Le social engineering ou ingénierie sociale exploite les erreurs humaines plutôt que les failles techniques en s’appuyant sur la manipulation psychologique pour s’attaquer aux systèmes informatiques.
Le social engineering vise souvent à obtenir des informations personnelles ou financières afin d’usurper l’identité ou extorquer la victime. Il peut aussi être la première étape d’une attaque de plus grande ampleur.
On dit parfois que l’attaque par ingénierie sociale est un piratage humain, par opposition au piratage technique habituel.
Il en existe différents types d’attaques par social engineering :
Phishing
Le phishing consiste à se faire passer par un organisme public ou une entreprise privée comme votre banque ou la sécurité sociale à l’aide d’un email imitant leur charte graphique (logo, typographie, etc.) et vous tromper.
Baiting
Le baiting (ou technique de l’appât) consiste à appâter la victime avec une offre alléchante ou un objet de valeur afin qu’elle fournisse d’elle-même des informations sensibles ou qu’elle télécharge un logiciel malveillant (malware).
Tailgating
Le tailgating (ou « talonnage ») est le fait pour le cyberattaquant d’entrer dans une zone non autorisée en suivant une personne autorisée pour y dérober des informations sensibles ou actifs de valeur.
Pretexting
Le pretexting consiste pour le hacker à créer un problème pour sa victime puis à se placer comme la meilleure personne pour l’aider.
Quid pro quo
Le qui pro quo est une attaque qui fait miroiter à la victime un bien ou un service contre ses informations confidentielles.
Scareware
Un scareware est un logiciel qui incite l’utilisateur à la peur pour qu’il partage des informations confidentielles ou télécharge un malware.
Watering hole
Une attaque watering hole (point d’eau) consiste justement à “empoisonner le point d’eau”, en l’occurrence, injecter du code malveillant dans une page web fréquentée par la cible. Cela permet par exemple de voler des identifiants ou de télécharger un ransomware furtivement.