Comment les cybercriminels s’y prennent-ils pour convaincre leur victime potentielle de tomber dans leur filet à travers un simple e-mail? Pour tenter de répondre à la question, McAfee s’est fendu d’une nouvelle étude sur la manipulation psychologique des utilisateurs.

L’étude menée par Greg Day, analyste en sécurité chez McAfee, s’appuie sur l’expertise de Clive Hollin, psychologue médico-légal de l’Université de Leicester au Royaume-Uni. Celui-ci a élaboré ses travaux à partir d’un important lot d’échantillons de courriels indésirables et autres e-mails de phishing communiqué par l’éditeur de solutions de sécurité.

La manipulation psychologique s’affiche comme le principal facteur de réussite d’une arnaque en ligne. « En présence des conditions idéales [...], la plupart des gens peuvent être vulnérables face à des informations trompeuses. « , selon le Clive Hollin. C’est sur ce principe que les cybercriminels élaborent leur stratégie d’attaque selon un plan ainsi dressé par McAfee : attirer l’attention de la victime, gagner sa confiance, et l’inciter à  » répondre » à la solicitation.

Le cybercriminel captera l’attention de sa victime en utilisant « des titres qui exercent un attrait sur les utilisateurs (bonnes affaires, rencontres, etc) et utilisent des phrases exclamatives ou interrogatives dans la ligne d’objet du message », souligne l’étude. Autrement dit, convaincre les internautes que le jeu en vaut la chandelle et leur faire perdre tout esprit critique et méfiance.

Passer à l’action

Usage d’une figure autoritaire, caution d’autres utilisateurs, message à caractère familier ou encore réception d’un mails en provenance d’un proche… les cybercriminels multiplient les méthodes d’accroche en fonction des différents profils visés. Une fois l’internaute ferré, il reste à le convaincre de passer à l’action.

En la matière, les méthodes évoluent en permanence, enrichies par les connaissances accumulées des cybercriminels. Ces derniers n’hésiteront pas à jouer sur la peur, à travers d’hypothétiques menaces de poursuites judiciaires, de vols de coordonnées bancaires, de risques de maladies ou encore d’offres de rencontre. Ce que de Clive Hollin appelle « le clic d’évitement ».

L’autre méthode d’arnaque désormais classique joue sur l’appât du gain ou le « clic à effet positif ». Là encore, l’idée de gagner une grosse somme d’argent, de vivre des expériences exceptionnelles d’ordre sexuel ou d’enfin obtenir un bien rare ne sont que quelques exemples qui peuvent, si la forme y est, inciter un internaute à cliquer sur le lien qui va malheureusement infecter son ordinateur ou encore lui demander de saisir des informations personnelles.

Les arnaques en ligne touchent tout type de profils

Les initiés seraient portés à croire que seuls les naïfs et les débutants qui font leurs premiers pas dans le monde en ligne peuvent se laisser prendre à des pièges aussi grossiers. Il n’en est rien. Selon Clive Hollin, les arnaques en ligne touchent tout type de profils, même les plus expérimentés. « Ce constat vaut autant pour l’utilisateur expérimenté que pour le novice : si la naïveté peut l’expliquer en partie, même l’utilisateur chevronné peut se laisser abuser et influencer par des messages fallacieux », estime-t-il.

Face à la montée en puissance des tentatives d’arnaques en ligne, les utilisateurs n’ont d’autres choix que de redoubler de vigilance. Il n’existe en effet pas de solution miracle pour échapper à ces risques d’attaques virtuels mais aux conséquences bien réelles.

Et les conseils de McAfee en la matière n’ont rien de nouveaux contrairement aux méthodologies des cybercriminels : ne jamais cliquer sur un lien dans un e-mail à l’origine inconnue même s’il semble inoffensif et vérifier son authenticité auprès d’un expéditeur connu; vérifier que les sites transactionnels sont bien sécurisés; et, surtout, mettez régulièrement à jour des correctifs de sécurité votre système et solutions antivirales. Bref, restez plus que jamais méfiant.