L’hameçonnage comprend toutes tentatives de sollicitation d’informations personnelles ou sensibles via des méthodes d’ingénierie sociale. L’hameçonnage est généralement réalisé par l’envoi de courriels. Le cybercriminel agit comme une source fiable ou de confiance pour inciter les destinataires à cliquer sur un lien ou à ouvrir une pièce jointe contenue dans un courriel.
L’influence sociale fait référence au changement d’attitude ou de comportement provoqué par une pression extérieure, qu’elle soit réelle ou imaginaire. Le processus d’influence sociale le plus largement reconnu est composé des six principes suivants :
- Autorité : selon ce principe, les gens sont plus susceptibles de répondre aux demandes faites par une personne en position de pouvoir ou d’autorité;
- Cohérence : selon ce principe, les gens cherchent à honorer leurs engagements et à rester cohérents dans leurs paroles et leurs actions;
- Appréciation : ce principe montre que les gens sont plus facilement persuadés par quelqu’un qu’ils aiment, ce qui peut être motivé par l’utilisation de compliments ou la séduction;
- Réciprocité : ce principe est basé sur l’idée que les gens se sentent obligés de rembourser une faveur ou un service reçu;
- Rareté : ce principe découle de l’idée que plus il est difficile d’acquérir un article, plus cet article a de la valeur. Par exemple, les hameçonneurs peuvent se présenter comme une entreprise de livraison et envoyer des courriels d’hameçonnage décrivant un colis qui n’a pas pu être livré;
- Preuve sociale : ce principe repose sur la norme selon laquelle les gens veulent être vus faire ce que font les autres.
Selon les modèles de persuasion à double processus, lorsqu’ils reçoivent un message persuasif, les individus utilisent deux techniques différentes pour évaluer ce message. La première technique implique un traitement « central » ou « systématique » pour évaluer le contenu et la qualité des informations. La deuxième technique consiste en un traitement « périphérique » ou « heuristique », ce qui signifie que les gens sont davantage influencés par la sympathie ou l’attraction qu’ils ressentent vis-à-vis de la source du message. En tant que tels, les principes d’influence sociale ont tendance à être plus efficaces lorsqu’ils sont traités de manière heuristique.
En utilisant une méthodologie basée sur un scénario de jeu de rôle, les auteurs cherchent à savoir pourquoi certaines attaques d’hameçonnage réussissent et pourquoi certaines personnes y sont plus sensibles. Les participants ont été exposés à la fois à des courriels authentiques et à des courriels d’hameçonnage contenant ces principes d’influence.
Les résultats de l’étude ont montré que les individus étaient moins sensibles aux courriels d’hameçonnage contenant le principe de rareté. La rareté est couramment utilisée dans les cas d’hameçonnage, ce qui signifie que les gens sont susceptibles d’avoir été exposés à ce type de courriel contenant des appels à une action urgente, et peuvent donc avoir moins de difficulté à reconnaître et à résister à cette technique de persuasion. Les participants étaient les plus sensibles aux principes de cohérence et de réciprocité, qui étaient deux des principes les moins courants des cas d’hameçonnage dans le monde réel. Outre les principes de cohérence et de réciprocité, les participants qui étaient personnellement sensibles à un principe spécifique étaient nettement plus sensibles aux courriels contenant ce principe que les personnes qui n’étaient pas sensibles à ce principe.
Les résultats de cette étude mettent en évidence la réceptivité des individus à l’influence sociale et sa tendance au traitement intuitif. Ces résultats peuvent être utilisés dans le cadre de séances d’information et de formation et peuvent contribuer à réduire la menace de l’hameçonnage pour les organisations.
Pour citer cet article : Parsons, K., Butavicius, M., Delfabbro, P. et Lillie, M. (2019). Predicting susceptibility to social influence in phishing emails. International Journal of Human-Computer Studies, 128, 17-26.
