7 types d'attaque par ingénierie sociale

Article publié le 2 Août 2024

Dernière modification 17 Mars 2025

L'ingénierie sociale consiste à manipuler les individus pour qu'ils révèlent leurs informations personnelles, en utilisant diverses méthodes et stratégies psychologiques. Les attaquants exploitent les comportements automatisés et les faiblesses humaines, comme la confiance, le stress, l'autorité ou la cupidité, pour tromper leurs cibles et en tirer profit.

Hameçonnage (phishing)

Le phishing consiste à se faire passer pour une entité de confiance (comme votre banque, un organisme gouvernemental, un employeur ou un ami) afin de vous inciter à ouvrir un email et à télécharger une pièce jointe malveillante ou à cliquer sur un lien suspect. Ces liens peuvent rediriger vers des pages web imitant des sites officiels, telles que des services bancaires ou administratifs, dans le but de recueillir des informations sensibles telles que vos identifiants bancaires.

Harponnage (spear phishing)

Le spear phishing est une forme plus ciblée de phishing, où les cybercriminels recherchent des informations spécifiques sur leurs victimes pour rendre l'attaque plus crédible et personnalisée. En se basant sur les habitudes, les centres d'intérêts ou les activités de la victime, souvent trouvées sur les réseaux sociaux, ils peuvent se faire passer pour une personne de confiance et demander des informations sensibles.

Hameçonnage vocal (vishing)

Dans le vishing, les attaques se déroulent par téléphone. Les fraudeurs peuvent usurper le numéro de téléphone d'une personne ou d'une entreprise de confiance, et utiliser des technologies de synthèse vocale pour imiter la voix d'une personne connue en temps réel. Ils ciblent souvent des personnes vulnérables ou des individus possédant des ressources financières importantes, en utilisant des scénarios d'urgence pour obtenir des informations confidentielles. Il est important de vérifier l'identité de l'appelant et de se méfier des propositions qui semblent trop belles pour être vraies.

Hameçonnage par SMS (smishing)

Similaire au vishing, le smishing est une technique d'hameçonnage réalisée via SMS.

Catfishing

Le catfishing implique la création de faux profils sur les réseaux sociaux pour établir une relation de confiance avec une victime, dans le but d'obtenir des informations ou de l'argent. Les fraudeurs utilisent souvent des tactiques de séduction, d'empathie ou de chantage. Des signes de catfishing peuvent inclure des excuses pour éviter les rencontres en personne, des demandes d'argent, ou des refus de partager des informations personnelles.

Scarewares

Ces attaques utilisent la peur pour inciter les victimes à visiter un site web frauduleux ou à télécharger un logiciel malveillant. Elles prennent souvent la forme de publicités pop-up ou de messages d'avertissement indiquant une menace imminente qui nécessite une action immédiate. Une fois que la victime clique, un malware est installé sur son système. Ce type d'attaque exploite la peur d'enquêtes légales ou de perte de services essentiels.

Appât (baiting)

Le baiting utilise la promesse d'une récompense pour inciter les victimes à agir imprudemment. Les escrocs exploitent la cupidité et les désirs de la victime, en offrant des opportunités apparemment trop belles pour être vraies. Cela peut inclure la fourniture de coordonnées bancaires, le paiement pour une "bonne affaire" inexistante, ou le téléchargement d'un fichier malveillant. Un appât physique, comme une clé USB laissée dans un lieu public, est une méthode courante pour inciter les victimes à installer des logiciels malveillants.

À savoir

Les méthodes d'ingénierie sociale ne se limitent pas à l'environnement numérique. Les fraudeurs peuvent également approcher physiquement leurs victimes pour recueillir des informations supplémentaires ou gagner leur confiance, afin d'obtenir des éléments essentiels à leurs escroqueries, comme des badges d'accès ou des documents officiels.