Hameçonnage psychologique

30 Jan 2019

Lorsque l’on parle de vulnérabilités, nous faisons généralement référence à des erreurs de codage et à des faiblesses dans les systèmes d’information. Cependant, d’autres vulnérabilités se trouvent directement dans la tête des victimes potentielles.

Il ne s’agit pas d’un manque de sensibilisation, ni d’une négligence en matière de cybersécurité ; nous savons tous plus ou moins comment gérer ces problèmes. Non, c’est juste que le cerveau de l’utilisateur, quand il est sous l’influence de l’ingénierie sociale, ne fonctionne pas toujours comme les experts en informatique le voudraient.

L’ingénierie sociale est principalement la fusion de la sociologie et de la psychologie. Il s’agit d’un ensemble de techniques utilisées pour créer un environnement, et provoquer un résultat prédéterminé. En jouant avec les peurs, les émotions, les sentiments, et les réflexes des gens, les cybercriminels peuvent accéder à des informations particulièrement utiles. C’est en grande partie cette « science » qui est actuellement au cœur de la plupart des attaques ciblées.

Les escrocs s’en prennent principalement à quatre sentiments :

  • Curiosité
  • Pitié
  • Peur
  • Avidité

Il ne serait pas correct de dire qu’il s’agit de vulnérabilités ; ce ne sont que des émotions naturellement humaines. Peut-être qu’il serait plus juste de les décrire comme des « canaux d’influence » grâce auxquels les manipulateurs essaient d’impressionner leurs victimes, pour que le cerveau agisse automatiquement, sans utiliser l’esprit critique. Les cybercriminels ont plus d’un tour dans leur sac pour atteindre cet objectif.

Il est évident que certains stratagèmes fonctionnent mieux que d’autres sur les utilisateurs. Nous avons décidé d’analyser les méthodes plus courantes, et de vous expliquer exactement comment elles sont utilisées.

Le respect de l’autorité

Il s’agit d’un des biais cognitifs : des modèles systématiques de déviation en comportement, perception, et réflexion. Cette méthode repose sur la tendance à obéir aveuglément aux personnes qui ont un certain niveau d’expérience ou d’autorité, et d’ignorer ses propres jugements sur l’opportunité de ces actions.

En pratique, ce pourrait être un e-mail d’hameçonnage que votre patron vous aurait soi-disant envoyé. Évidemment, si le message vous dit de vous filmer en train de twerker et d’envoyer la vidéo à dix amis, vous allez y réfléchir à deux fois. Cependant, si votre responsable vous demande de lire de nouveaux documents sur un projet, vous aurez plus tendance à cliquer sur le fichier joint.

Pression du temps

Une des techniques de manipulation psychologiques les plus souvent utilisées consiste à créer un sentiment d’urgence. Pour prendre une décision informée et rationnelle, il vaut mieux examiner en détail les informations pertinentes. Cela prend un certain temps. Les escrocs essaient précisément de priver leurs victimes de ce bien précieux.

Les manipulateurs créent un sentiment de peur (« On a essayé d’accéder à votre compte. Cliquez immédiatement sur ce lien si vous n’êtes pas à l’origine de cette action… »), ou attisent cette soif d’argent facile (« Seules les dix premières personnes à cliquer sur ce lien auront une réduction. Ne ratez pas ça… »). Lorsque le temps semble s’écouler inexorablement, la probabilité de succomber à votre instinct et de prendre une décision émotionnelle, et non rationnelle, augmente fortement.

Les messages parlant de choses « urgentes » et « importantes » appartiennent à cette catégorie. Pour augmenter leur effet, les mots pertinents sont souvent surlignés en rouge, la couleur du danger.

Automatismes

En psychologie, les automatismes sont des actions prises sans que la conscience ne soit directement impliquée. Les automatismes peuvent être primaires (innés, non considérés), ou secondaires (plus considérés, passés par la conscience). Si nous allons encore plus loin, les automatismes sont classés comme moteur, de la parole, ou mental.

Les cybercriminels essaient de déclencher des automatismes lorsqu’ils envoient des messages, puisqu’ils provoquent une réponse automatique chez certains destinataires. Ces messages incluent notamment ceux qui disent « Impossible d’envoyer l’e-mail ; cliquez pour le renvoyer », les newsletters embêtantes qui affichent un gros bouton tentant pour « Se désabonner », et les fausses notifications de nouveaux commentaires sur les réseaux sociaux. Dans ce cas, notre réaction est le résultat d’automatismes secondaires moteurs et mentaux.

Révélations inattendues

Il s’agit d’un autre type de manipulation assez courant. Les escrocs exploitent le fait que les informations présentées comme un aveu honnête soient perçues comme moins dangereuses que si elles étaient découvertes par hasard.

En pratique, il pourrait s’agir du message suivant : « Nous avons le regret de vous informer que votre mot de passe a été divulgué. Veuillez vérifier si vous figurez sur la liste des personnes affectées. »

Que faire

Les distorsions de perception, qui font malheureusement le jeu des cybercriminels, sont biologiques. Elles apparaissent pendant l’évolution du cerveau pour nous aider à nous adapter au monde, et à dépenser moins de temps et d’énergie. Ces distorsions proviennent souvent d’un manque de sens critique, et beaucoup de ces adaptations ne sont pas bien adaptées aux réalités modernes.  Mais n’ayez crainte, vous pouvez résister à n’importe quelle tentation si vous connaissez un peu la psyché humaine, et suivez ces quelques conseils :

  1. Adoptez la règle suivante : lisez les messages envoyés par vos supérieurs avec un regard critique. Pourquoi votre patron vous demanderait d’ouvrir une archive protégée par un mot de passe, qu’il vous communique dans ce même e-mail ? Pourquoi un directeur pouvant accéder au compte vous demanderait de faire un virement à un nouvel associé ? Pourquoi quelqu’un vous attribuerait une tâche non standard par e-mail au lieu de le faire par téléphone comme d’habitude ? Si quelque chose semble bizarre, clarifiez les choses en utilisant une autre voie de communication.
  2. Ne réagissez pas immédiatement aux messages qui exigent des actions urgentes. Gardez votre calme, même si le contenu du message vous fait trembler. Vérifiez l’expéditeur, le domaine, et le lien, avant de cliquer sur quoique ce soit. Si vous avez encore des doutes, contactez votre informaticien.
  3. Si vous remarquez que vous avez tendance à répondre automatiquement à certains messages, essayez de revoir votre séquence habituelle d’actions, mais de façon consciente. Cela peut vous aider à ne plus répondre de façon automatique. Il s’agit d’activer votre sens critique au bon moment.
  4. N’oubliez pas les conseils que nous vous avons donnés pour éviter les tentatives d’hameçonnage :
  1. Utilisez des solutions de sécurité équipées de technologies fiables pour vous protéger contre l’hameçonnage. Dans ce cas, la plupart des tentatives d’intrusion vont échouer au premier obstacle.