Le Business Email Compromise (BEC), également connu sous le nom de CEO fraud, est un type d’attaque par hameçonnage dans lequel un cybercriminel se fait passer pour un cadre de haut niveau afin de convaincre un employé, un client ou un vendeur de transférer de l’argent sur un compte frauduleux ou de divulguer des informations sensibles.

En compromettant les comptes de courrier électronique officiels, les criminels peuvent surveiller l’activité en ligne et déterminer qui possède les informations d’identification permettant d’initier des transferts de fonds. Dans la majorité des cas, les attaquants se font passer pour le PDG, le directeur financier ou un autre cadre de haut niveau.  des techniques d’ingénierie sociale pour inciter l’utilisateur à agir.

Ces dernières années, le nombre d’attaques de type « Business Email Compromise » a fortement augmenté et, selon le dernier rapport d’évaluation des risques liés à la sécurité du courrier électronique établi par la société de gestion du courrier électronique Mimecast, les attaques de type « BEC » ont augmenté de 80 % au cours du seul dernier trimestre.

Les pertes globales dues à la compromission des courriels d’entreprise ont dépassé 12,5 milliards de dollars, et les victimes peuvent subir des pertes substantielles, comme l’ont montré un certain nombre d’attaques récentes très médiatisées.

En mars 2018, la chaîne de cinémas française Pathé a été victime d’une escroquerie sophistiquée de type Business Email Compromise qui lui a coûté plus de 19 millions d’euros.

Les fraudeurs se sont fait passer pour le PDG et ont convaincu le directeur général et le directeur financier du bureau néerlandais de la marque de transférer les fonds au cours d’une série de cinq virements consécutifs.

Malgré les soupçons, les criminels ont réussi à rendre leur escroquerie aussi convaincante que possible en créant des courriels presque identiques à ceux du domaine officiel de Pathé. La société a perdu 10 % de ses revenus totaux et les deux cadres ont été licenciés.

Cette attaque a démontré l’attention portée aux détails par les cybercriminels pour infiltrer une entreprise, et les conséquences considérables qu’une attaque BEC peut avoir sur une entreprise.

Comment fonctionne l’arnaque à la compromission des courriels d’entreprise ?

Comment fonctionne la compromission des courriels d'entreprise

Contrairement aux Les attaques par hameçonnage, qui ont tendance à viser un grand nombre d’employés, sont très ciblées. Les criminels passent beaucoup de temps à rechercher des personnes occupant des postes de haut niveau dans l’entreprise avant de lancer une attaque.

Pour rendre toute correspondance aussi convaincante que possible, les escrocs parcourent les sites web des entreprises, les sources en ligne et les sites de médias sociaux tels que LinkedIn afin de recueillir autant d’informations que possible sur leur victime potentielle.

Dès qu’ils ont terminé leurs recherches, ils utilisent une technique ciblée telle que Spear Phishing pour accéder aux systèmes de l’entreprise. Une fois qu’ils y ont accès, les criminels peuvent observer de près la manière dont les transactions financières sont effectuées avant de lancer une attaque.

Le criminel enverra ensuite un faux courriel provenant de ce qui semble être le PDG et demandant un transfert de fonds urgent de la part d’un employé de l’organisation. Le ciblage à haut niveau permet à l’e-mail de passer à travers les filtres anti-spam, et l’utilisation d’une adresse e-mail usurpée ajoute une légitimité supplémentaire à la demande.

Le niveau de détail est tel que les criminels choisissent souvent de lancer leur attaque lorsque le cadre supérieur est en voyage d’affaires et ne peut pas vérifier personnellement la demande. Si la victime est tombée dans le piège de l’escroquerie, l’argent qu’elle a transféré sera rapidement envoyé sur des comptes situés à l’étranger, ce qui rendra difficile la récupération de l’argent volé.

Types d’escroqueries à la compromission des courriels d’entreprise

Types d'escroqueries à la compromission des courriels d'entreprise

Fraude au PDG – Dans ce type d’attaque, les cybercriminels se font passer pour le PDG ou un autre cadre supérieur de haut niveau. Une fois leur compte piraté et leur adresse électronique usurpée, ils envoient un courriel à un employé pour lui demander de transférer des fonds sur un compte qu’ils ont spécifiquement créé. Les courriels sont souvent signalés comme étant urgents afin de décourager l’employé de vérifier la demande ou d’en discuter avec un autre membre du personnel.

L’escroquerie de la fausse facture – Cette escroquerie particulière est souvent utilisée contre les entreprises qui utilisent beaucoup de fournisseurs étrangers. L’entreprise reçoit un courriel de ce qui semble être l’un de ses fournisseurs actuels, lui demandant de changer la destination du paiement. Tout paiement sera alors transféré directement sur le compte du fraudeur.

Compromission de compte – Ce type d’attaque est plus fréquent dans les petites entreprises où la facturation est gérée directement par courrier électronique. Les cybercriminels piratent le compte de messagerie d’un employé et interceptent tous les courriels contenant une facture. Une fois qu’ils ont choisi leur cible, ils contactent le vendeur et l’informent qu’il y a eu un problème avec son paiement et lui demandent de le renvoyer sur un autre compte frauduleux qu’ils ont mis en place.

Usurpation de l’identité d’ un avocat – Dans cette escroquerie, les criminels se font passer pour le cabinet d’avocats d’une entreprise et demandent le transfert urgent de fonds pour régler un litige ou une facture impayée. L’employé est informé que l’affaire est strictement confidentielle afin de réduire le risque qu’il discute de la demande avec quelqu’un d’autre. Les attaques ont souvent lieu à la fin de la semaine de travail, afin d’exercer une pression supplémentaire sur l’employé pour qu’il agisse rapidement.

Vol de données – Il s’agit de la seule escroquerie BEC qui ne demande pas de virement bancaire direct. Les attaques par vol de données se produisent lorsqu’un cybercriminel compromet le compte de messagerie d’un cadre supérieur et demande que des informations sensibles de l’entreprise lui soient envoyées. Ces types d’attaques visent généralement les départements des ressources humaines et des finances et sont souvent le précurseur d’une cyber-attaque plus importante et plus dommageable.

Signes avant-coureurs d’une attaque de type « Business Email Compromise » (compromission du courrier électronique d’entreprise)

Attaques BEC

  • Transfert de fonds importants à un destinataire avec lequel l’entreprise n’a jamais traité auparavant.
  • Transferts initiés vers la fin de la journée/semaine de travail.
  • Les courriers électroniques qui contiennent un langage urgent et qui sont de nature secrète.
  • Petites modifications d’une adresse électronique qui imite une adresse professionnelle légitime.
  • Le compte du destinataire n’a jamais reçu de virements importants par le passé.
  • Le compte du destinataire est un compte personnel et non un compte professionnel enregistré.

Comment prévenir les attaques de compromission des courriels d’entreprise

comment prévenir les attaques de type

  • La formation à la sensibilisation à la sécurité est l’un des outils les plus efficaces pour lutter contre les attaques BEC. Une formation régulière permettra au personnel de reconnaître les courriels malveillants, les tactiques d’ingénierie sociale, d’identifier les demandes suspectes et de suivre les protocoles appropriés pour traiter les transferts d’argent.
  • Formation des cadres de haut niveau – Il est également essentiel que les cadres de haut niveau reçoivent une formation spécifique à leur rôle qui aborde les menaces uniques auxquelles ils sont confrontés au quotidien.
  • Les employés doivent remettre en question et vérifier toutes les demandes confidentielles, en particulier celles qui sont jugées urgentes par le PDG ou d’autres cadres supérieurs de l’entreprise.
  • Réduisez au minimum le nombre d’employés habilités à transférer des fonds.
  • Utilisez l’authentification multifactorielle sur tous les comptes de messagerie.
  • Mettre en œuvre une procédure de vérification en deux étapes pour tous les paiements, qui comprend une vérification autre que par courrier électronique, telle qu’une authentification téléphonique ou verbale.
  • Élaborer des procédures écrites pour l’approbation de toutes les transactions financières.
  • Envoyez tous les courriels par l’intermédiaire d’un serveur crypté.
  • Ne publiez pas d’informations sensibles sur les sites web de l’entreprise ou sur les médias sociaux.
  • Envisagez l’utilisation d’une bannière qui informe les employés qu’un courriel provient d’une source externe.

Les employés représentent la plus grande menace pour la sécurité d’une organisation. Il est donc essentiel qu’ils soient dotés des compétences nécessaires pour prévenir une cyberattaque. MetaLearning Fusion est la nouvelle génération d’eLearning et a été spécialement conçu pour offrir à votre personnel la meilleure formation possible en matière de cybersécurité et de protection de la vie privée. Les organisations peuvent créer des cours sur mesure pour leur personnel à partir d’une vaste bibliothèque de cours eLearning de courte durée.  Contactez-nous pour plus d’informations sur la façon dont MetaLearning peut être utilisé pour transformer la formation à la cybersécurité au sein de votre organisation.