La psychologie du phishing : le danger présent derrière certains emails

05 août, 2020
Avez-vous déjà reçu un message suspect vous demandant ou vous faisant faire quelque chose de toute urgence ? Il s'agit probablement d'un phishing, un type d'escroquerie courant. Nous vous en parlons ici.
 

Avec l’apparition des technologies, et plus particulièrement du développement d’Internet, tout ce qui nous entoure s’est adapté à ce format. Ainsi, les actes criminels, tels que le phishing, ne sont pas moins présents.

Les cyberattaques sont assez courantes et ont pris diverses formes. Logiciels espions, logiciels publicitaires, vers ou chevaux de Troie. Une autre des cyberattaques les plus courantes est le phishing, donc, qui consiste à voler des informations par e-mail.

Ce type d’attaque est très dangereux, car les cybercriminels se font passer pour des personnes ou des entreprises qui nécessitent une action de l’utilisateur. Parmi ces dernières, ouvrir un fichier malveillant ou remplir une série de données – bancaires ou personnelles -, ce qui sera toujours à votre avantage.

De plus, c’est une méthode capable d’infecter très rapidement de nombreuses personnes. On estime qu’en 2019 il y a eu plus de neuf millions d’attaques de ce type.

Bien qu’à priori il puisse sembler facile d’identifier ces arnaques, ans de nombreux cas, les criminels savent comment le faire pour que les utilisateurs tombent dans leurs réseaux. Avec leurs méthodes, ils jouent avec les émotions des gens et les processus psychologiques de base, réalisant à de nombreuses reprises que leur stratégie n’est pas identifiée comme trompeuse.

Un hacker en train de faire du phishing.
 

Votre ingénierie sociale

Les cybercriminels conçoivent leurs arnaques sur la base de connaissances en sociologie et en psychologie sociale. Généralement, toutes ces astuces sont configurées pour jouer avec quatre émotions : l’avidité, la curiosité, le chagrin et la peur. La combinaison de ces émotions nous fait réagir presque instinctivement.

Ainsi, en jouant avec ces quatre aspects et en tenant compte d’autres comportements sociaux, les cybercriminels de phishing ont engendré diverses tactiques pour nous amener à leur fournir des informations précieuses.

Les trois principaux comportements qui ont été pris en compte pour nous attaquer seront décrits. Cependant, cela dépendra des caractéristiques personnelles de chacun et de la capacité à différencier les signaux qui peuvent servir d’alarmes.

Respect de l’autorité

En général, les gens ont tendance à suivre les ordres ou les instructions, sans poser de questions, de quelqu’un qui a un certain prestige ou un certain pouvoir. En d’autres termes, ce biais cognitif les amène à ignorer pendant un moment leurs propres opinions ou conséquences et à obéir, principalement par peur, aux ordres donnés par cette entité supérieure.

Cette représentation de l’autorité peut être un patron, une grande organisation étatique ou même une entreprise avec un certain prestige. Ainsi, pour le phishing, les criminels utilisent souvent des comptes qui semblent être des entreprises ou de grandes entreprises, demandant une action qui peut sembler pertinente. De cette manière, le destinataire de l’email considérera au premier coup d’œil que ce qu’il lit est réel et lui donne un sentiment de sécurité.

 

Un exemple de cette stratégie est les escroqueries qui ont été effectuées pour le compte de l’Agence fiscale, donnant un lien avec la fausse promesse d’obtenir des remboursements d’impôt. Ou, un e-mail d’un chef d’entreprise senior demandant l’ouverture d’un dossier pour un nouveau projet.

Le sentiment d’urgence

Cette technique de manipulation a été largement utilisée dans d’autres domaines que le phishing, comme le marketing. Fondamentalement, il consiste à créer une situation d’urgence qui met l’utilisateur dans la situation de devoir agir rapidement. Lorsque cette stratégie est utilisée, la peur est généralement utilisée.

Le courrier reçu alerte la personne avec un message de danger. Par exemple, “vous avez un virus sur votre ordinateur” ou “quelqu’un a essayé d’accéder à votre compte personnel”. Une autre variante est de générer le besoin d’être le premier (“Seules les 50 premières personnes à s’inscrire recevront le prix”). À ce moment-là, la peur de perdre l’opportunité peut nous faire acheter ou accepter la proposition sans envisager d’autres options.

En d’autres termes, ils provoquent une peur qui conduit à prendre une décision inconsidérée, rapide et irrationnelle, ignorant les aspects du message qui peuvent être essentiels. De plus, de gros mots en rouge sont souvent inclus pour renforcer ce sentiment de danger. Le problème est que même s’il y a des soupçons que cela peut être un canular, vous pouvez tomber dans le piège d’essayer de voir si cela vrai.

 

Actions automatiques et phishing

Il y a de nombreuses actions que nous faisons automatiquement, sans en être pleinement conscient. Elles sont généralement le résultat de l’expérience et de la répétition, nous activons donc un pilote et n’y prêtons aucune attention. Par exemple, en cliquant sur un gros bouton rouge qui dit “cliquez ici” par rapport à un bouton qui passe inaperçu.

En ce sens, les criminels de phishing profitent de ces automatismes pour nous faire tomber dans le piège. Ils peuvent en profiter en nous demandant de renvoyer un e-mail qui n’a apparemment pas été envoyé.

Ou nous donner la fausse option de ne plus recevoir d’e-mails de ce compte. Alors qu’en réalité, aucune des actions qu’ils nous demandent n’est réelle.

Ce type de stratégie est efficace et dangereux, car ce sont des actions apparemment innocentes que nous avons l’habitude de faire. Ils jouent avec, sachant que face à ce type de tâches, notre attention est diminuée.

Nous ne sélectionnons inconsciemment que des informations frappantes. Autrement dit, nous ignorons les détails et prenons des décisions sans une analyse trop détaillée.

Les tactiques de phishing.
 

Comment éviter d’être pris au piège par le phishing ?

Bien sûr, il y a des gens qui savent détecter ce type de tromperie mieux que d’autres. Mais nous sommes tous des victimes potentielles. Par conséquent, pour essayer de ne pas se faire arnaquer, il faut être conscient de la possibilité d’un danger.

Ainsi, tout l’e-mail ou le message sera lu plus consciemment. Si l’expéditeur n’est pas connu, essayez de savoir si le compte de messagerie est réel.

Et, surtout, il faut essayer de ne pas réagir vite et de s’arrêter pour penser aux conséquences. Ou si le message est pertinent ou commun que ces personnes communiquent de cette manière.

Autrement dit, prenez un moment pour réfléchir et essayez de détecter les signes qui peuvent être suspects. En outre, il est important d’en informer les autorités. Afin que le phénomène ne cause pas de préjudice à d’autres personnes.