La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a reçu ces dernières semaines plusieurs annonces de sociétés suisses visées par des tentatives d’escroquerie utilisant des méthodes d’ingénierie sociale (« social engineering »). Il est question d'ingénierie sociale si l'auteur accède à des informations confidentielles en abusant de la confiance des collaborateurs. En règle générale, les attaques d'ingénierie sociale ont lieu sans l'emploi d'aides techniques. Néanmoins, cette méthode est très efficace pour accéder à des données sensibles ou confidentielles de l'entreprise. A l’aide de ces méthodes, les auteurs veillent tout d’abord à gagner la confiance de leurs cibles, avant de procéder à l'escroquerie. Un travail d'information sur l'entreprise cible est mené préalablement à l'attaque, ce qui permet aux escrocs de se faire une idée précise de l'environnement visé. Les informations recherchées sont par exemples des informations sur les activités, les postes clefs ou les modèles utilisés pour les adresses E-mails. Ce sont en particulier des sources d'information ouvertes, telles que le site web de l'entreprise, qui sont utilisées pour cette collecte d'information. Par la suite, les auteurs mèneront l'attaque à proprement parler. Typiquement, un courriel semblant venir d'un cadre dirigeant, et imitant en réalité son E-mail, sera envoyé à un employé du service de comptabilité. Dans certains cas, cet E-mail proviendra directement d'un compte préalablement piraté. L'objectif est d'aboutir à un virement d'argent vers un compte contrôlé par les escrocs. Mais d'autres scénarios sont envisageables. Suite à de premiers contacts visant à gagner la confiance de leur cible, les auteurs peuvent par exemple également envoyer un courriel contenant une pièce jointe malicieuse, ou un lien vers une page servant à propager un virus. MELANI recommande les mesures suivantes face à ces phénomènes :
- La règle de base consiste à ne fournir aucune information interne ni ne procéder à aucune action lors de prises de contacts semblant douteuses ou inhabituelles.
- Il est fortement recommandé de vérifier par téléphone à l'interne la légitimité d'une demande ou d'une prise de contact, lorsque celle-ci paraît douteuse ou inhabituelle.
- Les processus, en particulier ceux concernant les transferts d'argent, devraient être clairement définis à l'intérieur de l'entreprise et suivis en toute circonstance.
- MELANI recommande de mettre un accent particulier sur la prévention du personnel envers ces phénomènes, notamment aux postes clefs.
- Les victimes ont la possibilité, en particulier en cas de dommage, de déposer une plainte pénale auprès de la police cantonale.