Social Engineering : les émotions, le facteur humain de l’escroquerie

Social engineering

Il peut arriver à quelqu’un, peut-être dans un moment difficile de l’existence, la pensée inavouable de devenir un hacker. Pour résoudre quelques problèmes, régler quelques affaires, peut-être acheter cette maison tant désirée qui est inaccessible avec le travail quotidien. Bref, pour donner une belle couche de peinture fraîche à sa vie et ensuite retourner au travail normalement.

La mauvaise nouvelle, en plus des explications que nous devrions donner à notre conscience et aux nuits passées sans sommeil par peur d’être découverts, est que le métier de hacker n’est pas du tout facile.

Il faut être très préparé, avoir de hautes compétences techniques et être de très grands connaisseurs de la psychologie humaine. Surtout si le filon choisi pour vos « affaires » est justement le numérique. Ce n’est pas une coïncidence si les connaissances qui tournent autour de la manipulation des victimes ont été dotées d’une définition qui sonne bien : l’ingénierie sociale.

Social engineering : psychologie et technique

Le Social Engineering ou ingénierie sociale, est l’étude du comportement des gens afin de les manipuler et de les tromper en se concentrant sur leurs émotions. L’objectif ? Tirer parti des faiblesses humaines pour créer un espace d’accès aux données et informations protégées.

Il s’agit d’une véritable manipulation psychologique qui agit principalement sur certains leviers tels que :

  • la soumission à l’autorité ;
  • la preuve sociale, c’est-à-dire la pression des pairs pour encourager un certain comportement ;
  • les sentiments de sympathie et de ressemblance ;
  • la nécessité de faire preuve d’engagement, de réciprocité et de cohérence : les gens aiment, par exemple, rendre une faveur ;
  • la précipitation et la distraction ;
  • la cupidité, qui se traduit souvent par l’incapacité de résister à des offres très abordables,
  • la compassion et les bons sentiments.

Étant donné que chaque type d’attaque informatique joue sur un type spécifique de faiblesse humaine, on peut affirmer que l’ingénierie sociale traverse plus ou moins toutes les formes d’attaque informatique, et en constitue l’humus sur lequel le crime s’enracine et se répand.

Chaque hacker vise la réponse émotionnelle

Les courriels très répandus de hameçonnage, qui agissent sur l’origine trompeuse d’un courrier apparemment légitime et digne de confiance, à l’attaque, plus sophistiquée, dite de Business Email Compromise (BEC)où l’on sollicite le désir de faire quelque chose qui fera plaisir au patron ; en passant par l’escroquerie du formulaire de contact, qui s’appuie sur l’anxiété suscitée par la menace d’une action en justice, à l’utilisation du problème lié au Covid dans toutes ses nuances (variantes, passe sanitaire, etc.) pour tromper le malheureux à travers les différentes émotions que cela suscite.

Ce qui assure le succès du cybercriminel, c’est toujours l’action réactive de la victime. C’est-à-dire une réponse immédiate et instinctive à la provocation. Quand la victime se mettra à réfléchir, si c’est le cas, il sera trop tard.

En effet, les réponses émotionnelles sont précisément les plus profondément enracinées en chacun de nous. L’utilisation de la persuasion et de la manipulation émotionnelle dans les campagnes de phishing a fait l’objet d’une étude publiée par l’American Psychological Society en 2018, laquelle examine « l’excitation émotionnelle en tant que tactique de fraude ».

Selon l’étude, les personnes examinées ont pris de mauvaises décisions en répondant à des messages de persuasion à la fois négatifs et positifs, car « l’excitation émotionnelle peut affecter la sensibilité à l’information trompeuse ». Et c’est exactement le comportement que l’escroc attend.

La dangerosité de ce type de risque réside donc précisément dans le facteur humain. Ce clic, effectué avec légèreté et rapidité inconscientes, peut être fatal et entraîner la victime dans un enchevêtrement de problèmes qui, pour être résolus, demandent de l’argent et du temps. En bref, une mauvaise histoire.

Comment y remédier ?

Il n’y a pas de techniques ou de logiciels particuliers pouvant nous protéger contre ce type d’attaque. La seule solution est une formation continue et actualisée de sensibilisation à la cybersécurité. Une plus grande sensibilisation aux cyber-risques est nécessaire pour reconnaître les tromperies qui manipulent les réponses émotionnelles.

Ne perdez donc jamais votre concentration sur vos gestes informatiques et sur les conséquences qu’ils peuvent engendrer. Et ne prenez jamais de retard en matière d’éducation et de formation. Ce n’est qu’ainsi que nous rendrons la vie difficile au hacker en service qui devra partir à la recherche d’une autre victime moins bien préparée que nous.

En savoir plus sur les parcours de formation de Cyber Guru