Qu’est-ce que le pretexting ?

Le pretexting est un problème critique dans le domaine de la cybersécurité, car les attaquants élaborent des scénarios trompeurs pour manipuler les individus afin qu’ils révèlent des informations sensibles.

Le pretexting est une tactique d’ingénierie sociale sophistiquée qui pose des défis importants à la posture de sécurité d’une organisation. Il est donc essentiel de développer des stratégies efficaces pour se protéger contre de telles tentatives calculées de fraude.

Le pretexting est une attaque d’ingénierie sociale dans laquelle l’attaquant crée une fausse identité ou un faux scénario pour persuader une victime de divulguer des informations confidentielles, d’autoriser l’accès à des systèmes restreints ou d’effectuer des actions qu’elle n’entreprendrait pas autrement.

Contrairement aux attaques de phishing qui reposent souvent sur la panique ou l’urgence, le pretexting consiste généralement à instaurer un climat de confiance avec la cible par le biais d’histoires et de récits soigneusement construits.

Le succès de ces attaques dépend de la capacité de l’attaquant à paraître suffisamment légitime et digne de confiance pour que la victime abaisse ses défenses.

Les attaquants qui mènent des opérations de pretexting consacrent du temps à la collecte d’informations contextuelles pertinentes pour le récit qu’ils ont choisi. Cette phase préparatoire peut impliquer des recherches sur la structure d’une organisation, les rôles et les responsabilités de ses employés, ainsi que toute information personnelle publiquement disponible sur les cibles potentielles.

Forts de ces connaissances, les attaquants élaborent des récits plausibles, par exemple en se faisant passer pour un membre du personnel informatique interne effectuant des contrôles de sécurité de routine, ce qui nécessite de partager des mots de passe, des détails financiers ou d’autres données sensibles.

L’exécution d’une attaque par faux-semblant peut varier considérablement en complexité — de simples appels téléphoniques demandant des réinitialisations de mots de passe sous l’apparence d’un personnel de support technique à des schémas élaborés se faisant passer pour des cadres d’entreprise nécessitant un accès urgent à des documents spécifiques alors qu’ils ne sont pas au bureau.

Quel que soit son degré de sophistication, chaque prétexte tente d’exploiter la psychologie humaine en établissant un rapport et en donnant l’impression d’une autorité. Il est donc essentiel que les organisations et les individus restent vigilants face à ces tactiques trompeuses.

Le pretexting et le phishing sont tous deux des techniques d’ingénierie sociale conçues pour tromper les individus et les amener à divulguer des informations sensibles, mais ils fonctionnent selon des méthodologies et des tactiques psychologiques distinctes.

Phishing

Les attaques par phishing se caractérisent par leur approche générale, qui implique généralement une communication de masse envoyée à un grand nombre de victimes potentielles.

Ces communications créent souvent un sentiment d’urgence ou de peur, incitant les destinataires à agir rapidement, par exemple en cliquant sur un lien malveillant ou en fournissant des informations confidentielles sans vérification approfondie.

Les tentatives de phishing ne sont généralement pas personnalisées, car les attaquants s’appuient sur la loi des moyennes, s’attendant à ce que, même si seul un petit pourcentage répond, il obtiendra tout de même des données ou un accès précieux.

Pretexting

Le pretexting, quant à lui, implique une approche plus ciblée où les attaquants investissent du temps dans la création de contextes et de scénarios détaillés adaptés spécifiquement à leur(s) victime(s) potentielle(s).

Contrairement au phishing qui s’appuie sur des réponses émotionnelles immédiates de la part des cibles par le biais de messages contenant des appels urgents à l’action, le pretexting s’appuie sur l’établissement d’une confiance au fil du temps avec sa cible par le biais d’histoires élaborées qui justifient la demande d’informations sensibles.

L’attaquant endosse une identité ou un rôle qui semble légitime dans le contexte fourni, ce qui nécessite des recherches approfondies sur la victime afin de renforcer sa crédibilité.

Si le pretexting et le phishing visent à tromper les individus pour les amener à compromettre les limites de sécurité personnelles ou organisationnelles, ils divergent considérablement dans leur exécution.

Le phishing jette de larges filets, espérant que certains seront mordus par précipitation ou par peur, tandis que le pretexting élabore des récits convaincants autour de cibles bien étudiées pour les attirer lentement grâce à la légitimité et à la fiabilité perçues.

Les attaques de pretexting se déroulent selon une série d’étapes méticuleusement planifiées, chacune étant conçue pour renforcer la crédibilité de l’attaquant et persuader la victime de divulguer des informations confidentielles ou d’effectuer des actions spécifiques.

1. Recherche et collecte d’informations : La phase initiale implique des recherches approfondies sur la personne ou l’organisation cible. Les attaquants peuvent parcourir les bases de données publiques, les plateformes de réseaux sociaux, les sites Web des entreprises et d’autres sources accessibles au public pour recueillir des informations détaillées afin de rendre leur prétexte plus convaincant. Cette étape préparatoire est cruciale pour élaborer une histoire crédible qui trouve un écho auprès de la victime potentielle.
2. Élaboration d’un scénario : Armés de connaissances suffisantes, les attaquants élaborent un scénario plausible adapté à leur cible. Ce scénario peut impliquer l’usurpation de l’identité d’une personne interne ou externe à l’organisation, comme un membre du personnel informatique effectuant des vérifications de routine, un auditeur financier exigeant des informations sensibles sur un compte, ou même des représentants des forces de l’ordre exigeant une coopération immédiate sur une affaire urgente. Le succès de cette étape dépend d’une narration qui justifie pourquoi certaines informations sont nécessaires.
3. Instaurer la confiance et établir l’autorité : Une fois la cible contactée (souvent par téléphone, email ou face à face), l’attaquant utilise des tactiques psychologiques pour établir un rapport et asseoir son autorité dans son rôle supposé. Il peut faire référence à des détails spécifiques glanés au cours de ses recherches afin de renforcer sa légitimité et d’atténuer les soupçons de la victime.
4. Exécution de la demande : Une fois la confiance établie sous de faux prétextes, l’attaquant demande directement des données sensibles (par exemple, des mots de passe), des autorisations d’accès (à des systèmes restreints), des numéros d’identification personnels (PIN), des dossiers financiers, ou persuade les victimes d’effectuer des actions bénéfiques pour compromettre davantage les mesures de sécurité (comme l’activation de protocoles de bureau à distance).
5. Collecte des données et stratégie de sortie : Une fois que l’attaquant a réussi à obtenir les informations sensibles, il les collecte soigneusement et les sécurise pour l’usage qu’il veut en faire, ce qui peut inclure l’accès à des comptes financiers, la pénétration de systèmes sécurisés ou la vente des données à d’autres parties malveillantes. La stratégie de sortie est exécutée avec précision afin de minimiser les traces permettant de remonter jusqu’à eux, de sorte qu’au moment où toute activité suspecte est détectée, ils ont déjà couvert leurs traces et sont sortis sans laisser de traces claires.

Les attaques par faux-semblant combinent une planification méticuleuse et une manipulation psychologique en s’appuyant sur des recherches détaillées et des récits sur mesure pour instaurer la confiance et l’autorité auprès de leurs cibles.

Les attaques par pretexting peuvent être très dynamiques et impliquent souvent une combinaison de techniques d’ingénierie sociale.

Parmi les cas réels les plus notables de pretexting, on peut citer :

• Le scandale du pretexting chez Hewlett-Packard (2006) : HP a engagé des enquêteurs pour se faire passer pour les membres du conseil d’administration de l’entreprise et pour des journalistes afin d’obtenir leurs relevés téléphoniques grâce à des techniques de pretexting. Ce scandale a mis en lumière les implications juridiques et éthiques du pretexting, ce qui a entraîné des changements dans les lois américaines concernant l’utilisation de telles tactiques d’ingénierie sociale pour obtenir des enregistrements personnels.
• Fraude des réseaux Ubiquiti (2015) : Des « pretexters » se faisant passer pour des cadres de haut niveau d’Ubiquiti Networks ont envoyé à des employés des messages leur demandant d’envoyer des fonds sur les comptes bancaires de l’acteur de la menace. Au final, cette attaque d’ingénierie sociale élaborée a coûté 46,7 millions de dollars à l’entreprise.
• Prise de contrôle d’un compte Twitter (2020) : En s’appuyant sur une combinaison d’attaques de piratage, de pretexting et de spear phishing, les acteurs de la menace ont trompé les employés de Twitter en leur demandant de révéler les identifiants de leur compte, ce qui a permis aux attaquants de contrôler des comptes très médiatisés comme ceux de Barack Obama et de Kanye West. Ce cas a été mis en évidence dans le Journal of Cybersecurity Education, Research and Practice (Journal de l’éducation, de la recherche et de la pratique en matière de cybersécurité).

Les exemples de pretexting impliquent également des profils de cibles et des vecteurs d’attaque spécifiques.

Vous trouverez ci-dessous des scénarios et des escroqueries qui s’appuient souvent sur des mécanismes de faux-semblant.

• Escroquerie à la mise à jour de compte : Les victimes reçoivent de faux messages de leur banque leur demandant des informations personnelles, ce qui les conduit vers des sites web frauduleux conçus pour voler les identifiants de connexion.
• Escroqueries par compromission de l’email d’entreprise (BEC) : Dans les attaques BEC, les auteurs de la menace se font passer pour des fonctionnaires de haut rang afin de demander des transferts d’argent urgents ou des informations sensibles, exploitant ainsi la confiance au sein des organisations.
• Escroquerie aux grands-parents : Les escrocs exploitent la vulnérabilité émotionnelle des personnes âgées à des fins lucratives en se faisant passer pour des parents ayant un besoin urgent d’aide financière.
• Les escroqueries à la romance : Les fraudeurs utilisent de faux profils de rencontres et des histoires fabriquées de toutes pièces pour établir des relations en ligne avant de demander de l’argent sous couvert de fausses urgences, ce qui entraîne souvent des pertes financières importantes au-delà des frontières internationales.
• Escroqueries au fisc ou au gouvernement : Les usurpateurs prétendent que les victimes doivent des impôts et doivent payer immédiatement sous la menace d’une action en justice, en utilisant des tactiques de peur pour soutirer de l’argent ou des données sensibles directement.
• Escroqueries aux crypto-monnaies : Se faisant passer pour des experts en investissement, les escrocs proposent de fausses opportunités avec des rendements élevés sur les investissements en crypto-monnaies. Une fois que la victime a transféré des crypto-monnaies sur le compte de l’escroc, il est pratiquement impossible de les récupérer en raison de l’anonymat et de la nature décentralisée des crypto-monnaies.
• Escroqueries au support technique : Les attaquants se font passer pour des agents de support technique d’entreprises bien connues, affirmant que l’ordinateur de la victime est infecté par un malware. Ils incitent les utilisateurs à autoriser l’accès à distance ou à payer pour des correctifs logiciels inutiles.
• Arnaques à l’offre d’emploi : Les fraudeurs publient de fausses offres d’emploi ou les contactent directement en proposant des postes lucratifs. Les victimes sont invitées à payer d’avance des frais de formation ou de vérification des antécédents, pour finalement se rendre compte qu’il n’y a pas d’emploi à proprement parler.

Les diverses tactiques employées dans les escroqueries de pretexting soulignent la nécessité de faire preuve de vigilance et de scepticisme, en particulier face à des demandes inattendues d’informations ou d’argent.

Le fait d’être sensibilisé à la sécurité et de prendre le temps de vérifier l’authenticité de ces communications peut permettre d’éviter d’importants préjudices financiers et de réputation.

Le « pretexting », qui consiste à obtenir des informations par des moyens trompeurs, est non seulement contraire à l’éthique, mais il est également en contradiction avec les lois en vigueur dans de nombreuses juridictions.

Cette pratique vise souvent des données personnelles sensibles telles que les relevés téléphoniques ou les informations financières, domaines dans lesquels la loi interdit explicitement les demandes de renseignements sous prétexte.

Par exemple, la loi de 2006 sur les relevés téléphoniques et la protection de la vie privée (Telephone Records and Privacy Protection Act) considère comme un crime fédéral le fait d’utiliser un prétexte pour obtenir des relevés téléphoniques sans autorisation. Cette loi a été introduite en réponse directe aux préoccupations croissantes concernant les atteintes à la vie privée et l’accès non autorisé aux données.

De même, la loi Gramm-Leach-Bliley (GLBA) de 1999 traite de la protection de la vie privée des consommateurs en rendant illégal le recours à de faux prétextes (pretexting) pour collecter les données financières des individus. Elle étend encore son champ d’application en interdisant de solliciter d’autres personnes pour obtenir ce type d’informations dans des conditions trompeuses.

Ces lois soulignent le sérieux avec lequel la législation américaine considère ces pratiques trompeuses et établissent des limites claires pour protéger la vie privée et la sécurité des consommateurs.

La protection contre les attaques par faux-semblant nécessite une approche à multiples facettes, combinant la formation des employés, des processus de vérification robustes et des contrôles rigoureux de l’accès aux données.

Formation et sensibilisation des employés

L’une des défenses les plus efficaces contre le pretexting est un personnel informé et vigilant. Les organisations devraient organiser régulièrement des sessions de formation pour informer les employés sur la nature des escroqueries par pretexting, les indicateurs communs des demandes frauduleuses et l’importance du scepticisme dans les interactions impliquant des informations sensibles.

Mettre en œuvre des processus de vérification stricts

Les organisations doivent mettre en place des protocoles stricts de vérification des identités par téléphone ou par email, en particulier lorsque ces communications demandent l’accès à des données personnelles ou à des données d’entreprise.

Ces protocoles peuvent inclure des questions secrètes connues uniquement des parties ou exiger un rappel par le biais de numéros officiellement répertoriés.

Limiter l’accès aux informations sensibles

Appliquez le principe du moindre privilège à tous les niveaux de votre organisation et veillez à ce que les personnes n’aient accès qu’aux informations nécessaires à l’exercice de leurs fonctions.

Un contrôle strict de l’accès à chaque information permet de minimiser les dommages potentiels, même si un pirate parvient à tromper quelqu’un au sein de l’entreprise.

Exercices de simulation améliorés

Au-delà de la formation de base, l’incorporation d’exercices de simulation imitant de véritables tentatives de pretexting peut renforcer la capacité des employés à reconnaître les attaques et à y répondre.

L’utilisation de bannières de connexion qui rappellent au personnel les protocoles de sécurité lors de l’accès au système et la diffusion régulière d’emails soulignant les récentes tendances en matière d’escroquerie permettent de garder la cybersécurité à l’esprit.

Authentification multifactorielle (MFA)

Le déploiement de l’authentification multifactorielle dans tous les systèmes renforce considérablement les défenses en ajoutant une étape de vérification supplémentaire, réduisant ainsi le risque associé aux mots de passe compromis.

L’authentification multifactorielle garantit un niveau de sécurité plus élevé pour l’accès aux informations sensibles ou aux infrastructures critiques.

Vigilance à l’égard des signaux d’alerte

Formez les employés à identifier les signes d’un prétexte potentiel, tels que les demandes urgentes, les incohérences dans les adresses email par rapport aux contacts connus, ou toute communication qui semble sortir des processus d’affaires ordinaires.

L’identification précoce de ces signaux d’alerte peut empêcher l’escalade vers des violations de données plus graves.

Établir des politiques

Collaborez avec les ressources humaines et les équipes juridiques pour créer des politiques complètes détaillant les mesures préventives contre les escroqueries par faux-semblant, ainsi que des directives claires sur la manière dont les employés doivent signaler les incidents suspects.

Ces politiques permettent de gérer les conséquences d’une escroquerie à laquelle un employé serait mêlé par inadvertance, en veillant à ce que des mesures soient prises rapidement pour limiter les dégâts.

Utiliser des solutions de gestion des menaces d’initiés

Mettez en œuvre des outils avancés de gestion des menaces internes conçus pour surveiller en permanence les modèles de comportement des utilisateurs au sein de votre réseau.

Ces solutions signalent les activités qui s’écartent des opérations normales, telles que les transferts de données ou les demandes d’accès inhabituels, ce qui permet d’enquêter et de réagir rapidement avant que des dommages importants ne se produisent en raison de vulnérabilités internes exploitées par des tentatives réopose plusieurs solutions pour aider à se protéger contre les attaques de pretexting et par ingénierie socussies d’escroquerie.

Proofpoint est à l’avant-garde des solutions de cybersécurité, offrant une gamme complète de services conçus pour renforcer les organisations contre les cybermenaces.

Proofpoint priale :

• Targeted Attack Protection (TAP) : Proofpoint TAP aide les organisations à garder une longueur d’avance sur les attaquants en détectant, analysant et bloquant les menaces avancées avant qu’elles n’atteignent les boîtes de réception des emails. Elle inclut des fonctionnalités telles que le sandboxing, l’analyse de divers types de fichiers et la protection contre les ransomwares, les attaques de phishing et d’autres menaces par email.
• Défense BEC avancée : Cette solution, alimentée par NexusAI, est conçue pour stopper une grande variété de fraudes par email, y compris la redirection de paiement et la fraude à la facturation des fournisseurs à partir de comptes compromis. Elle utilise l’IA et l’apprentissage automatique pour détecter les attaques BEC en analysant de multiples attributs de messages tels que les données d’en-tête, l’adresse IP de l’expéditeur et le contenu du message.
• Solutions de gestion des menaces internes : Les outils ITM de Proofpoint aident les organisations à détecter les activités risquées des utilisateurs en temps réel, à enquêter rapidement sur les incidents et à prévenir les pertes de données. Ces solutions donnent aux équipes les moyens de gérer efficacement les risques liés aux menaces d’initiés, y compris la défense contre le pretexting et les escroqueries par phishing.

En s’appuyant sur ces solutions Proofpoint, les entreprises peuvent améliorer leur posture de sécurité contre les attaques de type pretexting et autres menaces avancées qui utilisent des tactiques créatives d’ingénierie sociale.

Pour en savoir plus, contactez Proofpoint.