Lorsqu'une personne est confrontée à une situation de détresse, son premier réflexe est d'agir avant de réfléchir. Ce point faible est souvent exploité par les pirates pour mener à bien une attaque. 

Les différents types de piratage psychologique

Le piratage psychologique est une technique par laquelle les cybercriminels exploitent les rapports humains pour inciter un internaute à divulguer des informations sensibles. Comme cette stratégie se fonde sur la nature humaine et les réactions émotionnelles, les attaquants disposent de nombreux moyens pour vous piéger, en ligne ou hors ligne.

Hameçonnage

Les hommes sont curieux de nature, comme le montre ce scénario. Le cybercriminel va laisser traîner dans un lieu public un périphérique, comme une clé USB, infecté par un malware. Une personne va ramasser ce périphérique et le connecter à son ordinateur pour voir ce qu'il contient. C'est là que le malware s'introduit dans l'ordinateur. 

Phishing

C'est l'une des ficelles les plus anciennes du métier, mais aussi l'une des plus efficaces. Les cybercriminels essaient diverses méthodes pour vous soutirer des informations. Leur modus operandi ? L'intimidation : l'internaute reçoit un message urgent concernant généralement un compte bancaire ou un autre type de compte en ligne. Jouant sur la crainte, cette méthode pousse l'internaute à agir sous le coup de l'émotion plutôt que de réfléchir quelques instants à la situation.

Dans d'autres variantes du même scénario, le message semblera provenir d'une figure respectable, par exemple un supérieur hiérarchique vous demandant votre nom d'utilisateur et votre mot de passe afin de se connecter à un système. Les gens acceptent naturellement une telle demande si elle provient d'un collègue, en particulier s'il fait partie de la direction. Le sentiment d'urgence est également une technique fréquente de phishing. Vous avez certainement déjà reçu un de ces messages électroniques présentant une très forte remise sur un produit en quantité limitée. Persuadé d'avoir trouvé la bonne affaire, l'utilisateur se sent obligé d'agir rapidement, et sa décision relève d"une impulsion malencontreuse. 

Piratage de messagerie électronique et envoi de spam

Il est dans notre nature de prêter attention à ce que les gens que nous connaissons nous envoient. Si ma sœur m'envoyait un message intitulé « Regarde ce site, ça vaut vraiment le coup », je n'hésiterais pas à l'ouvrir. Voilà pourquoi ces cybercriminels cherchent à obtenir des adresses électroniques et les mots de passe correspondants.

Une fois en possession de ce sésame, ils peuvent prendre le contrôle du compte et envoyer des spams à tous les contacts du carnet d'adresses d'un utilisateur. L'objectif premier est de propager un malware pour inciter les gens à divulguer leurs données personnelles et d'autres renseignements. 

Prétexte

Avec cette technique, le cybercriminel met au point un scénario élaboré afin de « ferrer » ses victimes. Il s'agit parfois d'une histoire larmoyante : une personne coincée à l'étranger sans argent ou le prince d'un pays inconnu dont le père vient de mourir et qui a besoin de 500 EUR pour succéder au trône. Ce type de scénario joue sur une disposition naturelle à vouloir venir en aide aux personnes dans le besoin. Ce subterfuge s'accompagne souvent de nombreuses autres stratégies, car la plupart de ces scénarios doivent s'appuyer sur une histoire crédible pour attirer l'attention de la cible. Dans certains cas, l'attaquant se fait passer pour quelqu'un d'autre au téléphone. 

Quiproquo

Du latin « quid pro quo », une chose pour une autre. Pour attirer les internautes, cette fraude fait miroiter des lots ou des remises alléchantes sur des produits onéreux, à condition qu'ils remplissent un formulaire leur demandant l'essentiel de leurs informations personnelles. Toutes les données ainsi obtenues servent à  usurper une identité.

Spear-phishing

Plus élaboré que le phishing, le spear-phishing est une campagne ciblant les employés d'une entreprise particulière dont le cybercriminel souhaite subtiliser les données. Pour cela, il choisit une cible au sein de l'organisation, effectue des recherches sur cette personne en glanant des informations personnelles et ses centres d'intérêt sur Internet et sur les réseaux sociaux. Une fois la victime cernée, le cybercriminel commence à envoyer des messages électroniques qui semblent la concerner personnellement afin de l'inciter à cliquer sur un lien vers un malware ou à télécharger un fichier malveillant.

Nous sommes nombreux à consulter notre messagerie électronique personnelle et nos profils sur les réseaux sociaux alors que nous sommes connectés au réseau de l'entreprise, et c'est exactement ce que le cybercriminel cherche à exploiter. Une fois l'internaute piégé, le malware est installé sur l'ordinateur, et peut alors aisément contaminer les machines d'un même réseau.

Vishing

De toutes ces méthodes de piratage, le vishing est celle qui fait le plus appel aux interactions humaines. Le criminel appelle un employé de l'entreprise en se faisant passer pour une personne de confiance. Ce pourrait être un représentant de votre banque ou d'une autre société avec laquelle vous traitez. Il essaie ensuite d'obtenir des informations en se faisant passer pour un collègue qui a besoin de votre mot de passe parce qu'il a perdu le sien, ou en vous posant tout une série de questions pour vérifier votre identité.

Le piratage psychologique peut se dérouler de deux manières : en une seule attaque, comme un message électronique de phishing ; ou selon une méthode plus complexe, généralement dirigée contre une institution. On parle alors d'attaque minimale ou de longue durée.

Attaque minimale

Ce type d'attaque est de courte durée. En général, les cybercriminels utilisent le phishing, l'hameçonnage et le piratage de messagerie électronique pour soutirer un maximum de données avec un minimum d'interaction.

Attaque de longue durée

Comme pour une escroquerie de grande envergure, le cybercriminel va s'efforcer d'établir une relation avec sa victime. En général, il étudie les profils de la cible sur les réseaux sociaux et se sert des informations ainsi recueillies pour nouer des liens avec elle. Ce type d'attaque repose largement sur la méthode du prétexte. L'attaquant essaie de berner sa victime aussi longtemps que possible pour obtenir un maximum d'informations.

Le piratage psychologique est omniprésent, sur Internet mais aussi hors ligne. Sa redoutable efficacité tient avant tout au fait qu'il est impossible d'installer un logiciel de sécurité sur un être humain. Contre ces types d'attaques, la meilleure défense consiste à se former et à identifier les signaux auxquels il faut prêter attention.

Pour protéger vos usages du numérique en toute sérénité, nous vous recommandons d’utiliser Norton Security, le logiciel de sécurité qui vous offre une promesse de protection antivirus à 100 %. Dans le cas improbable où vous connaîtriez une infection par un virus, un de nos experts le supprimera pour vous ou vous serez remboursé*. En savoir plus.

* Pour bénéficier de la promesse de protection antivirus, vous devez acheter, renouveler ou mettre à niveau votre abonnement Norton directement auprès de Symantec ou souscrire à un service de renouvellement automatique Norton. Si l'expert du service de Symantec ne parvient pas à supprimer un virus de votre périphérique, vous recevrez un remboursement intégral basé sur le prix payé pour l'abonnement au produit Norton ou, dans le cas d'un lot, le prix total payé pour le lot (y compris toute remise ou tout remboursement reçu et hors frais d'expédition et de gestion et toute taxe applicable, à l'exception de certains États ou pays où les frais d'expédition et de gestion et toute taxe applicable sont remboursables) et uniquement pour la période d'abonnement payée de ce produit ou lot de produits. L'abonnement Norton doit avoir été installé et activé sur votre ordinateur avant que ce dernier soit infecté par un virus. Le remboursement NE s'applique PAS aux dommages occasionnés par d'éventuels virus. Consultez la pagehttp://fr.norton.com/nortonlive/information.jsp?type=guarantee&sel=y pour plus de détails.