
Découvrez comment fonctionne l'ingénierie sociale (appelée aussi phishing ou hameçonnage) et comment protéger votre enfant des menaces en ligne.
La manipulation psychologique, voilà ce qui est au cœur des attaques d'ingénierie sociale. Et, en raison de leur manque de connaissances en ligne et hors ligne, les enfants sont particulièrement vulnérables. Qu'il s'agisse de messages intimidants ou d'offres trop belles pour être vraies, ces attaques sont conçues pour tromper les jeunes esprits.
En tant que parent, il est essentiel de comprendre le fonctionnement de ces escroqueries pour assurer la sécurité de votre enfant dans le monde numérique. Dans cet article, nous allons vous expliquer comment fonctionne l'ingénierie sociale, quelles sont les tactiques utilisées et ce que vous pouvez faire pour reconnaître et contrer ces menaces avant qu'elles n'atteignent votre enfant.
Apprenons-en davantage sur l’hameçonnage. Quels sont les moyens les plus courants par lesquels vos enfants pourraient être confrontés à des attaques d'ingénierie sociale ? Les outils suivants peuvent tous être utilisés pour manipuler la victime afin qu'elle partage des informations personnelles ou qu'elle télécharge un fichier malveillant, généralement un ransomware.
- Phishing – Les malfaiteurs utilisent des e-mails, des SMS ou des appels téléphoniques pour se faire passer pour une institution digne de confiance et créer un sentiment d'urgence afin de soutirer des données sensibles aux victimes. Par exemple, les enfants peuvent recevoir un message d'hameçonnage d'un expéditeur se faisant passer pour un réseau social ou une plateforme de jeu officielle, alertant faussement les utilisateurs que leur compte a expiré et qu'ils doivent communiquer leurs informations d'identification pour le récupérer.
- Arnaque aux sentiments (ou escroquerie sentimentale) – Les enfants plus âgés peuvent être victimes d'une arnaque sentimentale dans laquelle un attaquant se fait passer pour un partenaire amoureux afin de soutirer de l'argent ou des données sensibles à la victime.
- Arnaques par deepfake – Les malfaiteurs utilisent des outils de type « deepfake » pour imiter la voix ou l'apparence d'une personne de confiance afin de soutirer des données sensibles à la victime.
- Arnaques au shopping – Les enfants peuvent être attirés par des prix ou des remises importantes sur des produits qui n'existent pas, ou par de faux cadeaux qui les invitent à envoyer leurs données personnelles.
Qu'est-ce qu'un ransomware et comment le phishing s'y associe-t-il ?
Le phishing est la principale méthode utilisée par les cybercriminels pour diffuser des ransomwares, un type de logiciel malveillant qui verrouille ou chiffre vos fichiers tout en exigeant un paiement, généralement en crypto-monnaie, pour récupérer vos données perdues. L'ingénierie sociale est un outil clé utilisé dans les attaques de phishing. Un ransomware déployé avec succès prend vos données en otage. Ces attaques commencent souvent lorsqu'une personne clique à son insu sur une pièce jointe ou un lien dans un e-mail malveillant, ou télécharge un fichier à partir d'une source malveillante.
Pourquoi les internautes cliquent-ils ?
Les victimes peuvent être confrontées à l'ingénierie sociale avant même de cliquer. Une fois qu'elles ont cliqué, les victimes sont « poussées » vers le piège jusqu'à ce qu'un ransomware chiffre leurs données. À partir de ce moment, elles sont menacées de perdre définitivement leurs données ou d'être exposées publiquement si elles ne paient pas. Même dans ce cas, il n'y a aucune garantie que les fichiers soient restaurés.
La peur utilisée dans les attaques de ransomware peut avoir un effet dévastateur, en particulier si les fichiers professionnels des parents ou des données personnelles importantes sont chiffrés. C'est pourquoi il est si important de prendre des précautions : être prudent avec les e-mails et les messages non sollicités, sauvegarder régulièrement ses données et utiliser une solution de cybersécurité fiable.
Comment repérer un e-mail d'hameçonnage ?
- Des formulations génériques - Les e-mails de phishing utilisent souvent des formulations génériques telles que « Cher client » au lieu de votre nom.
- Adresses électroniques suspectes - Vérifiez l'adresse électronique de l'expéditeur. Les e-mails de phishing peuvent provenir d'adresses qui ressemblent à des adresses légitimes mais qui présentent de légères variations.
- Erreurs de grammaire et fautes de frappe - Les organisations authentiques ne font généralement pas ce genre de fautes dans leurs messages.
- Langage urgent ou menaçant - Méfiez-vous des messages qui créent un sentiment d'urgence ou de peur, comme la menace de fermer votre compte si vous ne répondez pas immédiatement.
- Pièces jointes non sollicitées - Les entreprises légitimes envoient rarement des pièces jointes non sollicitées. Évitez d'ouvrir des pièces jointes auxquelles vous ne vous attendiez pas.
- Liens qui ne correspondent pas - (Ne cliquez pas...) survolez les liens pour voir où ils mènent. Même de légères incohérences peuvent révéler une tentative d'hameçonnage. Par exemple, un lien imitant le site ESET « eset.com » peut contenir un nom de domaine « easet.com ».
- Demandes d'informations sensibles - Les entreprises légitimes ne demandent jamais d'informations sensibles telles que des mots de passe ou des numéros de carte de crédit par courrier électronique.
- Vous avez reçu une demande inattendue et urgente ? Réfléchissez à deux fois avant d'agir.
De nombreux enfants ne comprennent pas forcément les dangers liés au téléchargement de fichiers inconnus ou au partage d'informations personnelles. Et comme le partage d'appareils est encore courant dans de nombreux foyers - notamment en raison de lieux de travail flexibles (travail au bureau/télétravail pour les parents et travail en ligne à la maison et à l’école pour les enfants) - les attaquants peuvent exploiter ce fonctionnement. En ciblant les enfants, ils peuvent également obtenir une passerelle potentielle vers les données, les appareils ou même les réseaux professionnels de leurs parents.
Techniques d'ingénierie sociale couramment utilisées à l'encontre des enfants :
- Reconnaissance - Les escrocs peuvent utiliser les réseaux sociaux, les sites web des écoles ou des équipes sportives pour recueillir des informations sur les intérêts et les habitudes d'un enfant, puis utiliser ces informations pour élaborer des messages ou des offres persuasifs.
- Pretexting - Type d'attaque d'ingénierie sociale qui implique une situation (prétexte) créée par un attaquant pour attirer une victime dans une situation vulnérable et l'amener à donner des informations privées.
- Grooming - Établissement d'un lien émotionnel avec une personne vulnérable en prétendant être émotionnellement disponible, en offrant et en donnant des cadeaux, et en manipulant.
- L'usurpation d'identité - Les escrocs peuvent se faire passer pour quelqu'un que l'enfant connaît, comme un ami ou un membre de la famille, afin de gagner sa confiance.
- Appât - Offrir quelque chose d'attrayant, comme des jeux gratuits ou de la monnaie de jeu, pour inciter les enfants à fournir des informations personnelles ou à télécharger des logiciels malveillants.
- Menace - Dans certaines escroqueries et attaques (comme la sextorsion), on demande aux enfants de ne pas en parler à leurs parents ou à la police, en prétendant que l'enfant ou sa famille sera blessé ou humilié publiquement si la victime ne se plie pas à certaines exigences.
- Intimidation - Utiliser un langage agressif ou se faire passer pour un représentant de l'autorité (comme un policier) pour effrayer les enfants et leur faire suivre des instructions.
Comment les enfants sont-ils ciblés par l'ingénierie sociale ?
Lorsqu'ils ciblent les enfants, les cybercriminels commencent généralement par quelque chose de simple, comme le partage d'un lien vers une page web ludique, une invitation à un jeu - fausse ou réelle - et peut-être un message qui suscite l'excitation ou l'urgence. Un simple clic peut déclencher le piège.
A lire aussi : Découvrez comment les enfants peuvent être la cible de cybercriminels lorsqu'ils jouent en ligne.
- Selon Cisco, 90 % des violations de données commencent par une attaque par hameçonnage.
- Selon le rapport 2022 d’Annual Cybersecurity Attitudes and Behaviors de la National Cybersecurity Alliance, les internautes de la génération des Millennials et de Gen-Z sont plus susceptibles de tomber dans le piège du phishing, du vol d'identité, des escroqueries amoureuses et de la cyberintimidation que les générations plus anciennes. Parmi les explications possibles, on peut citer le fait de passer plus de temps en ligne et de préférer la facilité à la protection.
- Les réseaux sociaux rencontrent l'ingénierie sociale - Avec le divertissement accessible en un simple clic, les réseaux sociaux sont devenus un réflexe quotidien pour les enfants et les adolescents. Cette évolution, qui s'est accélérée pendant la pandémie, ne montre aucun signe de ralentissement.
Les réseaux sociaux et l'ingénierie sociale
Avec le divertissement à portée de main, les réseaux sociaux sont devenus un outil de travail quotidien pour les enfants et les adolescents. Cette évolution, qui s'est accélérée pendant la pandémie, ne montre aucun signe de ralentissement, bien au contraire.
Toutefois, les plateformes telles que TikTok, Instagram et Snapchat ne sont plus de simples espaces sociaux. Ce sont des terrains de chasse privilégiés pour les cybercriminels. Qu'il s'agisse de faux cadeaux, de messages directs (DM) de phishing ou d'escroqueries par usurpation d'identité, les attaquants s'adaptent constamment aux plateformes auxquelles les enfants font le plus confiance.
TikTok continue de dominer avec plus d'un milliard d'utilisateurs quotidiens, attirant un public plus jeune grâce à son flux ininterrompu de contenus courts. Bien que la limite d'âge officielle pour des applications comme TikTok, Instagram et Snapchat soit fixée à 13 ans, de nombreuses personnes (y compris des spécialistes) estiment que cette limite d’âge est trop jeune pour naviguer en toute sécurité dans ces espaces, sans être éduqué et guidé.
Pour protéger votre enfant, utilisez les paramètres de confidentialité intégrés, les contrôles parentaux et, surtout, maintenez toujours la conversation avec vos enfants. Il est important d’encourager des discussions régulières et sans jugement sur ce qu'ils voient et avec qui ils interagissent en ligne.
Que pouvez-vous conseiller à vos enfants pour les aider à rester en sécurité en ligne ?
- Posez toujours des questions telles que : « Pourquoi est-ce que je reçois ce message ? », « Est-ce que je connais cette personne ? », « Est-ce que c'est quelque chose que cette personne dirait ? ».
- Si quelque chose d'inhabituel ou de (potentiellement) dangereux se produit, parlez-en à vos parents.
- N'ouvrez pas les pièces jointes ou les liens inconnus dans les e-mails suspects.
- Ne scannez pas un code QR sans savoir où il peut vous mener. Gardez à l'esprit que les codes QR légitimes affichés publiquement peuvent être recouverts par des codes QR malveillants.
- Si vous recevez un message inattendu exigeant une action urgente, réflechissez à deux fois avant de l'envoyer.
- Faites attention aux fautes de grammaire et d'orthographe, ainsi qu'aux formulations génériques ou impersonnelles (bien que l'IA ait considérablement réduit la fréquence de ces erreurs).
- Ne modifiez pas la confidentialité de vos comptes de médias sociaux.
- Ne stockez pas d'informations d'identification, comme les mots de passe, dans votre navigateur.
- Sauvegardez vos données
- Utilisez l'authentification multifactorielle pour protéger vos comptes
- Installez un logiciel de sécurité fiable et mettez à jour vos systèmes d'exploitation.
Garder une longueur d'avance
Dans un monde numérique où les menaces sont de plus en plus sophistiquées et où les cybercriminels n'hésitent plus à s'en prendre aux plus jeunes, la sensibilisation ainsi que des relations solides avec vos enfants sont vos meilleurs alliés.
Avec les bons outils, les bonnes habitudes et les bons échanges, vous pouvez aider votre enfant à naviguer dans le monde en ligne en toute sécurité. Qu'il s'agisse de reconnaître les signes d'une escroquerie ou de mettre en place des mesures de sécurité solides, chaque cybergeste compte. Continuez à parler, à apprendre et restez vigilant, car en matière de sécurité en ligne, la prévention sera toujours votre meilleure alliée.