Psychologie du phishing : pourquoi mordons-nous à l’hameçon ?

/, Expérience utilisateur, Phishing/Psychologie du phishing : pourquoi mordons-nous à l’hameçon ?

Psychologie du phishing : pourquoi mordons-nous à l’hameçon ?

psychologie_phishing - copie

Rien n’est aussi gênant que le sentiment de s’être fait avoir par un mail de phishing. On se sent tellement honteux ! Rassurez vous, si vous avez déjà été victime de phishing car vous avez à faire à des professionnels. Les arnaques par le biais du phishing sont d’une telle facilité pour les pirates, même dans les cas où les victimes ont un anti spam.

Pour un collaborateur débordé, s’attendre à ce qu’ils sachent déceler les indices d’un email frauduleux équivaut à lui demander la lune. Dans certains cas, la réussite d’une attaque de phishing dépend de l’usurpation de l’identité d’une personne de confiance ou supérieur hiérarchiquement, rajoutant du stress. Parfois, ces attaques réussissent tout simplement grâce à la manipulation des sentiments, l’urgence en premier.

La psychologie derrière les attaques de phishing

La faiblesse psychologique est la principale faille exploitée par le phishing, car lorsque l’on reçoit un email de son patron, on ne regarde pas la forme, mais le contenu. Une étude menée par l’Université de New York à Buffalo (SUNY Buffalo) a démontré que les étudiants les plus souvent connectés sur Facebook à dévoiler leurs informations, facilitant le ciblage et donc l’attaque de phishing. L’étude suggère que les personnes les plus impliquées sur les réseaux sociaux sont plus susceptibles de cliquer sur un lien dans un e-mail provenant de quelqu’un qu’elles prennent pour un ami, même si l’identité de l’expéditeur a été complètement inventée.

La culture populaire  peut nous aider à comprendre ce phénomène. Dans le film d’escroquerie par excellence « Engrenages » (1987), le scénariste David Mamet illustre l’efficacité de l’escroquerie par le biais des bribes de dialogues entre Mike, un escroc interprété par Joe Mantegna, et Dr. Margaret Ford, interprétée par Lindsay Crouse. Ford veut comprendre le mode opératoire des escrocs. Il lui dit : « Il s’agit d’un jeu de confiance. Pourquoi ? Parce que vous me donnez votre confiance ? » « Non, parce que je vous donne la mienne. » Cette scène, dans laquelle un jeune William H. Macy joue le rôle de la cible, se trouve sur Youtube.

La « cible » William H. Macy est l’objet de la confiance que veut gagner Joe Mantegna, le petit escroc de « Engrenages » par David Mamet (Orion Pictures, 1987).

Ce qui se déroule dans cette scène classique de Mamet est la révélation de Mike que les escrocs exploitent la psychologie inversée. L’escroc crée une ambiance de confiance d’abord en donnant l’impression à la cible que l’escroc, lui, place sa propre confiance dans la cible. Flattée et se sentant appréciée, la cible baisse sa garde. L’escroc est alors prêt à bondir. Le phishing s’opère de la même manière. Dans l’étude de SUNY Buffalo, il s’agissait d’envoyer aux étudiants participant à l’étude un e-mail de phishing de la part d’un nouvel « ami » leur proposant un stage s’ils renverraient leurs numéros d’identifiant d’étudiant et d’autres informations personnelles. Presque tous les participants l’ont fait. Ils se sentaient investis de la confiance d’un ami.

Il ne faut jamais sous-estimer la psychologie du phishing.  Les émotions concernent tout le monde. Même la Maison Blanche s’est fait attaquer par cette technique !

Les conséquences d’une attaque réussie

Une attaque de phishing réussie visant votre entreprise par le biais d’un de vos salariés met en danger votre réseau entier. Cela peut avoir un impact :

  • Votre marque. Pensez aux dégâts à la réputation de Sony après la fuite des communications internes exposant ce que les cadres de Sony pensaient de certains de leurs associés et célébrités. Ou la méfiance dès qu’une marque de distributeur ou de santé est perçue comme négligente en ce qui concerne les informations personnelles ou confidentielles des clients.
  • Votre propriété intellectuelle. Des criminels, concurrents, et acteurs mandatés par l’état peuvent causer des dégâts incroyables en dévoilant des secrets industriels, des plans de conception ou des données client.
  • Des pénalités ou pertes financières directes. Ceci pourrait résulter soit des amendes imposées par les organismes de réglementation en réponse à des infractions régies par le HIPAA ou PCI, soit du coût de la protection de l’identité ou du dédommagement aux salariés ou clients dont les données faisaient l’objet d’un vol, soit purement du vol d’argent si les contrôles financiers ont été compromis.

Empêcher une attaque

La compréhension de la psychologie du phishing est un pas en avant vers une meilleure sensibilisation et formation des salariés afin de reconnaître les e-mails de phishing. En même temps, il est essentiel d’être vigilant au niveau du système avec une technologie anti-phishing dédié. This is easier said than done.

Les contremesures standard tels que les filtres antispam et protections antimalware ne fonctionnent pas avec le phishing. Les e-mails de phishing bien façonnés pourraient ne pas ressembler à du spam vis-à-vis des logiciels conçus pour détecter les pourriels. Les logiciels antivirus ne sont pas plus utiles non plus car la plupart des messages de phishing ne contiennent aucun malware de toute façon.

La solution antiphishing de Vade Secure offre des protections spécifiques pour le phishing, pouvant être ajoutées en couche supplémentaire aux solutions antispam existantes afin de mieux protéger vos salariés de manière globale. Nos technologies brevetés détectent et les attaques de spearphishing et les attaques de phishing en masse avant même qu’elles puissent atteindre vos salariés.

Appelez-nous au 415-745-3630 si vous voulez découvrir comment ajouter des mesures anti-phishing rapidement à votre messagerie actuelle.

À propos de l'auteur :

Marketing Manager chez VadeSecure

Laisser un commentaire