Le social engineering, ou ingénierie sociale, est
une technique de manipulation psychologique utilisée pour tromper les individus
afin qu'ils divulguent des informations confidentielles ou effectuent des actions spécifiques qui pourraient compromettre leur sécurité personnelle ou celle d'une organisation. Contrairement aux attaques cybernétiques qui exploitent les vulnérabilités techniques,
l'ingénierie sociale cible les faiblesses humaines,
telles que la confiance, la curiosité ou le manque de connaissance, pour induire les victimes en erreur.
Les attaquants utilisant l'ingénierie sociale emploient diverses méthodes pour recueillir des informations sensibles, telles que les mots de passe, les données financières, ou l'accès à des systèmes sécurisés. Ces méthodes incluent, mais ne sont pas limitées à :
• Phishing :
Envoi de courriels ou de messages qui semblent provenir d'une source fiable pour inciter les destinataires à révéler des informations personnelles ou à cliquer sur des liens malveillants.
• Pretexting :
Création d'un faux scénario ou prétexte pour obtenir des informations personnelles sous couvert d'une enquête ou d'une vérification de routine.
• Baiting :
Offre d'un leurre (comme un logiciel gratuit) pour inciter les utilisateurs à installer des malwares ou à divulguer leurs informations.
• Quid pro quo :
Proposition d'un service ou d'un avantage en échange d'informations ou d'un accès.
• Tailgating ou piggybacking :
Suivre une personne autorisée pour entrer dans un espace restreint sans être détecté.
• Vishing (voice phishing) et et Smishing (SMS phishing) :
Utilisation de téléphone ou de messages texte pour escroquer des informations personnelles.
Les attaques d'ingénierie sociale peuvent avoir des conséquences graves, allant du vol d'identité à la compromission de la sécurité des réseaux d'entreprise. Pour se protéger contre ces menaces, les organisations et les individus doivent être vigilants, éduquer régulièrement les employés sur les risques de sécurité, et adopter des politiques de sécurité strictes, y compris la vérification des identités et l'utilisation de la double authentification.