Zpedia 

/ Qu’est-ce que le pretexting ?

Qu’est-ce que le pretexting ?

Le pretexting est une forme d’attaque d’ingénierie sociale par le biais de laquelle un escroc crée un scénario plausible pour inciter les victimes à divulguer des informations sensibles, à effectuer des paiements frauduleux, à autoriser l’accès à un compte, etc. Étroitement liées à divers types de phishing, les escroqueries par pretexting se caractérisent par des situations détaillées (les prétextes) et impliquent souvent une usurpation d’identité, les escrocs s’efforçant de gagner la confiance des victimes afin de les manipuler.

En savoir plus sur les dernières recherches et tendances en matière de phishing
Zero trustProtection contre les menaces en ligne
  1. Fonctionnement
  2. Techniques et attaques
  3. Exemples concrets
  4. Protéger votre entreprise
  5. Comment Zscaler peut vous aider
  6. Ressources suggérées
  7. FAQ
  8. Autres thèmes similaires

Comment fonctionne le pretexting ?

Le pretexting est une technique utilisée dans de nombreux types de cyberattaques. Comme tout autre type d’ingénierie sociale, l’objectif de l’auteur de l’attaque est de convaincre sa victime de lui donner quelque chose, généralement des informations, un accès ou de l’argent, sous de faux prétextes. Pour ce faire, il crée une histoire crédible, incluant souvent des personnages et des détails spécifiques comme des informations privées, qui joue sur les émotions, le sentiment de confiance ou même les peurs de la victime.

Prenons comme exemple l’arnaque classique du « prince nigérian ». Simple prétexte selon les normes actuelles, il repose sur la promesse de donner un peu maintenant pour un retour ultérieur important, que le prétexte soit un compte bancaire bloqué, une entreprise financière ou toute autre explication. Un prince qui envoie un e-mail à des inconnus pour leur demander de l’aide peut sembler trop tiré par les cheveux pour être efficace, mais en 2019, la société de sécurité électronique ADT a estimé que les stratagèmes du prince nigérian rapportaient encore 700 000 dollars chaque année.

Les tentatives sophistiquées de pretexting utilisent souvent des prétextes plus intimes pour être plus convaincants, certains impliquant de faux sites Web, des entreprises fabriquées de toutes pièces, des numéros de compte et des informations d’identification divulgués, les noms des collègues des victimes et autres détails de cette nature.

Le pretexting étant fondamentalement une question de narration, il peut prendre de nombreuses formes et ne repose pas toujours sur les e-mails, Internet ou les malwares. Par exemple, grâce à la technologie deepfake optimisée par l’IA, les hackers peuvent manipuler les modèles de voix, les expressions faciales et les gestes pour produire des simulations très réalistes, difficiles à distinguer de l’audio et de la vidéo authentiques, et qui peuvent s’avérer de puissants outils dans les attaques de phishing.

Techniques d’attaque par pretexting

Les prétextes malveillants s’appuient sur les mêmes techniques d’ingénierie sociale utilisées par les escrocs tout au long de l’histoire pour manipuler les victimes, notamment la tromperie, la validation, la flatterie et l’intimidation. Les hackers peuvent renforcer leurs prétextes par les moyens suivants :

  • Jeux de rôle et usurpation d’identité : les hackers peuvent incarner un client, un fournisseur de services, un collègue ou une figure d’autorité afin que la victime se sente disposée à coopérer. Cela pourrait inclure l’exploitation de vulnérabilités dans les processus d’authentification ou l’exploitation de relations de confiance.
  • Recherche et reconnaissance : en utilisant souvent des ressources ouvertes et accessibles au public, les hackers peuvent recueillir des informations relatives au travail et aux responsabilités d’une cible, à ses collègues, à ses informations personnelles, etc.
  • Développement des relations : comme dans toute « arnaque à long terme » archétypale, les hackers peuvent faire appel à des techniques de manipulation pour établir la crédibilité et la confiance avec une cible, éventuellement par le biais d’appels téléphoniques, de réseaux sociaux ou même de conversations en face à face.
  • Exploitation les émotions : rien ne suscite mieux l’urgence que l’incertitude, le doute et la peur. Les hackers peuvent inventer des situations d’urgence, des occasions uniques et bien plus encore pour inciter leurs cibles à agir dans la précipitation et à contourner les mesures de sécurité.
  • Exploitation de l’IA générative : technique de loin la plus récente de cette boîte à outils, les outils d’IA modernes peuvent aider les hackers à créer rapidement des prétextes avec un langage et des détails étonnamment humains, même dans des langues qu’ils ne maîtrisent peut-être pas.

Enfin, l’un des principaux facteurs qui joue en faveur des acteurs malveillants n’est pas du tout une technique, mais plutôt une vulnérabilité de la psychologie humaine : pour de nombreuses personnes, il est plus facile de dire « oui » que de dire « non ». En d’autres termes, nous voulons avoir de bons rapports avec les autres. C’est pourquoi nous acceptons souvent les demandes, même si cela va à l’encontre de nos intérêts.

Les hackers le savent, et ils savent également que de nombreuses personnes sont prêtes à accorder un peu de confiance. En combinant ces deux éléments, il leur suffit souvent de demander un numéro de carte de crédit pour l’obtenir.

promotional background

Selon la FTC, les consommateurs américains ont perdu 8,8 milliards de dollars à cause de la fraude en 2022, dont 1,2 milliard de dollars à cause d’escroqueries par téléphone et sur les réseaux sociaux.

Données FTC

Comment les cybercriminels utilisent-ils le pretexting ?

Les scénarios de pretexting sont le fondement de la réussite de nombreux types de cyberattaques, tels que :

  • Phishing général : à l’origine de la plupart des attaques de phishing à grande échelle, de simples prétextes peuvent être aussi rudimentaires qu’un e-mail vous demandant de « bien vouloir examiner la facture ci-jointe » ou d’innombrables autres variantes. Ces tactiques servent souvent de points d’entrée à des attaques plus sophistiquées telles que les ransomwares.
  • Spear phishing : les hackers qui cherchent à obtenir des informations hautement sensibles ou précieuses peuvent élaborer des récits minutieusement détaillés pour faire croire à leurs victimes potentielles qu’ils sont légitimes et dignes de confiance.
  • Vishing : il suffit d’un simple appel et d’un prétexte convaincant (comprenant souvent une usurpation de numéro de téléphone) pour que les hackers puissent voler des informations financières, des numéros de sécurité sociale et d’autres informations confidentielles. De nos jours les outils de deepfake optimisés par l’IA permettent aux hackers d’imiter quasiment n’importe quelle voix, et lui faire dire ce qu’ils veulent.
  • Vol et espionnage : des usurpateurs habiles se faisant passer pour des employés ou des sous-traitants peuvent tromper de vrais employés et les suivre dans des zones privées/sécurisées, où ils peuvent avoir accès à des équipements de valeur ou à des informations privilégiées.

Exemples concrets de pretexting

Le pretexting joue un rôle dans d’innombrables cybercrimes et escroqueries financières. Étant donné qu’il exploite la confiance humaine et peut prendre presque toutes les formes, il reste l’une des tactiques d’ingénierie sociale les plus répandues et les plus efficaces. En voici quelques exemples :

Cheval de Troie « SIDA » (1989)

Considéré comme l’ancêtre des attaques par ransomware, les participants à une conférence internationale sur le SIDA ont reçu des disquettes contenant un cheval de Troie sous le prétexte « d’informations sur le SIDA ». Le cheval de Troie a eu pour effet de masquer tous les répertoires d’un système infecté, de chiffrer tous les fichiers du disque dur infecté et d’exiger le paiement d’une rançon de 189 dollars (bizarrement, par la poste) à une adresse au Panama.

Fraude de Quanta Computer (2013-2015)

Dans ce qui pourrait être l’attaque de pretexting la plus coûteuse jamais réalisée, les hackers se sont fait passer pour des représentants de Quanta Computer, un fabricant basé à Taïwan qui travaille avec Facebook et Google. En utilisant de fausses factures envoyées à partir de faux comptes de messagerie, de fausses pièces justificatives, etc., les hackers ont escroqué ces géants de la technologie de plus de 100 millions de dollars au total.

Phishing et extorsion de fonds de demandeurs d’emploi (2023)

Lorsque les licenciements ont frappé le secteur technologique, des escrocs opportunistes s’en sont pris aux demandeurs d’emploi. Se faisant passer pour des recruteurs sur des sites tels que LinkedIn, des escrocs ont copié de vraies offres d’emploi et créé de faux portails de carrière pour convaincre les victimes de remplir de faux documents d’embauche, de télécharger des documents personnels, etc. Vous trouverez une analyse complète de ces attaques sur le blog Zscaler.

Image

Usurpation d’identité deepfake du directeur financier (2024)

À l’aide de clips vidéo et audio accessibles au public, des hackers ont généré des fac-similés réalistes de plusieurs cadres supérieurs, dont un directeur financier, et les ont utilisés pour animer une vidéoconférence frauduleuse. Au final, les faux cadres supérieurs ont convaincu un employé de transférer quelques 200 millions de dollars HK aux hackers. Pour en savoir plus, consultez le blog de Zscaler.

Comment protéger votre entreprise contre les attaques de pretexting

Les services de messagerie modernes bloquent automatiquement de nombreux e-mails de phishing, mais les hackers imaginent toujours de nouvelles méthodes astucieuses pour se faufiler. Un utilisateur externe à votre réseau peut ne pas être en mesure de s’y déplacer librement, mais un utilisateur interne, bénéficiant d’une confiance implicite dans le réseau, peut être amené à penser qu’il agit correctement, tout en faisant directement le jeu d’un hacker.

Alors, que faire pour assurer la sécurité de vos utilisateurs et de vos données sensibles ?

  • Assurez-vous que vos utilisateurs sachent reconnaître les signes d’une attaque. De nombreuses violations de données proviennent encore d’erreurs humaines. Considérez la formation de sensibilisation à la sécurité comme un moyen de corriger les vulnérabilités humaines. Les employés, en particulier ceux qui bénéficient de privilèges élevés, doivent savoir quand se montrer sceptiques (comment identifier les tentatives de phishing, reconnaître l’ingénierie sociale) et comprendre l’importance d’une gestion de mots de passe forts et de l’authentification multifacteur.
  • Soyez prêt à refuser les demandes inhabituelles ou suspectes. Il est plus difficile de dire « non » que de dire « oui », et les escrocs sont experts dans l’art de vous faire baisser votre garde. L’un des principes fondamentaux de l’approche Zero Trust en matière de sécurité, « ne jamais faire confiance, toujours vérifier », s’applique tout autant à ces interactions humaines qu’aux protocoles d’authentification et aux autorisations d’accès. Encouragez les utilisateurs à vérifier les demandes par des moyens/canaux indépendants ou en consultant le personnel informatique et de sécurité.
  • Empêchez la réussite des attaques avec la bonne technologie. Si un hacker parvient à tromper vos utilisateurs (et il est plus prudent de supposer que cela arrivera un jour ou l’autre), vous aurez besoin de mesures de sécurité sur lesquelles vous pouvez compter pour neutraliser ses attaques en appliquant un contrôle d’accès hermétique basé sur les rôles, empêchant les menaces de se déplacer latéralement sur votre réseau et en stoppant la perte de données.

Comment Zscaler peut vous aider

Les attaques de pretexting sont difficiles à neutraliser car leur succès repose sur l’exploitation de la nature humaine, et pas seulement de la technologie. Pour détecter les violations actives et minimiser les dégâts d’une attaque menée à bien, vous devez déployer des contrôles efficaces contre le trafic malveillant, l’exfiltration de données, etc. dans le cadre d’une stratégie Zero Trust complète.

Basée sur une architecture Zero Trust globale, la plateforme Zscaler Zero Trust Exchange™ part du principe qu’aucun utilisateur, charge de travail ou appareil n’est intrinsèquement digne de confiance. Elle vérifie l’identité, détermine la destination, évalue les risques grâce à l’IA et applique la politique avant d’assurer la négociation d’une connexion sécurisée entre un utilisateur, une charge de travail ou un appareil et une application (sur n’importe quel réseau, depuis n’importe où), et ce, afin de :

  • Prévenir les attaques : des fonctionnalités telles que l’inspection TLS/SSL complète, l’isolation du navigateur, la détection de phishing et de C2 optimisée par l’IA, ainsi que le contrôle d’accès basé sur des règles empêchent l’accès à partir de sites Web malveillants.
  • Empêcher les déplacements latéraux : une fois dans votre système, les malwares peuvent se propager et causer davantage de dégâts. La plateforme Zscaler connecte les utilisateurs directement aux applications, et non à votre réseau, empêchant ainsi la propagation potentielle de malwares.
  • Neutraliser les menaces internes : une architecture proxy cloud native arrête les tentatives d’exploitation d’applications privées et détecte même les techniques d’attaque les plus sophistiquées grâce à une inspection inline complète.
  • Bloquer les attaques basées sur l’identité : détectez et bloquez le vol d’identifiants, le contournement de l’authentification multifacteur et l’élévation de privilèges, et bien plus encore grâce à la solution de détection et de réponse aux menaces liées à l’identité, Zscaler ITDR™.
  • Endiguer la perte de données : notre plateforme identifie et protège automatiquement les données sensibles en mouvement et au repos pour empêcher que des hackers actifs dérobent des données.
promotional background

Les prétextes sont faux, mais le risque qu’ils posent est bien réel. Protégez votre entreprise contre les attaques de pretexting et prévenez les violations grâce à une plateforme de sécurité cloud native complète.

En savoir plus

Ressources suggérées

Rapport 2024 de Zscaler ThreatLabz sur le phishing
Lire le rapport
Qu’est-ce que le phishing ?
Lire l'article
Qu’est-ce que le spear phishing ?
Lire l'article
Qu’est-ce que le smishing (phishing par SMS) ?
Lire l'article
Zero Trust, expliqué par un pirate (avec l’aide de ChatGPT)
Lire le blog
Ancien manuel d’ingénierie sociale, maintenant avec l’IA !
Lire le blog
01 / 04
Foire aux questions