Qu’est-ce que le blagging en cybersécurité ?

Le blagging peut faire penser à une technique de piratage compliquée, mais c’est beaucoup plus simple que cela. Bien qu’elle ne soit pas aussi « high-tech » que d’autres cybercrimes, elle peut néanmoins causer de graves dommages si les entreprises n’y sont pas préparées.

Qu’est-ce que le blagging et comment fonctionne-t-il ?

Qu’est-ce que le blagging et comment fonctionne-t-il ?

L’escroquerie est le fait pour des escrocs sournois d’essayer de tromper ou de manipuler les gens pour qu’ils leur donnent des informations confidentielles auxquelles ils n’auraient pas dû avoir accès.

Ces escrocs inventent n’importe quelle histoire pour convaincre leur cible de divulguer des données qui pourraient être utilisées à des fins louches comme le vol d’identité, l’espionnage d’entreprises ou le chantage.

Comment cela fonctionne-t-il exactement ? Voici quelques techniques de blagging courantes :

1. L’usurpation d’identité: L’escroc se fait passer pour quelqu’un d’autre, comme un collègue, un représentant de la banque ou un officier de police. Cela permet d’instaurer un climat de confiance et rend la cible plus encline à partager des informations confidentielles. Par exemple, il peut appeler en se faisant passer pour un technicien informatique qui a besoin d’un mot de passe pour résoudre un problème informatique.
2. Créer un faux sentiment d’urgence: L’escroc fait pression sur la cible en donnant l’impression que la demande est urgente. Les menaces de fermeture de compte ou d’action en justice sont utilisées pour obtenir rapidement des informations avant que la cible n’ait le temps de vérifier la validité de la demande.
3. Hameçonnage: Les fraudeurs utilisent des courriels d’hameçonnage ou des liens contenant des logiciels malveillants pour infecter les systèmes cibles et voler des données. Les courriels sont conçus de manière à donner l’impression qu’ils proviennent d’une source fiable afin d’inciter la victime à cliquer ou à télécharger.
4. Attaque par dépôt USB: Cette tactique consiste à laisser des dispositifs infectés et chargés de logiciels malveillants, tels que des clés USB, dans des lieux publics où les cibles sont susceptibles de les trouver et de les brancher, ce qui permet au blagueur d’y accéder. Les parkings et les ascenseurs sont des endroits populaires pour appâter les personnes sans méfiance.
5. Le name-dropping: L’escroc mentionne des noms de directeurs, de cadres ou de contacts légitimes pour faire croire qu’il est autorisé à obtenir des informations autrement confidentielles. Cela donne de la crédibilité à leur demande louche.
6. Les appels à la sympathie: L’escroc fait appel à la compassion de la cible, en inventant des histoires désolantes pour la manipuler. Dire qu’il s’agit d’une famille monoparentale qui a besoin d’argent sur un compte pour nourrir sa famille peut fonctionner.
7. Quid pro quo: L’escroc promet quelque chose en échange d’informations, comme une prime, des congés ou de l’argent. Bien entendu, il s’agit de promesses vides utilisées pour obtenir ce qu’ils veulent.
8. Tailgating: Le blagueur suit physiquement un employé dans un bâtiment ou une zone restreinte afin d’en obtenir l’accès. Il compte sur le fait que les gens tiennent les portes ouvertes pour les autres ou ne s’interrogent pas sur sa présence.
9. Élicitation: Les blaggers tentent d’engager une conversation amicale pour amener les cibles à révéler par inadvertance des informations sur les systèmes, les processus ou les vulnérabilités. C’est dangereux parce que cela semble inoffensif.

Ce qu’il faut retenir, c’est que ces attaquants sont des maîtres de la tromperie et qu’ils diront ou feront tout ce qu’il faut pour obtenir ce qu’ils veulent.

Comment se défendre contre les attaques de type « blagging » ?

Les blaggeurs utilisent de nombreuses tactiques sournoises. Comment pouvez-vous vous protéger, vous et votre entreprise, contre leurs escroqueries ? Voici quelques moyens clés de se défendre contre les attaques des « blaggers ».

Vérifier les affirmations

Ne prenez personne pour argent comptant – corroborer toujours leur histoire.

Si quelqu’un vous appelle en prétendant que c’est l’assistance technique qui a besoin d’un accès ou un collègue qui a besoin d’informations, raccrochez et rappelez en utilisant un numéro officiel pour confirmer que c’est légitime.

Vérifiez attentivement les adresses électroniques, les noms et les coordonnées pour vous assurer qu’ils correspondent.

Valider les demandes

En tant qu’employé d’une entreprise, examinez toute demande inhabituelle, même si elle semble urgente ou si l’histoire est crédible. Dites que vous devez faire remonter l’information à un supérieur hiérarchique ou soumettre un ticket par les voies appropriées.

Ralentissez l’interaction afin de pouvoir enquêter plus avant avant de transmettre des données confidentielles.

Limiter l’accès au compte

Les chefs d’entreprise doivent fournir aux employés le minimum d’accès dont ils ont besoin pour faire leur travail, et rien de plus. Par exemple, les agents du service clientèle n’ont probablement pas besoin d’accéder aux systèmes financiers. Cela permet de limiter les dégâts en cas de compromission d’un compte.

La mise en œuvre du principe du moindre privilège peut empêcher un blagueur de gagner trop d’argent s’il dupe une seule personne.

Signaler des soupçons

N’hésitez pas à parler si une demande vous semble étrange ou si l’histoire ne colle pas. Informez immédiatement la sécurité ou la direction si vous pensez qu’une interaction est une tentative d’extorsion.

Surveillez également de près les systèmes et le comportement des utilisateurs afin de détecter toute activité inhabituelle susceptible d’indiquer une tentative de blagging. Recherchez des éléments tels que :

• Tentatives d’accès à des systèmes non autorisés ou à des données confidentielles.
• Connexion à distance à partir d’adresses IP ou de lieux inconnus.
• Transfert de gros volumes de données vers l’extérieur.
• Anomalies dans les habitudes des utilisateurs, comme l’exécution de nouveaux processus ou des heures de travail anormales.
• Outils de sécurité désactivés tels que les suites antivirus ou les invites de connexion.

Plus tôt un comportement anormal est signalé, plus vite les experts peuvent enquêter et atténuer une attaque potentielle de blagging.

Formation de sensibilisation à la sécurité

Les employés bien formés sont beaucoup plus difficiles à tromper. La formation continue renforce le pare-feu humain et permet aux employés d’arrêter l’ingénierie sociale en toute confiance.

Lorsque les employés savent déjouer les tactiques d’espionnage, les entreprises acquièrent un avantage majeur. La formation doit comporter des exemples et des scénarios concrets afin que les employés puissent s’entraîner à réagir de manière appropriée. Mettez-les à l’épreuve avec des simulations de courriels d’hameçonnage et de visiteurs inattendus pour voir leurs réactions. La formation doit également expliquer les techniques de blagage les plus courantes, telles que le pretexting, le phishing et les offres de contrepartie. Plus les employés comprennent les tactiques, plus ils sont à même de les reconnaître.

Enseignez aux employés comment valider correctement les demandes, vérifier les identités, signaler les incidents et traiter les données sensibles conformément à la politique. Donnez des conseils clairs sur les actions attendues. Rendre la formation intéressante en utilisant des vidéos attrayantes, des modules interactifs et des concours pour maintenir l’attention sur la sécurité. Actualiser fréquemment la formation.

Veillez à ce que les hauts responsables participent à la formation afin de démontrer l’engagement de l’organisation en faveur de la sensibilisation.

Utiliser une sécurité à plusieurs niveaux

S’appuyer sur plusieurs contrôles de sécurité qui se chevauchent plutôt que sur un seul point de défaillance.

Voici quelques couches que vous pouvez mettre en œuvre :

• Des contrôles de sécurité physique tels que des badges d’identification, des installations sécurisées et une surveillance par télévision en circuit fermé afin d’éviter les files d’attente et les accès non autorisés.
• Des défenses périmétriques comme les pare-feu, les IPS et les filtres web pour empêcher les menaces connues et les sites à risque d’entrer dans votre réseau.
• Sécurité des points d’extrémité avec antivirus, détection et réponse des points d’extrémité et chiffrement pour prévenir les brèches et rendre le vol de données plus difficile.
• Sécurité de la messagerie électronique avec des passerelles pour filtrer les courriels malveillants et le sandboxing pour isoler les menaces.
• Contrôles d’accès tels que l’authentification multifactorielle et les autorisations basées sur les rôles pour limiter l’utilisation abusive des comptes même si les informations d’identification sont compromises.
• Outils de prévention des pertes de données pour empêcher les transferts importants de données confidentielles.

Plus il y a d’obstacles pour les blaggers, plus ils ont de chances d’être repérés.

Restez sur vos gardes contre le blagging

Bien que le blagging cible souvent les entreprises, tout le monde est vulnérable. Chacun d’entre nous peut être piégé par un appel ou un courriel apparemment innocent d’un escroc se faisant passer pour un technicien, un représentant de la banque ou même un membre de la famille ayant besoin d’aide. C’est pourquoi nous devons tous apprendre les techniques de blagging et savoir repérer les signaux d’alerte.

Si vous êtes propriétaire ou dirigeant d’une entreprise, vous ne devez pas sous-estimer cette menace. Grâce à une formation complète de sensibilisation à la sécurité et à des défenses techniques multicouches, vous pouvez déjouer les pièges de ces escrocs.

Avec les bonnes mesures de protection en place, les « blaggers » n’ont aucune chance.