SÉCURITÉ - La manipulation psychologique, premier facteur de réussite dans une attaque en ligne McAfee décortique les « trucs et astuces » des cybercriminels

Comment les cybercriminels s’y prennent-ils pour convaincre leur victime potentielle de tomber dans leur filet à travers un simple e-mail ? Pour tenter de répondre à la question, McAfee s’est fendu d’une nouvelle étude sur la manipulation psychologique des utilisateurs. L’étude menée par Greg Day, analyste en sécurité chez McAfee, s’appuie sur l’expertise de Clive Hollin, psychologue médico-légal de l’Université de Leicester au Royaume-Uni. Celui-ci a élaboré ses travaux à partir d’un important lot d’échantillons de courriels indésirables et autres e-mails de phishing communiqué par l’éditeur de solutions de sécurité. La manipulation psychologique s’affiche comme le principal facteur de réussite d’une arnaque en ligne. « En présence des conditions idéales, la plupart des gens peuvent être vulnérables face à des informations trompeuses », selon Clive Hollin. C’est sur ce principe que les cybercriminels élaborent leur stratégie d’attaque selon un plan ainsi dressé par McAfee : attirer l’attention de la victime, gagner sa confiance et l’inciter à « répondre » à la sollicitation. Le cybercriminel captera l’attention de sa victime en utilisant « des titres qui exercent un attrait sur les utilisateurs (bonnes affaires, rencontres, etc.) et utilise des phrases exclamatives ou interrogatives dans la ligne d’objet du message », souligne l’étude. Autrement dit, convaincre les internautes que le jeu en vaut la chandelle et leur faire perdre toute méfiance et esprit critique. Passer à l’action Usage d’une figure autoritaire, caution d’autres utilisateurs, message à caractère familier ou encore réception d’un mail en provenance d’un proche… Les cybercriminels multiplient les méthodes d’accroche en fonction des différents profils visés. Une fois l’internaute ferré, il reste à le convaincre de passer à l’action. En la matière, les méthodes évoluent en permanence, enrichies par les connaissances accumulées des cybercriminels. Ces derniers n’hésiteront pas à jouer sur la peur, à travers d’hypothétiques menaces de poursuites judiciaires, de vols de coordonnées bancaires, de risques de maladies ou encore d’offres de rencontre. Ce que Clive Hollin appelle « le clic d’évitement ». L’autre méthode d’arnaque désormais classique joue sur l’appât du gain ou le « clic à effet positif ». Là encore, l’idée de gagner une grosse somme d’argent, de vivre des expériences exceptionnelles d’ordre sexuel ou enfin d’obtenir un bien rare ne sont que quelques exemples qui peuvent, si la forme y est, inciter un internaute à cliquer sur le lien qui va malheureusement infecter son ordinateur ou encore lui demander de saisir des informations personnelles. Tout type de profils Les initiés seraient portés à croire que seuls les naïfs et les débutants qui font leurs premiers pas dans le monde en ligne peuvent se laisser prendre à des pièges aussi grossiers. Il n’en est rien. Selon Clive Hollin, les arnaques en ligne touchent tout type de profils, même les plus expérimentés. « Ce constat vaut autant pour l’utilisateur expérimenté que pour le novice : si la naïveté peut l’expliquer en partie, même l’utilisateur chevronné peut se laisser abuser et influencer par des messages fallacieux », estime-t-il. Face à la montée en puissance des tentatives d’arnaques en ligne, les utilisateurs n’ont d’autres choix que de redoubler de vigilance. Il n’existe en effet pas de solution miracle pour échapper à ces risques d’attaques virtuelles mais aux conséquences bien réelles. Et les conseils de McAfee en la matière n’ont rien de nouveau, contrairement aux méthodologies des cybercriminels : ne jamais cliquer sur un lien dans un e-mail à l’origine inconnue même s’il semble inoffensif et vérifier son authenticité auprès d’un expéditeur connu ; vérifier que les sites transactionnels sont bien sécurisés ; et, surtout, mettre régulièrement à jour les correctifs de sécurité du système et des solutions antivirales. Bref, rester plus que jamais méfiant. (Source : Vnunet)