Le faux-semblant consiste à utiliser une histoire inventée, ou un prétexte, pour gagner la confiance d'une victime et la tromper ou la manipuler pour qu'elle partage des informations sensibles, télécharge des logiciels malveillants, envoie de l'argent à des criminels ou compromette sa sécurité personnelle ou celle de l'entreprise pour laquelle elle travaille.

Le faux-semblant est une tactique de base des attaques d'ingénierie sociale ciblées, telles que le spear phishing, le whaling et la fraude aux comptes de messagerie (voir ci-dessous). Mais les cybercriminels, et les criminels en général, peuvent également utiliser le faux-semblant pour dérober des informations ou des ressources importantes à des personnes ou à des organisations.

Dans le livre Social Engineering Penetration Testing (lien externe à ibm.com), les experts en sécurité Gavin Watson, Andrew Mason et Richard Ackroyd expliquent que la plupart des faux-semblants sont composés de deux éléments principaux : un personnage et une situation. 

Le personnage est le rôle joué par l'escroc dans l'histoire. Pour asseoir sa crédibilité auprès de la victime potentielle, l'escroc se fait généralement passer pour une personne ayant autorité sur elle, comme un patron ou un cadre, ou pour une personne en qui la victime a tendance à avoir confiance, comme un collègue de travail, un membre du personnel informatique ou un fournisseur de services. Certains attaquants peuvent tenter de se faire passer pour des amis ou des proches de la victime.

La situation est l'intrigue de la fausse histoire de l'escroc, la raison pour laquelle le personnage demande à la victime de lui rendre un service. Les situations peuvent être générales, par exemple « Vous devez mettre à jour les informations de votre compte », ou très spécifiques, notamment si les escrocs ciblent une victime en particulier.

Pour rendre leurs impostures et leurs situations crédibles, les acteurs de la menace font généralement des recherches en ligne sur leur personnage et leur cible. Ce n'est pas si difficile à faire. Selon un rapport d'Omdia (lien externe à ibm.com), les pirates peuvent élaborer une histoire convaincante, basée sur des informations provenant de flux de médias sociaux et d'autres sources publiques, après seulement 100 minutes de recherche générale sur Google.

D'autres techniques pour rendre les personnages plus crédibles consistent à usurper l'adresse électronique ou le numéro de téléphone de la personne, ou à obtenir un accès non autorisé à son compte de messagerie ou à son numéro de téléphone et à l'utiliser pour envoyer le message. Pour avoir une idée de ce que pourrait être l'avenir du faux-semblant, en 2019, des escrocs ont soutiré 243 000 USD à une entreprise d'énergie britannique en imitant la voix du PDG de la société mère de l'entreprise  à l'aide de l'intelligence artificielle (IA) et en passant des appels téléphoniques frauduleux pour demander des paiements aux fournisseurs de l'entreprise. 

Fraude aux comptes de messagerie

La fraude aux comptes de messagerie est un type particulièrement redoutable d'ingénierie sociale ciblée qui repose largement sur le faux-semblant. Dans ce cas, le personnage est un dirigeant d'entreprise réel ou un associé de haut niveau ayant une autorité ou une influence sur la cible. La situation est la suivante : le personnage a besoin d'aide pour accomplir une tâche urgente, par exemple :  Je suis coincé dans un aéroport et j'ai oublié mon mot de passe, pouvez-vous m'envoyer mon mot de passe pour accéder au système de paiement (ou pouvez-vous transférer XXX.XXX,XX USD sur le compte bancaire #YYYYY pour payer la facture en pièce jointe) ?

Année après année, ce type de fraude se classe parmi les cybercrimes les plus coûteux. Selon le rapport IBM Coût d'une violation de données en 2022 , les violations de données résultant de la fraude aux comptes de messagerie coûtent en moyenne 4,89 millions de dollars aux victimes. Et selon les données du Internet Crime Complaint Center du FBI (PDF de 1,3 Mo, lien externe à ibm.com), ce type de faude a occasionné à ses victimes des pertes totales de près de 2,4 milliards de dollars en 2021.

Escroqueries à la mise à jour de comptes

Dans ce cas, l'escroc se fait passer pour un représentant d'une entreprise qui alerte la victime sur un problème lié à son compte, comme des informations de facturation obsolètes ou un achat suspect. L'escroc insère un lien qui renvoie la victime vers un faux site Web pour lui voler ses données d'authentification, ses informations de carte de crédit, son numéro de compte bancaire ou son numéro de sécurité sociale.

Arnaque aux grands-parents

Comme beaucoup d'arnaques d'ingénierie sociale, celle-ci s'attaque aux personnes âgées. Le cybercriminel se fait passer pour le petit-fils ou la petite-fille de la victime et prétend avoir des ennuis, par exemple, un accident de voiture ou une arrestation, et avoir besoin que ses grands-parents lui envoient de l'argent pour payer ses factures d'hôpital ou sa caution.

Fraude sentimentale

Dans les escroqueries de rencontres, l'escroc prétend vouloir entamer une relation amoureuse avec la victime. Après avoir gagné le cœur de la victime, l'escroc demande généralement de l'argent pour lever un dernier obstacle à leur relation, par exemple une dette écrasante, une obligation légale ou même le coût d'un billet d'avion pour rendre visite à la victime.

Escroqueries à la crypto-monnaie

Se faisant passer pour un investisseur prospère ayant une opportunité d'investissement sûr dans la crypto-monnaie, l'escroc dirige la victime vers un faux site d'échange de crypto-monnaie, où les informations financières ou l'argent de la victime sont volés. Selon la Federal Trade Commission (FTC) (lien externe à ibm.com), les consommateurs américains ont perdu plus d'un milliard de dollars à cause d'escroqueries liées aux crypto-monnaies entre janvier 2021 et mars 2022.

Fraude fiscale ou aux services publics

Se faisant passer pour des fonctionnaires du fisc, des agents de la force publique ou d'autres représentants des pouvoirs publics, l'escroc prétend que la cible a des ennuis, par exemple, qu'elle n'a pas payé ses impôts ou qu'elle fait l'objet d'un mandat d'arrêt, et lui demande d'effectuer un paiement pour éviter un gage hypothécaire, une saisie de salaire ou une peine de prison. Évidemment, le paiement est versé sur le compte de l'escroc. 

Le faux-semblant est un élément clé de nombreuses escroqueries d'ingénierie sociale, notamment :

Le hameçonnage. Comme nous l'avons vu plus haut, le faux-semblant est particulièrement courant dans les attaques de hameçonnage ciblées, notamment le « spear phishing », qui est une attaque de hameçonnage ciblant une personne spécifique, et le « whaling », qui est un hameçonnage ciblant un cadre ou un employé ayant un accès privilégié à des informations ou des systèmes sensibles.

Mais le faux-semblant joue également un rôle dans les escroqueries non ciblées de hameçonnage par e-mail dit de « spray-and-pray », hameçonnage vocal (vishing) ou hameçonnage par SMS (smishing). Par exemple, un escroc peut envoyer un message texte tel que « [NOM DE LA BANQUE GLOBALE ICI] : Votre compte est à découvert » à des millions de personnes, en espérant qu'un certain pourcentage des destinataires sont des clients de la banque et qu'ils répondront au message.

Le talonnage. On parle de talonnage, tailgating ou piggybacking, lorsqu'une personne non autorisée suit une personne autorisée dans un endroit qui nécessite une autorisation, comme un bâtiment de bureau sécurisé. Les escrocs utilisent le faux-semblant pour rendre leurs tentatives de filature plus fructueuses, par exemple en se faisant passer pour un livreur et en demandant à un employé peu méfiant d'ouvrir une porte verrouillée pour eux. 

L'appâtage. Dans ce type d'attaque, un criminel incite les victimes à télécharger un logiciel malveillant en les attirant avec un appât attrayant mais dangereux. L'appât peut être physique (par exemple, des clés USB contenant du code malveillant et laissées en évidence dans des lieux publics) ou numérique (par exemple, une publicité pour télécharger gratuitement un film qui s'avère être un logiciel malveillant). Les escrocs utilisent souvent le faux-semblant pour rendre l'appât plus attrayant. Par exemple, un escroc peut apposer des étiquettes sur une clé USB compromise pour faire croire qu'elle appartient à une entreprise particulière et contient des fichiers importants. 

Plusieurs lois propres au secteur d'activité ciblent explicitement le faux-semblant. La loi Gramm-Leach-Bliley de 1999 réprime pénalement le faux-semblant à l'égard des institutions financières, en qualifiant de crime l'obtention d'informations financières d'un client sous de faux prétextes. Elle exige également que les institutions financières forment leurs employés à repérer et à prévenir le faux-semblant. La loi de 2006 sur les enregistrements téléphoniques et la protection de la vie privée interdit explicitement l'utilisation du faux-semblant pour accéder aux informations relatives aux clients détenues par un fournisseur de télécommunications.

En décembre 2021, la FTC a proposé une nouvelle règle (lien externe à ibm.com) interdisant formellement l'usurpation d'identité de toute agence gouvernementale ou entreprise. La règle habiliterait la FTC à faire respecter l'interdiction des tactiques courantes de faux-semblant, comme l'utilisation non autorisée du logo d'une entreprise, la création d'un faux site Web qui imite une entreprise légitime et l'usurpation d'e-mails professionnels.

Comme pour toute autre forme d'ingénierie sociale, la lutte contre le « faux-semblant » peut être difficile car elle exploite la psychologie humaine plutôt que des vulnérabilités techniques auxquelles il est possible de remédier. Mais il existe des mesures efficaces que les organisations peuvent prendre.

• Rapport d'authentification des messages basé sur le domaine (DMARC) :  DMARC est un protocole d'authentification des messages électroniques qui peut empêcher l'usurpation d'identité. DMARC vérifie si un e-mail a été envoyé par le domaine dont il prétend provenir. Si un e-mail s'avère être usurpé, il peut être automatiquement redirigé vers un dossier de spam ou supprimé.
  
  
• Autres technologies de cybersécurité : En plus de DMARC, les organisations peuvent mettre en œuvre des filtres de messagerie alimentés par l'IA qui détectent les phrases et les lignes d'objet utilisées dans les attaques de faux-semblant connues. Une passerelle Web sécurisée peut empêcher les utilisateurs de suivre les liens d'un e-mail de hameçonnage vers des sites Web suspects. Si un attaquant accède au réseau par le biais d'un faux semblant, les technologies de cybersécurité telles que les plateformes de détection et de réponse aux points d'accès (EDR), de détection et de réponse aux réseaux (NDR) et de détection et de réponse étendues (XDR) peuvent intercepter l'activité malveillante.
   
• Formation de sensibilisation à la sécurité :  Étant donné que les faux-semblants poussent les utilisateurs à compromettre leur propre sécurité, la formation des employés à la détection et à la réaction appropriée aux faux-semblants peut contribuer à protéger une organisation. Les experts recommandent d'organiser des simulations basées sur des exemples réels de faux-semblant pour aider les employés à faire la différence entre le faux-semblant et les demandes légitimes de leurs collègues. La formation peut également inclure des protocoles clairs pour le traitement des informations précieuses, l'autorisation des paiements et la vérification des demandes auprès de leurs sources supposées avant d'y répondre.