès, ils installent des logiciels malveillants ou volent d'autres données sensibles.
Dans un cas, un acteur de la menace s'est fait passer pour le support technique Apple pour tromper des célébrités, des musiciens et des athlètes professionnels pour qu'ils révèlent des informations sensibles. Se faisant passer pour le support technique Apple, le cybercriminel demandait aux victimes leurs noms d'utilisateur et mots de passe ou les réponses aux questions de sécurité. Avec ces informations, ils pouvaient accéder au profil complet Apple de la victime, y compris les détails des cartes de paiement et de facturation. Ils pouvaient ensuite changer les mots de passe, les e-mails de contact et les questions de sécurité. L'escroc a dépensé des milliers de dollars en dépenses personnelles facturées sur les comptes de ses victimes.
6. Compromission d'email d'entreprise et fraude au PDG
La compromission d'email d'entreprise (BEC) se produit lorsqu'un attaquant accède à un compte e-mail d'entreprise et se fait passer pour son propriétaire afin de frauder l'entreprise ou ses employés, clients ou partenaires. Ils se concentrent généralement sur les employés ayant accès aux finances de l'entreprise et les trompent pour qu'ils effectuent des virements bancaires vers des comptes censés être de confiance.
La fraude au PDG est un type spécifique d'escroquerie BEC où les attaquants se font passer pour un PDG ou un autre haut responsable. L'attaquant utilise l'autorité du PDG pour faire pression sur un employé afin qu'il effectue des transactions non autorisées ou qu'il envoie des données sensibles.
Snapchat a été victime d'un stratagème BEC en 2016 lorsque des escrocs se sont fait passer pour le PDG Evan Spiegel. Le département de la paie de l'entreprise a répondu à un e-mail semblant provenir de Spiegel avec des données sensibles de paie — bien que l'entreprise n'ait pas divulgué publiquement quelles informations ont été partagées, elles pouvaient inclure des détails de salaire, des numéros de sécurité sociale, des comptes bancaires, des adresses, des e-mails et d'autres informations personnellement identifiables sur ses employés actuels et anciens.
7. Deepfaking
Le deepfake consiste à utiliser des technologies d'intelligence artificielle pour créer des images, des vidéos ou des audios réalistes afin de manipuler ou de tromper. Les attaquants peuvent créer des audios et des vidéos qui semblent authentiques, montrant des individus disant ou faisant des choses qu'ils n'ont pas réellement dites ou faites.
Début 2020, la voix créée par IA d'un directeur de banque a été utilisée pour tromper un gestionnaire de banque et lui faire transférer des millions de dollars aux acteurs de la menace. Le gestionnaire a reçu un appel téléphonique de quelqu'un qui ressemblait exactement au directeur de sa société mère, l'informant que la société était sur le point de réaliser une acquisition. Le gestionnaire a été invité à autoriser un transfert de 35 millions de dollars - il y avait même des emails dans la boîte de réception du gestionnaire provenant du directeur et d'un avocat confirmant où l'argent devait être transféré. Croyant que les instructions étaient légitimes, le gestionnaire a initié le transfert.
Les enquêteurs aux Émirats arabes unis pensent que le plan élaboré impliquait au moins 17 personnes, avec l'argent volé envoyé sur plusieurs comptes bancaires dans le monde entier.
Alors que le coût de production de deepfakes convaincants diminue, le FBI et le Département de la Sécurité intérieure prédisent que les menaces de deepfake deviendront de plus en plus difficiles à identifier et à protéger. Alors que la législation commence à prendre en compte les menaces des vidéos deepfake, des mesures de cybersécurité, telles que des algorithmes de détection, sont en cours de création pour combattre la menace.
8. Tailgating
Le tailgating, également connu sous le nom de piggybacking, implique qu'une personne non autorisée suive physiquement une personne autorisée dans une zone restreinte.
L'attaquant peut engager la conversation ou porter quelque chose pour manipuler la personne autorisée à maintenir la porte ouverte pour lui.
Alors que les attaques de tailgating et de piggybacking se réfèrent généralement à un accès physique non autorisé, dans un cas intéressant, un technicien a admis avoir profité de la tentative d'extorsion d'un hacker.
En février 2018, une entreprise britannique a été victime d'une attaque de ransomware, au cours de laquelle l'attaquant a exigé un paiement de 370 000 $ en bitcoins. Un membre de l'équipe de réponse aux incidents de l'entreprise a vu l'opportunité de lancer une attaque secondaire - en modifiant l'email original du ransomware pour remplacer l'adresse du portefeuille de cryptomonnaie fournie par l'attaquant original par la sienne. L'employé a également usurpé l'adresse email de l'attaquant et a commencé à envoyer des emails à l'organisation pour les inciter à payer la rançon. Il a ensuite été appréhendé lorsque les autorités ont réussi à tracer son adresse IP.
9. Spear phishing & whaling
Le spear-phishing est une forme plus ciblée de phishing. L'attaquant personnalise ses messages trompeurs pour une personne ou une organisation spécifique.
Les emails semblent plus légitimes et sont souvent méticuleusement conçus pour plaire à la victime.
En 2014, des programmeurs soutenus par la Corée du Nord ont lancé une attaque de spear-phishing contre Sony Pictures pour empêcher la sortie du film The Interview. L'attaque a entraîné la fuite de données sensibles, y compris des films inédits.
En 2016, le Parti démocrate américain, célèbrement victime d'une attaque de spear-phishing, a exposé des informations sensibles sur la campagne présidentielle de Clinton. Les hackers ont créé un email factice qui incitait les destinataires à changer leurs mots de passe en raison d'une activité inhabituelle, puis ont utilisé les nouvelles informations d'identification pour accéder à des informations sensibles.
Le whaling cible des personnes de haut profil, telles que des dirigeants, des célébrités ou des politiciens. Les tactiques sont similaires au spear-phishing, mais à une plus grande échelle.
En 2008, un vaste système de pêche à la baleine a piégé jusqu'à 2 000 dirigeants d'entreprises avec une série d'e-mails se faisant passer pour des assignations officielles. L'e-mail adressait correctement les PDG et autres cadres supérieurs par leurs noms complets et incluait des détails tels que des numéros de téléphone, des noms d'entreprises et des titres. Les destinataires étaient invités à cliquer sur un lien vers une copie détaillée de l'assignation et étaient ensuite dirigés vers l'installation d'un module complémentaire de navigateur pour lire le document. Accepter le module complémentaire a en fait installé une porte dérobée et un logiciel de journalisation des frappes, permettant aux escrocs de voler des identifiants et d'autres informations sensibles.
10. Smishing & vishing
Le smishing (phishing par SMS) utilise des messages texte, tandis que le vishing (phishing vocal) utilise des appels téléphoniques pour escroquer la victime. Ces attaques sont conçues pour voler des données sensibles ou de l'argent en se faisant passer pour une entité légitime.
En juillet 2020, Twitter a subi une célèbre attaque de 130 comptes vérifiés de personnes parmi les plus célèbres au monde — des politiciens comme Barack Obama et Joe Biden, des célébrités et des entrepreneurs comme Bill Gates et Elon Musk, et des marques mondiales comme Apple.
Les pirates ont téléchargé les données des utilisateurs de Twitter, ont accédé aux messages privés et ont publié des tweets promettant de doubler les dons à un portefeuille Bitcoin. En quelques minutes, les escrocs avaient reçu plus de 100 000 $ en bitcoin provenant de centaines de transactions.
Twitter a expliqué que l'incident était le résultat d'une attaque de vishing où les employés de Twitter avaient été trompés en partageant des identifiants de compte permettant aux escrocs d'accéder aux comptes vérifiés. Le cours de l'action de Twitter a chuté de 7 % dans les échanges avant l'ouverture du marché le lendemain.
11. Attaques de point d'eau
Dans une attaque de point d'eau, l'attaquant identifie un site web ou une ressource fréquemment utilisé par son groupe cible et l'infecte avec un logiciel malveillant pour compromettre les membres du groupe. Par exemple, si le groupe cible est dans le secteur financier, l'attaquant pourrait infecter un site web populaire de nouvelles financières.
En février 2021, des pirates ont utilisé une attaque de point d'eau pour accéder à une installation de traitement de l'eau en Floride. Ils ont modifié à distance un paramètre qui augmentait de manière drastique la quantité d'hydroxyde de sodium (soude caustique) dans l'eau à des niveaux toxiques. Heureusement, un opérateur astucieux a pu intercepter la manipulation au moment où elle se produisait et a rétabli les niveaux à leur plage normale sans aucun dommage.
Une enquête sur l'attaque a révélé que les pirates avaient placé un code malveillant sur le site web d'un entrepreneur en infrastructures. Ce code fonctionnait comme un script de prise d'empreintes, collectant des détails sur les visiteurs du site web, y compris le système d'exploitation, le processeur, les plugins du navigateur, les méthodes de saisie, la présence de caméra, l'accéléromètre, le microphone, le fuseau horaire, l'emplacement, et plus encore. Lorsqu'un ordinateur sur le réseau de l'usine de traitement de l'eau visitait le site web de l'entrepreneur, le code malveillant permettait aux pirates d'installer un logiciel de bureau à distance sur l'un des ordinateurs de l'usine qui était connecté au système de contrôle.
12. Scareware
Le scareware trompe les individus en leur faisant croire que leur ordinateur est infecté par des logiciels malveillants, les incitant à installer un logiciel qui est en réalité un malware. Cela se rencontre souvent sous forme de publicités pop-up ou d'avertissements lors de la navigation sur le web.
Dans un exemple célèbre, le scareware "Antivirus XP" a trompé les utilisateurs en leur faisant payer pour un faux logiciel antivirus en affichant agressivement des alertes de sécurité sur les ordinateurs des utilisateurs.
En 2019, Office Depot et Support.com ont accepté de payer un règlement de 35 millions de dollars après avoir été accusés d'utiliser des tactiques de scareware pour tromper les clients et les inciter à acheter des services de support et de réparation inutiles. De 2008 à 2016, Office Depot et OfficeMax ont offert aux clients un « contrôle de santé du PC » gratuit pour scanner les appareils à la recherche de logiciels malveillants et de problèmes de performances. Selon la FTC, le véritable but du contrôle de santé était de vendre des services de diagnostic et de réparation dont les clients n'avaient pas réellement besoin.
Le programme de contrôle de PC était programmé pour signaler que des réparations étaient nécessaires si le client répondait « oui » à l'une des quatre questions posées, y compris si les clients voyaient fréquemment des publicités pop-up sur leur appareil. Les services de réparation suggérés pouvaient coûter jusqu'à 300 $. Bien qu'Office Depot n'ait jamais admis de faute, ils ont accepté le règlement, que la FTC dit avoir été utilisé pour rembourser les clients.
13. Rançongiciel
Le rançongiciel est un type de logiciel malveillant, ou malware, qui crypte les fichiers d'une victime. L'attaquant exige ensuite une rançon de la victime pour restaurer l'accès aux données après paiement. Les utilisateurs voient généralement des instructions sur la manière de payer des frais pour obtenir la clé de déchiffrement. Les coûts peuvent varier de quelques centaines à plusieurs milliers de dollars, payables aux cybercriminels généralement en bitcoin.
En avril 2021, des employés de Merseyrail, un opérateur ferroviaire britannique, ont reçu un email du compte email de leur patron avec pour objet « Attaque par rançongiciel Lockbit et vol de données ». Des journalistes de journaux nationaux et de sites d'actualités technologiques étaient également en copie des emails.
L'email expliquait que l'entreprise avait été piratée et offrait une image des données personnelles d'un employé comme preuve. Les escrocs de Lockbit ont exigé une rançon pour libérer les données compromises. Non seulement les escrocs ont volé des données sensibles, mais ils ont aussi mis une pression publique sur l'entreprise pour payer rapidement la rançon. Cette tactique est souvent utilisée pour forcer les organisations à se précipiter dans un paiement, en contournant les protocoles de sécurité comme informer les autorités compétentes et suivre les procédures établies.
Lectures recommandées
Comment réaliser un audit interne + Liste de contrôle pour audit de sécurité
Armez votre équipe contre les attaques d'ingénierie sociale avec Secureframe Training
La cybersécurité n'est pas seulement une question technique ; c'est avant tout une question humaine. Même le système de sécurité le plus avancé peut être compromis par une simple erreur humaine.
Il est crucial que les employés soient informés des dernières escroqueries, menaces et techniques d'attaque. Une formation régulière permet aux équipes d'acquérir les connaissances nécessaires pour reconnaître et réagir de manière appropriée à diverses cybermenaces. Les employés qui comprennent les conséquences potentielles d'une mauvaise hygiène cybernétique sont beaucoup moins susceptibles de devenir victimes d'attaques et sont plus enclins à prendre au sérieux les mesures préventives.
De plus, les réglementations et normes de sécurité telles que SOC 2,® ISO 27001, HIPAA, RGPD et PCI DSS exigent une formation régulière à la sensibilisation à la sécurité. Ces normes reconnaissent que la protection des données sensibles nécessite un personnel informé et vigilant. Lorsque les employés sont équipés des bonnes connaissances et d’un état d’esprit axé sur la sécurité, ils peuvent non seulement prévenir les incidents, mais aussi réagir efficacement en cas de violation de la sécurité.
La plateforme Secureframe comprend une formation de sensibilisation à la sécurité propriétaire, ce qui facilite l'attribution, le suivi et le reporting des formations obligatoires pour les employés. Nos programmes de formation engageants sont régulièrement mis à jour, de sorte que les meilleures pratiques les plus récentes sont apprises et appliquées dans toute votre organisation. Vous pouvez également segmenter votre personnel et assigner uniquement la formation nécessaire pour chaque groupe ou rôle.
En savoir plus sur la formation Secureframe, ou planifiez une démonstration avec un expert produit.
FAQs
Quelle est la forme la plus courante d'attaques d'ingénierie sociale?
Le phishing est la forme la plus courante d'ingénierie sociale, selon de multiples sources. En 2022, les stratagèmes de phishing étaient le premier type de crime signalé au Centre de plaintes pour crimes sur Internet du FBI. En 2023, le phishing était la principale cause des violations confirmées et représentait 44 % des incidents d'ingénierie sociale dans le Rapport 2023 sur les enquêtes de violation de données de Verizon.
Quel est un exemple réel d'une attaque d'ingénierie sociale?
L'attaque informatique récente contre la chaîne de casinos de renom MGM Resorts, rapportée le 11 septembre 2023, est un exemple concret d'attaque d'ingénierie sociale. Il semble que les hackers se soient fait passer pour un employé dont ils ont trouvé les informations sur LinkedIn lors d'un appel au service d'assistance informatique de MGM pour obtenir des informations d'identification pour accéder et infecter les systèmes. Cela a été confirmé par un dirigeant de la cybersécurité familier avec l'enquête dans un rapport Bloomberg.
Quels sont les signes avant-coureurs des attaques d'ingénierie sociale?
Les signes avant-coureurs des attaques d'ingénierie sociale incluent :
- L'email, l'appel, le message vocal ou le texto est inattendu. Par exemple, disons que vous recevez un message texte du PDG de votre entreprise. Cela peut être inattendu car il ne vous a jamais contacté auparavant ou il n'a jamais utilisé ce canal pour vous contacter auparavant. C'est un indicateur fort d'une attaque d'ingénierie sociale.
- La demande est inhabituelle. Vous avez peut-être déjà reçu un message du même expéditeur, mais jamais ce type de demande. Par exemple, disons que vous recevez une demande de votre manager pour lui envoyer de l'argent, ce qu'il n'a jamais fait auparavant. C'est un autre indicateur fort d'une attaque d'ingénierie sociale.
- Il y a une pièce jointe ou une URL inhabituelle. De nombreux plans d'ingénierie sociale impliquent un fichier ou une URL potentiellement dangereux. Les formats de fichiers potentiellement malveillants incluent ceux qui se terminent par EXE, DLL, URL, SCR, HTA, HTM, HTML, MSI, SYS et ZIP. Les URL potentiellement malveillantes peuvent contenir de nombreux symboles de pourcentage, des caractères aléatoires ou le nom d'une autre marque bien connue.
- Il y a un sentiment d'urgence. La demande peut être normale mais transmise avec un sentiment d'urgence accru. Par exemple, la demande peut être de saisir vos informations d'identification dès que possible ou vous serez bloqué de votre compte. C'est un autre trait à haut risque d'une attaque d'ingénierie sociale. L'acteur malveillant veut motiver la victime potentielle avec une menace de préjudice.
15 meilleures pratiques pour protéger votre organisation contre les attaques d'ingénierie sociale
Pour se protéger contre les attaques d'ingénierie sociale, les organisations et les équipes informatiques doivent adopter une approche à plusieurs niveaux qui combine technologie, processus et initiatives centrées sur l'humain. Voici quelques meilleures pratiques à suivre :
Rappelez-vous que les humains sont souvent le maillon le plus faible en matière de sécurité. Une approche équilibrée qui éduque les employés, implémente des contrôles techniques solides et établit des politiques claires est essentielle pour se défendre contre les tactiques d'ingénierie sociale.