Comment fonctionne le Business Email Compromise (BEC) ?

Le Business Email Compromise (BEC) est l’une des escroqueries les plus complexes basées sur l’ingénierie sociale, qui rapporte d’importantes sommes d’argent à ses auteurs. Alors que les ransomwares font la une des journaux, les BEC semblent moins faire les gros titres. Pourtant, des recherches menées par le FBI ont révélé que les volumes de BEC sont quatre fois plus importants que ceux des logiciels malveillants.

Le rapport Verizon Data Breach Investigations Report (DBIR) souligne que la grande majorité (86 %) de la cybercriminalité est motivée par des raisons financières. En 2021, le FBI a décrit le BEC comme « l’un des crimes en ligne les plus préjudiciables sur le plan financier ».

Les escrocs, les fraudeurs et les cybercriminels font tous partie d’une communauté infâme qui utilise des tactiques d’ingénierie sociale et des courriels d’hameçonnage pour mener à bien ses cybercrimes. Comprendre le fonctionnement d’une escroquerie peut vous aider à éviter que votre organisation ne soit victime de cette cyberattaque.

Voici comment fonctionne le Business Email Compromise et comment vous pouvez empêcher les fraudeurs BEC de voler l’argent de votre entreprise.

Analyse d’une attaque BEC typique

Les fraudeurs qui s’attaquent aux courriels d’entreprise ciblent les entreprises de toutes tailles et de tous secteurs. Une escroquerie de type BEC utilise l’ingénierie sociale à son maximum, manipulant les employés ciblés dans son sillage, au fur et à mesure que la chaîne de destruction se déplace à travers l’organisation.

En 2020, l’unité d’enquête sur la cybercriminalité du FBI, IC3, a constaté que les cybercriminels avaient exploité plus de 2 milliards de dollars auprès d’entreprises américaines en utilisant des techniques de BEC. Le BEC n’est pas moins courant au Royaume-Uni, avec plus de 500 PME ciblées par des fraudeurs BEC au cours de l’année 2018.

Les escroqueries à la compromission des courriels d’entreprise sont lucratives. Mais elles requièrent un haut niveau d’engagement pour accéder aux importantes sommes d’argent recherchées par les fraudeurs. La fraude BEC peut être considérée comme une menace avancée par courrier électronique, car elle contient généralement un élément de compromission du courrier électronique et d’hameçonnage à un stade précoce du cycle d’attaque.

Voici les processus typiques d’une escroquerie de type «  Business Email Compromise »:

Une escroquerie de type BEC consiste à tromper des personnes spécifiques au sein d’une organisation pour qu’elles effectuent un virement électronique afin de transférer de l’argent sur le compte d’un fraudeur. Il existe plusieurs variantes de cette escroquerie, mais elles ont toutes un élément commun : trouver un moyen de tromper quelqu’un en lui faisant croire qu’il effectue un transfert d’argent important à la demande d’un cadre supérieur et/ou d’un client important. Les étapes typiques d’une escroquerie BEC sont les suivantes :

Première étape : Collecte de renseignements et stratégies

Les délits d’escroquerie sont des activités lucratives sérieuses qui nécessitent la collecte de renseignements pour parfaire le délit. La surveillance implique généralement la collecte d’informations générales accessibles au public sur une entreprise, l’identité des cadres supérieurs, la structure de l’entreprise, etc.

Au cours de cette étape, les cybercriminels se familiarisent avec les activités de l’entreprise et tentent de déterminer comment les paiements sont effectués et à qui ils le sont. L’escroc utilise ensuite ces informations pour entamer la deuxième phase de l’attaque.

Deuxième étape : Compromission ou usurpation d’adresse électronique

En utilisant les informations recueillies au cours de la première étape, le fraudeur BEC adopte alors l’une des deux tactiques suivantes pour poursuivre l’attaque :

La compromission d’un compte de courrier électronique est une possibilité. La prise de contrôle d’un compte (ATO) nécessite que le cybercriminel vole les identifiants de connexion et le mot de passe d’un compte de messagerie ciblé. Cela peut être fait en utilisant le spear-phishing; c’est plus compliqué (mais pas impossible) si un deuxième facteur est utilisé pour protéger un compte.

Si le cybercriminel parvient à détourner un compte, il se concentrera sur un cadre de haut niveau ou sur une personne qui contrôle les paiements. Le compte détourné d’un CXO a une grande valeur et peut être utilisé pour exiger que des paiements « urgents » soient effectués sur le compte bancaire du pirate – en se faisant passer pour un « client important ».

Dans le cas de l’employé ATO (accounts payable), le fraudeur sera en mesure de surveiller le trafic des courriels, à la recherche d’informations sur les personnes payées, le moment où elles sont payées, etc. Le fait d’avoir ce niveau de contrôle sur le courrier électronique d’une organisation lui permet également d’intercepter les factures et d’en modifier les détails pour s’assurer que les paiements sont effectués sur le compte bancaire du fraudeur.

La deuxième option consiste à usurper l’adresse électronique du cadre de haut niveau visé. L’usurpation d’adresse électronique est une forme courante d’hameçonnage et un moyen reconnu de faire croire aux destinataires qu’il s’agit d’un message provenant d’une personne en particulier. Un exemple d’adresse électronique usurpée serait [email protected] ou [email protected] – vous voyez l’idée… facile à usurper, difficile à repérer, surtout si vous êtes un employé occupé travaillant à la comptabilité.

Troisième étape : Extraire l’argent

La troisième étape consiste à transférer l’argent sur le compte bancaire du fraudeur. Cette opération peut prendre plusieurs formes et s’inscrit dans le cadre de la stratégie d’exécution initiale définie aux étapes 1 et 2. L’exécution de la troisième étape se fait généralement de la manière suivante :

Fraude au PDG: à l’aide d’un compte de niveau C usurpé ou piraté, le fraudeur envoie un courriel marqué comme « urgent » expliquant que si le site £££££ n’est pas envoyé avant une certaine heure, un compte client clé sera perdu.

Fraude à lafacture: Si un compte de courrier électronique est piraté, le fraudeur guette les factures qui arrivent dans l’entreprise, les intercepte et modifie ensuite les données de paiement figurant sur la facture.

Comment réduire le risque de BEC ?

La fraude BEC commence par la collecte de renseignements sur la cible et se propage à l’aide d’une attaque par courrier électronique. Cette dernière dépend généralement d’une campagne de spear-phishing réussie. Personne n’est à l’abri d’une attaque BEC: en 2018, l’organisation caritative Save the Children a perdu 800 000 livres sterling à cause d’un escroc BEC. L’attaquant a détourné le compte de messagerie d’un employé et l’a utilisé pour envoyer de fausses factures.

Il existe plusieurs façons de protéger votre organisation contre une attaque BEC, chacune étant un élément d’une approche stratifiée visant à réduire le risque de campagnes BEC :

Formez vos employés au fonctionnement des attaques BEC

La compromission du courrier électronique des entreprises est une attaque qui dépend du courrier électronique et dont la détection et la prévention requièrent de la vigilance. Utilisez la formation de sensibilisation à la sécurité et les exercices de simulation d’hameçonnage pour vous assurer que tous les employés comprennent les astuces et les tactiques utilisées pour hameçonner les gens.

Créez des programmes de formation spécifiques aux BEC qui s’adressent à vos cadres supérieurs et à vos employés, tels que ceux qui s’occupent des paiements dans les services comptables. Si vos paiements sont gérés par un tiers ou des fournisseurs, assurez-vous que votre formation les inclut également.

Utilisez l’authentification à deux facteurs

La prise de contrôle d’un compte de messagerie est l’une des options dont disposent les fraudeurs BEC. Veillez à ce que les comptes de messagerie de votre entreprise soient configurés de manière à exiger un deuxième facteur d’accès, par exemple, les utilisateurs doivent utiliser un code à usage unique basé sur un appareil mobile, ainsi qu’un mot de passe pour accéder à leur compte de messagerie.

Sécurisez votre domaine d’entreprise

Les fraudeurs BEC enregistrent souvent des noms de domaine qui ressemblent au domaine de leur victime cible, par exemple www.micr0soft.com ou www.amason.com. Les fraudeurs peuvent alors envoyer des courriels qui semblent provenir d’un compte de messagerie légitime. Pour éviter cela, enregistrez des domaines qui ressemblent au domaine officiel de votre entreprise.

Mettre en place des mécanismes de double vérification des paiements

Créez une procédure selon laquelle les employés doivent vérifier auprès d’un autre membre du personnel avant d’effectuer un transfert d’argent ou de partager des informations confidentielles ou personnelles.

Soyez au courant des changements ou des mises à jour

Créez une culture de la sécurité en veillant à ce que l’ensemble du personnel soit vigilant face à tout changement de comportement du personnel interne ou des fournisseurs. Cette approche culturelle de la sécurité permettra au personnel de rester attentif aux escroqueries et de repérer les comportements inhabituels avant qu’ils ne se transforment en incidents.

La compromission du courrier électronique des entreprises est un crime lucratif et fructueux. Ce succès signifie qu’il est peu probable que son volume diminue au cours des prochaines années. La seule façon d’y faire face est de rester vigilant et de former vos employés, y compris les cadres supérieurs, au fonctionnement des BEC.