MetaBlog

Restez informé des sujets de formation à la cyber-sensibilisation et atténuez les risques dans votre organisation.

Guide rapide sur la compromission du courrier électronique des entreprises (BEC)

prévenir les escroqueries

sur l auteur

partager c'est prendre soin

Le Business Email Compromise (BEC), également connu sous le nom de fraude au PDG, est un type d'attaque par hameçonnage dans lequel un cybercriminel se fait passer pour un dirigeant de haut niveau afin de convaincre un employé, un client ou un vendeur de transférer de l'argent sur un compte frauduleux ou de divulguer des informations sensibles.

En compromettant les comptes de messagerie officiels, les criminels peuvent surveiller l'activité en ligne et déterminer qui dispose des informations d'identification nécessaires pour lancer des transferts d'argent. Dans la majorité des cas, les attaquants se font passer pour le PDG, le directeur financier ou un autre cadre de niveau C, et ils combinent généralement une série de techniques d 'ingénierie sociale pour inciter l'utilisateur à agir.

Ces dernières années, le nombre d'attaques par compromission d'e-mails d'entreprise a fortement augmenté. Selon le dernier rapport d'évaluation des risques liés à la sécurité des e-mails publié par la société de gestion des e-mails Mimecast, les attaques par compromission d'e-mails d'entreprise ont augmenté de 80 % rien qu'au cours du dernier trimestre.

Les pertes mondiales dues à la compromission du courrier électronique professionnel ont dépassé 12,5 milliards de dollars, et les victimes peuvent subir des pertes substantielles, comme l'ont montré plusieurs attaques récentes très médiatisées.

En mars 2018, la chaîne de cinémas française Pathé a été victime d'une arnaque sophistiquée de compromission d'e-mails professionnels qui lui a coûté plus de 19 millions d'euros.

Le hold-up audacieux a été réalisé lorsque les fraudeurs se sont fait passer pour le PDG et ont convaincu le directeur général et le directeur financier du bureau néerlandais de la marque de transférer les fonds au cours d'une série de cinq virements consécutifs.

Malgré les soupçons qui pesaient sur eux, les criminels ont réussi à rendre leur escroquerie aussi convaincante que possible en créant des courriels presque identiques au domaine officiel de Pathé. La société a perdu 10 % de ses revenus totaux et les deux cadres ont été licenciés.

L'attaque a démontré l'attention portée aux détails que les cybercriminels utilisent pour infiltrer une entreprise, ainsi que les conséquences considérables qu'une attaque BEC peut avoir sur une entreprise.

Comment fonctionne une escroquerie par compromission d'un courriel d'entreprise ?

Comment fonctionne la compromission des e-mails d'entreprise

Contrairement aux attaques de phishing traditionnelles qui ont tendance à viser un grand nombre d'employés, les attaques BEC sont très ciblées. Les criminels passent beaucoup de temps à rechercher des personnes occupant des postes de haut niveau dans l'entreprise avant de lancer une attaque.

Pour rendre toute correspondance aussi convaincante que possible, les escrocs parcourent les sites Web des entreprises, les sources en ligne et les sites de médias sociaux tels que LinkedIn pour recueillir le plus d'informations possible sur leur victime potentielle.

Dès qu'ils ont terminé leurs recherches, ils utilisent une technique ciblée telle que le Spear Phishing pour accéder aux systèmes des entreprises. Une fois qu'ils y ont accès, les criminels peuvent observer de près la façon dont les transactions financières sont effectuées avant de lancer une attaque.

Le criminel enverra ensuite un faux courriel de ce qui semble être le PDG, demandant un transfert de fonds urgent de la part d'un employé de l'organisation. Le ciblage de haut niveau permet à l'e-mail de passer à travers les filtres anti-spam, et l'utilisation d'une fausse adresse e-mail ajoute une légitimité supplémentaire à la demande.

Le niveau de détail est tel que les criminels choisissent souvent de lancer leur attaque lorsque le cadre supérieur est en déplacement et ne peut pas vérifier personnellement la demande. Si la victime est tombée dans le piège, l'argent qu'elle a transféré sera rapidement envoyé sur des comptes situés à l'étranger, ce qui rendra difficile la récupération de l'argent volé.

Types d'escroqueries par compromission d'e-mails d'entreprises

Types d'escroqueries par compromission d'e-mails d'entreprises

Fraude au PDG - Dans ce type d'attaque, les cybercriminels se font passer pour le PDG ou un autre cadre supérieur de haut niveau. Une fois leur compte piraté et leur adresse électronique usurpée, ils envoient un courriel à un employé lui demandant de transférer des fonds sur un compte qu'ils ont spécifiquement créé. Les e-mails sont souvent signalés comme étant urgents afin de décourager l'employé de vérifier la demande ou d'en discuter avec un autre membre du personnel.

Le système de la fausse facture - Cette arnaque particulière est souvent utilisée contre les entreprises qui ont beaucoup de fournisseurs étrangers. L'entreprise reçoit un courriel de ce qui semble être un de ses fournisseurs actuels lui demandant de changer la destination du paiement. Tous les paiements sont alors transférés directement sur le compte du fraudeur.

Compromis de compte - Ce type d'attaque est plus fréquent dans les petites entreprises où la facturation est gérée directement par courrier électronique. Les cybercriminels piratent le compte e-mail d'un employé et interceptent tous les e-mails contenant une facture. Une fois qu'ils ont choisi leur cible, ils contactent le fournisseur et l'informent qu'il y a eu un problème avec son paiement et lui demandent de le renvoyer vers un autre compte frauduleux qu'ils ont créé.

Usurpation d'identité d'avocat - Dans cette escroquerie, les criminels se font passer pour le cabinet d'avocats d'une entreprise et demandent le transfert urgent de fonds pour régler un litige ou une facture impayée. L'employé est informé que l'affaire est strictement confidentielle afin de réduire les risques qu'il discute de la demande avec quelqu'un d'autre. Les attaques ont souvent lieu à la fin de la semaine de travail afin d'exercer une pression supplémentaire sur l'employé pour qu'il agisse rapidement.

Vol de données - Il s'agit de la seule arnaque BEC qui ne demande pas de virement bancaire direct. Les attaques par vol de données se produisent lorsqu'un cybercriminel compromet le compte de messagerie d'un cadre supérieur et demande que des informations sensibles de l'entreprise lui soient envoyées. Ces types d'attaques ont tendance à cibler les départements des ressources humaines et des finances et sont souvent le précurseur d'une cyber-attaque plus importante et plus dommageable.

Signes d'alerte d'une attaque par compromission du courrier électronique d'une entreprise

Attaques BEC
  • Transfert de fonds importants à un destinataire avec lequel l'entreprise n'a jamais traité auparavant.
  • Transferts initiés vers la fin de la journée/semaine de travail.
  • Les courriels qui contiennent un langage urgent et sont de nature secrète.
  • De petits changements dans une adresse électronique qui imite une adresse professionnelle légitime.
  • Le compte du bénéficiaire n'a jamais reçu de virements importants dans le passé.
  • Le compte destinataire est un compte personnel et non un compte professionnel enregistré.

Comment prévenir les attaques de compromission des e-mails d'entreprise

comment prévenir les attaques de Business Email Compromise
  • La formation à la sécurité est l'un des outils les plus efficaces pour lutter contre les attaques de BEC. Une formation régulière permettra au personnel de reconnaître les courriels malveillants, les tactiques d'ingénierie sociale, d'identifier les demandes suspectes et de suivre les protocoles appropriés pour traiter les transferts d'argent.
  • Formation des cadres de niveau C - Il est également essentiel que les cadres de niveau C reçoivent une formation spécifique à leur rôle, qui aborde les menaces uniques auxquelles ils sont confrontés au quotidien.
  • Les employés doivent interroger et vérifier toutes les demandes confidentielles, en particulier celles jugées urgentes par le PDG ou d'autres cadres supérieurs de l'entreprise.
  • Réduisez au minimum le nombre d'employés qui ont le pouvoir de transférer des fonds.
  • Utilisez l'authentification multifactorielle sur tous les comptes de messagerie.
  • Mettre en place un processus de vérification en deux étapes pour tous les paiements, qui comprend une vérification autre que par courrier électronique, telle qu'une authentification téléphonique ou verbale.
  • Élaborer des procédures écrites pour l'approbation de toutes les transactions financières.
  • Envoyez tous les courriers électroniques via un serveur crypté.
  • Ne publiez pas d'informations sensibles sur les sites web de l'entreprise ou sur les médias sociaux.
  • Envisagez l'utilisation d'une bannière électronique qui informe les employés si un courriel provient d'une source externe.

Les employés représentent la plus grande menace pour la sécurité d'une organisation, il est donc vital qu'ils soient équipés des compétences nécessaires pour prévenir une cyber-attaque. MetaLearning Fusion est la nouvelle génération d'eLearning et a été spécialement conçu pour fournir la meilleure formation possible en matière de cybersécurité et de confidentialité à votre personnel. Les organisations peuvent créer des cours sur mesure pour leur personnel à partir d'une vaste bibliothèque de cours eLearning courts. Contactez-nous pour plus d'informations sur la façon dont MetaLearning peut être utilisé pour transformer la formation à la cybersécurité au sein de votre organisation.

vous pourriez apprécier de lire ces

Demander une démo

Les informations personnelles que vous nous fournissez dans ce formulaire ne seront jamais utilisées par MetaCompliance (en tant que contrôleur des données) qu'aux fins spécifiquement définies ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services.
  • honorer en permanence toute demande de retrait que vous soumettez à l'avenir
  • se conformer à l'une de nos obligations légales et/ou réglementaires