Cyber ​​​​expert Shutov : le plus souvent les escrocs jouent sur la peur de l'utilisateur

Vasily Shutov, professeur au département KB-1 « Sécurité de l'information » de RTU MIREA, a expliqué que l'ingénierie sociale est un outil de cyber-fraude, activement utilisé par les attaquants pour la fraude financière, le vol de données et l'accès non autorisé aux systèmes et aux informations confidentielles. Je parle à RT.

«Cela consiste à utiliser diverses méthodes psychologiques pour influencer les gens, notamment à l'aide des technologies modernes. Contrairement aux cybermenaces traditionnelles telles que les virus ou les attaques de pirates informatiques, l’ingénierie sociale exploite les faiblesses humaines, et non les vulnérabilités logicielles ou matérielles », a prévenu l’interlocuteur de RT.

Shutov a souligné que cela est particulièrement dangereux, car même les mesures de sécurité technologiques les plus avancées sont inutiles si une personne donne volontairement accès à des données sensibles.

"Dans la plupart des cas, les escrocs profitent de la peur, du désir d'aide de l'utilisateur ou du besoin urgent de résoudre un problème important", a ajouté l'analyste.

Selon lui, l’une des méthodes d’ingénierie sociale les plus courantes est le phishing.

« Il s’agit d’attaquants qui envoient de faux e-mails ou messages imitant des sources fiables, telles que des sites Web officiels ou des communautés de réseaux sociaux. Le but du phishing est d’inciter les utilisateurs à fournir des informations personnelles telles que des mots de passe, des numéros de carte de crédit ou des listes de contacts », a déclaré l’expert.

Les attaques de phishing sont souvent déguisées en messages urgents ou importants afin de faire ressentir aux utilisateurs le besoin de réagir de toute urgence.

« Par exemple, votre banque peut vous envoyer une lettre vous demandant de mettre à jour vos informations de sécurité, ou vous pouvez recevoir une lettre vous demandant de participer à une loterie. Il existe également du phishing vocal. C’est alors qu’un escroc appelle et se présente comme employé d’une institution financière, d’un organisme gouvernemental, chef du service RH de l’entreprise, etc. Cependant, les attaquants n’ont souvent même pas besoin de communiquer personnellement avec l’utilisateur. Il suffit d’envoyer de faux messages, notifications et publicités », a déclaré l’expert.

Une autre méthode d'ingénierie sociale est le prétexte, où les attaquants créent de faux prétextes pour obtenir des informations, a expliqué Shutov.

« Contrairement au phishing vocal, qui se produit généralement via des appels téléphoniques, le prétexte peut impliquer de nombreuses formes de communication, notamment le courrier électronique, les réunions en face à face et même l'utilisation de faux documents. Les fraudeurs collectent des données sur les utilisateurs à partir de sources ouvertes et de réseaux sociaux et les utilisent pour forcer ces utilisateurs à fournir des informations confidentielles, à transférer de l'argent et à donner accès à des comptes personnels », a-t-il noté.

Selon lui, l’ingénierie sociale peut également inclure l’accès physique réel à des documents ou à des équipements.

« Dans ces cas, les escrocs se font passer pour des employés et des experts techniques de diverses entreprises ou des représentants du gouvernement en utilisant de fausses pièces d'identité, des uniformes et d'autres caractéristiques qui surprennent les gens. L'ingénierie sociale peut être utilisée non seulement pour voler l'identité et l'argent d'une personne, mais également pour mener des cyberattaques plus complexes, telles que l'introduction de logiciels malveillants ou la prise de contrôle de systèmes sensibles. Cela fait de l’ingénierie sociale l’une des menaces de cybersécurité les plus dangereuses », a conclu l’expert.

Comme indiqué précédemment, à partir du 1er janvier 2025, les grandes banques devront saisir les données des fraudeurs dans leurs systèmes pour lutter contre les transactions suspectes.

Источник: RT на русском