Qu’est-ce que le pretexting ?
Le pretexting est un stratagème d’ingénierie sociale par lequel les escrocs fabriquent des histoires plausibles, qualifiées de « pretexts » (« prétextes »), pour inciter les victimes à donner des informations personnelles ou l’accès à leurs comptes. De telles stratégies utilisent un scénario inventé, mais crédible, afin de gagner la confiance de la victime et de l’inciter à révéler certaines informations.
L’élément de la définition du pretexting qui le distingue des autres formes d’ingénierie sociale est l’histoire très détaillée ou spécifique créée par l’escroc. Elle lui permet de manipuler la victime afin qu’elle partage des données sensibles telles que ses mots de passe de comptes, son numéro de sécurité sociale et même ses informations de carte de crédit.
Attaque de pretexting : techniques d’ingénierie sociale
Contrairement à d’autres cybermenaces, les attaques de pretexting ne reposent pas sur le piratage informatique ou d’autres méthodes techniques pour pénétrer dans les systèmes. Au contraire, les escrocs exploitent la confiance des personnes et les incitent à compromettre leur propre sécurité en divulguant volontairement des informations confidentielles.
Les techniques de pretexting impliquent généralement un escroc jouant un personnage convaincant utilisé pour développer une histoire fausse, mais plausible, à laquelle la victime peut s’identifier. Ces histoires font appel aux émotions de la victime et endorment ses soupçons.
Les escroqueries par pretexting peuvent utiliser des tactiques d’ingénierie sociale pour exploiter les émotions d’une victime.
Étant donné que ce type d’attaque par ingénierie sociale repose entièrement sur la croyance de la victime dans l’histoire, et sur sa volonté de satisfaire aux demandes de l’attaquant, lors de la planification d’une attaque de pretexting, les fraudeurs cherchent généralement à cibler des victimes :
-
Qui accordent facilement leur confiance
-
Vulnérables
-
Influençables
-
Pas très au fait des menaces
-
Peu à l’aise avec la technologie
-
Respectueuses de l’autorité
Selon le type de victime et de données qu’ils ciblent, les escrocs utilisent toute une série de tactiques de pretexting. Examinons quelques-unes des techniques spécifiques qui peuvent être utilisées dans le cadre d’une escroquerie par pretexting.
Phishing (hameçonnage)
La grande majorité des escroqueries par pretexting sont liées à des attaques de phishing conçues pour inciter la victime à révéler des informations personnelles ou à cliquer sur un lien susceptible d’entraîner une infection par un malware. Mais contrairement aux stratagèmes de phishing habituels, l’ingénierie sociale liée au pretexting utilise souvent une attaque de spear phishing plus ciblée comme moyen d’initier et de maintenir une relation sur une période de temps plus longue.
Les attaques de phishing tentent d’inciter les victimes à cliquer sur des liens malveillants.
Par exemple, dans un scénario de pretexting, vous pouvez recevoir un e-mail de phishing vous invitant à une fête surprise pour quelqu’un que vous connaissez vaguement, comme un collègue travaillant dans un autre département. Ce message peut être suivi d’un autre e-mail concernant la contribution à un cadeau. Enfin, un SMS arrive avec un lien de paiement en apparence légitime pour voler votre argent.
Vishing et smishing
Le phishing est devenu un problème de cybersécurité si important que le vishing (phishing vocal) a été classé comme un sous-groupe à part entière. De même, le smishing, (phishing par SMS), se produit lorsqu’un prédateur tente de vous attirer dans un piège en utilisant des SMS.
Si le smishing est utilisé dans le cadre d’une stratégie de pretexting, le SMS peut être simple et apparemment inoffensif, car il est destiné à préparer le terrain à une attaque plus importante. Dans le cadre du pretexting, l’ingénierie sociale implique souvent une histoire élaborée et il n’est pas rare que le smishing y soit incorporé.
Tailgating et piggybacking
Les stratégies de pretexting qui impliquent un accès physique à un bâtiment ou à une installation utilisent souvent le
tailgating ou le piggybacking
pour y parvenir. Alors que le tailgating consiste à se faufiler dans un bâtiment derrière une personne autorisée, le piggybacking repose davantage sur l’ingénierie sociale que sur la furtivité.
L’acteur de la menace raconte une histoire crédible à une personne autorisée et la convainc de le laisser pénétrer dans l’installation. La tactique consiste à mentir en prétendant avoir oublié son badge d’accès ou même à se faire passer pour un livreur.
Whaling (harponnage)
Si l’hameçonnage attire les petits poissons, le harponnage permet des prises beaucoup plus importantes. Le whaling est une tactique de pretexting qui consiste à cibler des employés haut placés dans le cadre de l’attaque d’une entreprise plus importante. Même les cadres sont susceptibles de tomber dans le piège des attaques de spear phishing et de whaling, parce qu’elles sont basées sur l’ingénierie sociale, qui joue sur les faiblesses et les vulnérabilités humaines.
Le whaling vise des personnes haut placées.
Usurpation d’identité
Le pretexting consiste souvent à se faire passer pour un employé officiel, un employé des services publics ou une personne dont on suppose qu’elle a le droit ou le besoin d’accéder à des informations sensibles. Une telle usurpation d’identité n’a pas forcément besoin d’être particulièrement sophistiquée, car en règle générale, les victimes ont tendance à faire plus facilement confiance aux personnes en position d’autorité ou à celles qui agissent à titre officiel.
Un exemple trop courant de ce type d’attaque de pretexting est l’escroquerie au support technique, dans laquelle un escroc se fait passer pour un représentant d’une grande entreprise très connue afin d’obtenir un accès à distance à votre appareil, de vous inciter à cliquer sur un lien malveillant ou de vous inciter à effectuer de faux paiements.
Vérifiez que les communications que vous recevez des marques sont légitimes.
Baiting
Le baiting (appâtage) est conçu pour inciter une victime à agir grâce à une récompense telle qu’un faux remboursement ou prix. Si le baiting est utilisé dans le cadre de pretexting, l’escroc créera un scénario conçu pour que la victime se sente en confiance et accepte de mordre à l’hameçon. Cela peut inclure l’usurpation d’identité, pour faire croire que les communications proviennent d’un contact ou d’une organisation de confiance.
Scarewares
Les scarewares sont des malwares qui vous bombardent de messages alarmants faisant état de menaces et de conséquences désastreuses si vous n’agissez pas immédiatement, par exemple en téléchargeant un faux logiciel antivirus. En provoquant un sentiment de panique, les scarewares peuvent amener les victimes à agir de manière irrationnelle et à prendre de mauvaises décisions qu’elles n’auraient pas prises en temps normal.
Les scarewares tentent de vous convaincre que votre appareil contient des malwares.
Exemples courants d’attaques de pretexting
Parmi les exemples réels de pretexting, on peut citer les nombreuses attaques de piratage informatique contre des entreprises et des personnes célèbres, ainsi que les centaines de milliers de personnes ordinaires qui sont prises pour cible chaque année. Les types les plus courants d’escroquerie par pretexting sont les suivants :
-
Escroquerie à la carte-cadeau
Les escroqueries à la carte-cadeau commencent souvent par un SMS ou un e-mail qui vous demande de cliquer sur un lien ou de fournir vos coordonnées pour obtenir un prix.
-
Escroquerie aux faux fournisseurs d’accès à Internet
Dans les escroqueries aux faux fournisseurs d’accès à Internet, des imposteurs se font passer pour votre fournisseur d’accès à Internet pour tenter de vous convaincre de révéler des informations sensibles.
-
Demandes via la ligne d’objet
Ces attaques de pretexting sont effectuées par le biais d’e-mails dont l’objet est accrocheur et qui prétendent provenir d’une source digne de confiance.
-
Escroqueries visant les grands-parents
Ces attaques de pretexting consistent en des demandes urgentes de virement d’argent pour soutenir un membre de la famille apparemment dans le besoin.
-
Escroqueries à la romance
Les escroqueries à la romance se produisent lorsque des escrocs vous entraînent dans une fausse relation en ligne qui semble avoir le potentiel d’une véritable romance. Souvent, l’escroc demande un soutien financier (c’est ce qu’on appelle le catfishing).
-
Escroqueries Venmo
Les escroqueries aux paiements en ligne, comme les escroqueries Venmo, se produisent lorsque des escrocs vous incitent à leur envoyer de l’argent par l’intermédiaire cette application de paiement populaire.
Compte tenu de la diversité des approches, des personnages et des scénarios concoctés par les escrocs pour tromper leurs victimes, il existe presque une infinité de variantes de chaque type d’attaque de pretexting, ce qui explique pourquoi il est souvent si difficile pour les victimes de détecter et d’éviter ce type d’escroquerie.
Les attaques de pretexting peuvent également être étonnamment sophistiquées et durer plusieurs années avant d’être découvertes, comme ce fut le cas lorsqu’un cybercriminel a escroqué 100 millions de dollars à Google et Facebook en envoyant une série de fausses factures entre 2013 et 2015.
Quelle est la différence entre le phishing et pretexting ?
Bien que le phishing et le pretexting puissent sembler très similaires, le phishing est un moyen d’attaque, tandis que le pretexting est une méthode d’attaque. Les deux peuvent avoir des points communs, comme dans le cas d’un e-mail de spear phishing, très ciblé, usurpant l’identité d’un ami, d’un parent ou de l’employeur d’une personne visée. Bien que de nombreuses attaques de pretexting utilisent des communications de phishing dans le cadre de leur stratagème, ce n’est pas une règle absolue.
Comment reconnaître les attaques de pretexting ?
Les attaques de pretexting sont, de par leur conception, difficiles à reconnaître, mais il existe un certain nombre de signes révélateurs qui peuvent indiquer que quelque chose n’est pas tout à fait ce qu’il semble être. Voici quelques signaux d’alarme qui peuvent vous aider à détecter ce type d’escroquerie :
-
Sentiment d’urgence : afin de mener à bien leurs attaques rapidement, les auteurs de l’escroquerie peuvent tenter de créer un sentiment d’urgence en utilisant des expressions telles que « important », « immédiatement » ou « tout de suite ».
-
Demandes étranges : méfiez-vous de toute demande nécessitant des informations sensibles, un transfert de fonds ou des téléchargements inhabituels, même si elle suit les canaux de communication et les styles de conversation habituels.
-
Fausse familiarité : méfiez-vous des messages qui sortent de nulle part, adoptant un style décontracté, même s’ils sont censés provenir d’une personne que vous connaissez vous demandant « T’es dispo ? » ou « Tu peux me rendre un service ? ».
-
Communication irrégulière : les escrocs trouvent souvent des excuses pour éviter de communiquer trop longtemps, et ils font en sorte que la victime hésite à remettre en question ou à vérifier leurs demandes.
-
Domaines usurpés : les attaquants qui imitent un site web légitime peuvent utiliser des domaines de messagerie ou d’URL similaires, en incluant éventuellement des fautes d’orthographe faciles à repérer ou des différences dans l’adresse électronique de l’expéditeur ou dans l’URL liée.
Souvent, lorsque vous identifiez une escroquerie par pretexting, l’attaque de phishing ou de piratage est déjà allée trop loin et une atteinte à la protection des données a déjà eu lieu. Néanmoins, vous devriez toujours signaler les escroqueries sur Internet et prendre les mesures nécessaires pour sécuriser vos comptes et appareils compromis, afin de contribuer à prévenir l’usurpation d’identité.
Les signes d’un e-mail frauduleux comprennent les fausses adresses électroniques, les liens suspects et les informations de contact manquantes ou fausses.
Comment éviter les attaques de pretexting
La mesure la plus utile qu’une organisation ou un individu puisse prendre pour prévenir le pretexting est de s’informer sur la sécurité des e-mails et sur les tactiques courantes de pretexting. Savoir comment fonctionne le pretexting et ce à quoi il faut faire attention vous permet d’éviter d’en être victime.
Suivez ces étapes pour éviter les escroqueries par pretexting qui vous visent, vous et vos données :
-
Soyez attentif aux signaux d’alerte tels que le sentiment d’urgence, les adresses e-mail usurpées ou les demandes suspectes.
-
Ne cliquez pas sur des liens non vérifiés et ne téléchargez pas de pièces jointes suspectes.
-
Ne communiquez pas d’informations sensibles à qui que ce soit avant d’avoir vérifié l’identité de votre interlocuteur.
-
Contactez l’expéditeur par un canal vérifié afin d’authentifier sa demande.
-
Signalez toute correspondance suspecte à vos supérieurs et à l’équipe informatique de votre entreprise.
-
Signalez la fraude aux autorités locales, si vous vivez aux États-Unis, signalez la fraude à la FTC.
Lois relatives au pretexting aux États-Unis
Toute forme de pretexting dans un but frauduleux est illégale aux États-Unis. Non seulement il est interdit d’usurper l’identité d’autorités telles que les forces de l’ordre, mais la loi de 2006 sur la protection des dossiers téléphoniques et de la vie privée (Telephone Records and Privacy Protection Act), qui protège les dossiers conservés par les sociétés de télécommunications, considère également le smishing, le vishing et d’autres attaques de pretexting comme des délits.
En outre, la loi Gramm-Leach-Bliley rend illégal le fait d’obtenir ou d’essayer d’obtenir, de divulguer ou d’essayer de divulguer des informations sur les clients d’une institution financière lorsqu’elles ont été acquises de manière frauduleuse ou trompeuse. Cela rend illégaux la grande majorité des cas de pretexting destinés à obtenir des données bancaires personnelles.
Aidez à prévenir les attaques de pretexting avec AVG
Quelles que soient vos capacités de réflexion et de discernement, les techniques sophistiquées d’ingénierie sociale peuvent être très convaincantes. AVG Antivirus GRATUIT vous aide à identifier les escroqueries avant qu’elles ne se produisent grâce à la détection automatique des menaces qui aide à bloquer les liens de phishing, vous alerte en cas de site web frauduleux, arrête les scarewares et place les malwares en quarantaine en temps réel. Empêchez les auteurs de pretexting d’accéder à vos données. Installez AVG dès aujourd’hui : c’est entièrement gratuit.