Le piratage psychologique : l’aspect humain des fraudes modernes

(Certains des liens ci-dessous mènent à du contenu disponible en anglais seulement)

Contrairement aux nombreuses cyberattaques qui visent à percer les défenses techniques, le piratage psychologique consiste à manipuler le comportement des gens – les escrocs gagnent la confiance, exploitent les vulnérabilités ou créent de l’anxiété, de la peur ou de la joie chez les gens afin d’accéder à des systèmes et à des données.

Incroyablement répandu et devenant de plus en plus sophistiqué au fil des ans, le piratage psychologique sous-tend de nombreuses escroqueries. En fait, on estime que 98 % des cyberattaques s’appuient sur le piratage psychologique à un moment ou à un autre. (ce lien mène à un site web dont le contenu est en anglais seulement)

Pourquoi le piratage psychologique est si courant

Le piratage psychologique est une tactique courante parce qu’il donne des résultats. L’erreur humaine est prévisible. Les escrocs savent que les gens peuvent être dupés et comment tirer profit de leur sensibilité. De plus, il s’agit d’une technique peu coûteuse ; en effet, il est beaucoup moins coûteux et plus rapide pour les criminels de manipuler les gens que d’essayer de percer des couches de sécurité technique. En outre, les attaques de piratage psychologique sont de plus en plus faciles à commettre, car les voix, les vidéos et les messages générés par l’IA permettent aux escrocs de créer du matériel convaincant pour tromper leurs cibles.

Types de tactiques de piratage psychologique

Il existe de nombreuses méthodes de piratage psychologique, ayant chacune leurs forces et leur spécialité. Ce qui suit est un aperçu des plus courantes.

Hameçonnage

L’hameçonnage est le moyen le plus courant de faire du piratage psychologique : 90 % de toutes les attaques (ce lien mène à un site web dont le contenu est en anglais seulement) commence par un courriel hameçon.

Lors d’une tentative d’hameçonnage, un cybercriminel rédige un courriel convaincant en se faisant passer pour un organisme réputé, comme une banque, un gouvernement ou une autre société digne de confiance. Le courriel hameçon typique prétendra qu’il y a eu une violation de données, un problème lié à un compte ou un concours, puis tentera de vous inciter à cliquer sur un lien pour résoudre le problème ou profiter d’un prix. Ce lien vous redirigera vers un faux site Web (qui semble authentique), où vous serez invité à saisir vos renseignements personnels, comme votre numéro de carte de crédit, votre numéro de compte, votre mot de passe, votre date de naissance et/ou votre numéro de permis de conduire.

Harponnage

Alors que l’hameçonnage est généralement une activité « de masse », c’est-à-dire que les cybercriminels s’en prennent à n’importe qui, le harponnage est un type de fraude qui cible une personne ou une organisation dans le but d’obtenir de l’information sensible.

Hameçonnage par texto

L’hameçonnage par texto – ou hameçonnage par SMS – utilise des messages textes pour inciter les gens à télécharger des logiciels malveillants ou à transmettre de l’information. Puisque le taux d’ouverture des SMS (ce lien mène à un site web dont le contenu est en anglais seulement) est en hausse de 98 % (par rapport au taux d’ouverture des courriels de 26,8 %), ce type d’hameçonnage est donc un moyen de plus en plus prisé pour tenter une attaque de piratage psychologique.

ClickFix

Nouvelle technique apparue au printemps 2024, l’attaque ClickFix tente d’exécuter une commande malveillante sur l’ordinateur d’une cible. L’attaque commence normalement par l’apparition d’une fenêtre contextuelle qui avertit l’utilisateur d’un problème technique. Pour la corriger, il suffit de faire quelques manœuvres, notamment cliquer sur un bouton ou copier une ligne de code et la coller dans la fonction « Exécuter » du système. Une fois ces manœuvres terminées, un logiciel malveillant est téléchargé et installé dans l’ordinateur, infectant ultimement l’appareil et éventuellement tout un réseau.

Voici quelques « problèmes » courants :

• Impossible d’afficher la page – besoin d’actualiser le navigateur : Le système demande à l’utilisateur d’installer une mise à jour de son navigateur pour afficher la page

• Erreur de chargement du document : L’utilisateur ne peut pas consulter un document et reçoit un avis l’invitant à installer un module d’extension pour le consulter en ligne

• Erreur lors de l’ouverture d’un document à partir d’un courriel : Comme dans l’exemple ci-dessus, l’utilisateur ne peut pas ouvrir un fichier à partir d’un courriel et doit télécharger un module d’extension, puis cliquer sur le bouton de correction.

Quid Pro Quo

Dans le cadre de cette attaque de piratage psychologique, un fraudeur se fait passer pour un professionnel des TI et offre une assistance technique. Pour régler un problème, il demande de l’information sensible et des justificatifs d’ouverture de session.

Piège à miel (escroqueries amoureuses)

Dans ce type d’escroquerie, l’escroc utilise la flatterie et la séduction pour manipuler une personne afin qu’elle lui révèle de l’information sensible, envoie de l’argent ou se compromette d’une autre manière.

Chasse à la baleine

La chasse à la baleine est un stratagème d’hameçonnage qui cible les employés de prestige d’une entreprise (appelés « baleines » en cybercrime). Ces attaques sont généralement très personnalisées, puisque le fraudeur passe beaucoup de temps à faire des recherches sur sa cible.

Comment se défendre contre le piratage psychologique

Bien que les attaques de piratage psychologique soient courantes et sophistiquées, il existe des moyens de repérer les signaux d’alerte et de s’en prémunir. Voici quelques conseils pour vous protéger et préserver vos renseignements personnels :

• Vérifiez attentivement les courriels, y compris les noms, les adresses et le contenu.

  • Repérez d’éventuelles fautes d’orthographe et de grammaire.

  • Examinez attentivement l’adresse courriel : plusieurs adresses ressemblent à celles de votre liste de contacts, mais seront un peu différentes (p. ex., ajout d’une lettre ou un « 0 » au lieu du « O »).

• Repérez les lignes Objet courantes des courriels hameçons : chaque courriel hameçon utilise une ligne Objet percutante pour tenter d’hameçonner une cible. Voici les lignes Objet courantes à surveiller :

  • Avis : Annulation du service

  • Échec du paiement : mettez à jour vos données de facturation

  • Votre compte a été suspendu

  • Vous avez gagné une carte-cadeau de 500 $

  • Soyez payé pour travailler de la maison

  • Problème d’expédition – veuillez confirmer l’adresse

• Prenez un moment avant d’agir.

  • Les messages d’hameçonnage sont conçus pour créer une émotion forte. Avant de réagir, prenez le temps de réfléchir à la source et au contenu du message.

• Vérifiez l’identité de l’expéditeur.

  • S’il s’agit d’une personne que vous ne connaissez pas personnellement, faites des recherches pour savoir qui elle est et communiquez avec elle par un autre mode de communication.

  • Si le message reçu d’un ami ou d’un collègue vous semble bizarre, considérez-le comme suspect.

  • Si vous recevez un message d’une organisation établie vous demandant de l’information sensible, communiquez avec elle au moyen d’un numéro de téléphone vérifié pour confirmer la demande. Ne répondez pas au courriel ou au texto.

• Réduisez votre empreinte numérique.

  • Plus vous divulguez de l’information en ligne et dans les médias sociaux, plus les pirates informatiques vous prendront pour cible. Des photos de vacances en temps réel, des noms d’animaux de compagnie et des renseignements sur l’école fréquentée peuvent tous être utilisés pour établir un lien dans le cadre d’un message.

Même si la technologie évolue, tant que les escrocs réussiront à duper les gens, le piratage psychologique demeurera l’un de leurs instruments les plus efficaces à leur disposition. La meilleure façon de riposter est de remettre en question tout ce qui vous semble suspect, de prendre le temps de réfléchir avant de cliquer et de vous fier à votre instinct.