Alors que les menaces en matière de cybersécurité continuent d’évoluer, les CISO et les professionnels de l’informatique doivent rester en avance sur des tactiques d’ingénierie sociale de plus en plus sophistiquées. Dans ce billet, nous examinons certaines des principales menaces d’ingénierie sociale à surveiller, en mettant l’accent sur les méthodes avancées alimentées par l’IA et sur les approches traditionnelles qui exploitent les vulnérabilités humaines.

1. Attaques de phishing alimentées par l’IA

Le phishing reste une menace majeure, mais l’IA a rendu ces attaques plus sophistiquées et plus efficaces. Les modèles de langage multimodaux (MLLM) permettent aux attaquants de créer des messages de phishing hautement personnalisés, difficiles à distinguer des communications légitimes. Ces e-mails générés par l’IA peuvent contourner les mesures de sécurité traditionnelles en imitant le style et le contexte attendus par le destinataire.
Contremesures :
• Mettre en œuvre des solutions de filtrage des e-mails avancées utilisant l’IA pour détecter les modèles de phishing.
• Organiser régulièrement des exercices ciblés de simulation de phishing.
• Former les employés à reconnaître et signaler les e-mails suspects, même s’ils semblent légitimes.

2. Deepfakes et contenus générés par l’IA

Les avancées de l’IA ont permis la création de vidéos et d’audios deepfake réalistes pouvant être utilisés pour se faire passer pour des dirigeants ou des personnalités publiques. Ces outils peuvent diffuser de la désinformation, commettre des fraudes ou manipuler l’opinion publique. L’accessibilité croissante de cette technologie signifie que même des attaquants peu qualifiés peuvent l’utiliser.
Contremesures :
• Investir dans des technologies de détection des deepfakes.
• Sensibiliser les employés aux risques et aux signes des contenus deepfake.
• Vérifier l’authenticité des communications vidéo et audio par plusieurs canaux.

3. Vishing et smishing

Le vishing (hameçonnage vocal) et le smishing (hameçonnage par SMS) restent courants. Le vishing consiste pour les attaquants à se faire passer au téléphone pour des entités de confiance afin d’obtenir des informations personnelles, tandis que le smishing utilise des messages texte pour envoyer des liens malveillants. Ces méthodes exploitent la confiance accordée aux communications téléphoniques.
Contremesures :
• Mettre en place des systèmes d’authentification vocale pour les transactions sensibles.
• Utiliser des solutions de filtrage SMS pour bloquer les liens malveillants connus.
• Former les employés aux risques et aux indicateurs des attaques de vishing et de smishing.

4. Compromission de messagerie d’entreprise (BEC)

Les attaques BEC consistent à se faire passer pour des dirigeants ou des partenaires de confiance pour inciter les employés à transférer de l’argent ou des données sensibles. Elles s’appuient souvent sur des recherches approfondies pour créer des e-mails convaincants. Plus d’un quart des 10,9 milliards de dollars de pertes signalées en 2023 au FBI Internet Crime Complaint Center (IC3) étaient directement attribuables aux BEC.
Contremesures :
• Utiliser des protocoles d’authentification des e-mails tels que DMARC, DKIM et SPF.
• Mettre en place l’authentification multifacteur (MFA) pour l’accès aux e-mails.
• Établir des procédures strictes de vérification pour les transactions financières et les demandes d’informations sensibles.

5. Prétexting

Le prétexting consiste à créer un scénario fictif pour gagner la confiance de la victime et la manipuler afin qu’elle fournisse des informations. Les attaquants se font souvent passer pour des figures d’autorité ou des collègues de confiance, amenant la victime à partager des données confidentielles.
Contremesures :
• Élaborer et faire respecter des politiques de vérification d’identité avant de partager des informations sensibles.
• Proposer des formations régulières sur les risques et les signes du prétexting.
• Encourager une culture de scepticisme sain et de vérification parmi les employés.

6. Appâtage (baiting)

L’appâtage exploite la curiosité humaine en offrant quelque chose d’alléchant pour attirer les victimes dans un piège. Cela peut être un téléchargement gratuit ou un objet physique tel qu’une clé USB étiquetée de manière intrigante. Une fois l’appât pris, le système de la victime est infecté par un malware (AuraSafe).
Contremesures :
• Utiliser des solutions de protection des terminaux pour détecter et bloquer les malwares.
• Sensibiliser les employés aux risques des appareils inconnus et des offres non sollicitées.
• Mettre en place des politiques pour la gestion des appareils trouvés et le signalement des objets suspects.

7. Corruption d’employés

La corruption consiste à offrir de l’argent ou d’autres avantages aux employés en échange d’informations sensibles ou d’un accès à des zones sécurisées. Cette tactique exploite les vulnérabilités financières ou l’insatisfaction des employés, ce qui en fait une menace puissante (AuraSafe) (CommSec Cyber Security).
Contremesures :
• Favoriser un environnement de travail positif pour réduire l’insatisfaction.
• Mettre en place des mécanismes de signalement anonyme des tentatives de corruption.
• Organiser régulièrement des formations éthiques pour renforcer l’intégrité.

8. Attaques « quid pro quo »

Dans les attaques quid pro quo, l’attaquant propose un service ou un avantage en échange d’informations. Par exemple, il peut se faire passer pour un support informatique proposant de résoudre un problème contre des identifiants. Cette méthode exploite la tendance humaine à rendre les services (AuraSafe).
Contremesures :
• Établir des protocoles clairs pour les demandes et vérifications de support informatique.
• Informer les employés des risques liés au partage d’informations en échange d’offres non sollicitées.
• Mettre en place des contrôles d’accès basés sur les rôles pour limiter l’impact d’identifiants compromis.

À mesure que les menaces d’ingénierie sociale deviennent plus sophistiquées, il est essentiel pour les CISO et les professionnels de l’informatique de rester vigilants et proactifs. En comprenant ces menaces et en mettant en œuvre des contremesures solides, les organisations peuvent mieux se protéger face à un paysage de menaces en constante évolution.

Des formations régulières, des technologies de sécurité avancées et une culture de sensibilisation et de vérification sont les clés pour réduire les risques d’attaques d’ingénierie sociale. Si vous souhaitez protéger votre organisation contre les menaces d’ingénierie sociale, contactez nos experts.