Business Email Compromise (BEC) est une menace de cybersécurité à croissance rapide à laquelle toutes les entreprises, en particulier les petites et moyennes (PME) sont confrontées. L’Internet Crime Complaint Center (IC3) du FBI a indiqué dans son rapport 2020 sur la criminalité sur Internet qu’il avait traité 19 369 plaintes de compromission de courrier électronique professionnel (BEC) représentant plus de 1,8 milliard de dollars de pertes ajustées aux États-Unis pour cette année-là.
A propos de l’auteur
Christopher Budd est Global Senior Threat Communications Manager chez Avast.
Les attaques BEC utilisent principalement le courrier électronique, mais peuvent être effectuées à l’aide de messages SMS, de messages vocaux et même d’appels téléphoniques. Les attaques BEC sont remarquables car elles s’appuient fortement sur des techniques dites d’« ingénierie sociale », ce qui signifie qu’elles utilisent la ruse et la tromperie contre les personnes.
Les attaques BEC peuvent être très efficaces et n’importe qui peut en être victime, quelle que soit leur richesse ou leur sophistication. En février 2020, Barbara Corcoran – la femme d’affaires américaine, investisseur et juge de l’émission de téléréalité entrepreneuriale « Shark Tank » – a failli perdre près de 400 000 $ dans une arnaque au BEC. Heureusement, une action rapide lui a permis de récupérer l’argent. Mais les statistiques du FBI montrent que tout le monde n’a pas cette chance.
Étant donné que les attaques BEC reposent fortement sur l’ingénierie sociale, les logiciels de sécurité traditionnels ne protègent pas toujours contre elles. Cela signifie que vous et vos employés jouez un rôle majeur dans la protection contre eux – et pourquoi il est important de comprendre ce que sont les attaques BEC et comment elles fonctionnent.
Sommaire
Comment fonctionnent les attaques BEC
Bien qu’il existe de nombreuses façons dont les attaques BEC peuvent se dérouler, elles se résument toutes à une formule simple. Un attaquant tentera de convaincre un employé d’envoyer de l’argent aux attaquants en usurpant l’identité d’une personne en qui l’employé a confiance.
Les attaquants essaieront souvent d’empiler les chances de deux manières. Premièrement, ils essaient de rendre leur attaque crédible par qui ils choisissent de se faire passer. Deuxièmement, ils essaient de créer un sentiment d’urgence afin que la victime visée soit moins susceptible de remettre en question la transaction et soit moins susceptible de suivre les canaux appropriés pour les paiements qui pourraient attraper l’escroquerie.
Parfois, les attaquants mélangent intelligemment ces deux tactiques pour plus d’efficacité.
Par exemple, un type d’attaque BEC que nous avons vu implique qu’un employé reçoive un message urgent du PDG ou d’un autre cadre supérieur lui disant qu’il a besoin que l’employé paie une facture en souffrance ou reçoive des cartes-cadeaux pour un événement urgent de l’entreprise. un moyen. Il peut s’agir d’e-mails ou de SMS, mais les attaquants ont même utilisé une technologie contrefaite pour imiter les messages vocaux et les appels. Un dirigeant en 2019 a perdu 220 000 € (environ 243 000 $) à cause d’une attaque comme celle-ci lorsque des attaquants ont utilisé une technologie contrefaite pour se faire passer pour son PDG.
Dans un autre type d’attaque BEC, les attaquants utilisent des comptes de messagerie faux et compromis pour convaincre un employé qu’ils traitent avec un fournisseur légitime. Les attaquants peuvent échanger plusieurs e-mails avec la victime visée pour la convaincre qu’il s’agit d’un véritable vendeur, puis lui envoyer une fausse facture. C’est ainsi que s’est déroulée l’attaque contre Barbara Cocoran.
Un troisième type d’attaque BEC cible la masse salariale des entreprises. Dans ces cas, les attaquants se font passer pour des employés et tentent d’amener le personnel de la paie de l’entreprise à modifier les informations de dépôt direct de l’employé sur son propre compte bancaire. Ces attaques sont plus subtiles et prennent plus de temps mais peuvent être très efficaces.
Dans presque tous les cas, l’objectif des attaquants BEC est d’obtenir de l’argent de l’une des deux manières suivantes : transfert électronique de fonds (y compris la crypto-monnaie) ou cartes-cadeaux. Bien que l’utilisation de cartes-cadeaux pour une attaque comme celle-ci puisse être surprenante, les attaquants ont découvert que c’était un moyen facile de transférer et de blanchir de l’argent.
Comment vous protéger contre les attaques BEC
Les attaques BEC sont vraiment des attaques de fraude à l’ancienne qui utilisent la technologie actuelle : nous avons vu ce type d’escroquerie bien avant qu’il n’y ait des e-mails ou des messages vocaux. Étant donné qu’il ne s’agit pas d’attaques basées sur la technologie, cela signifie que les solutions basées sur la technologie ne seront pas aussi efficaces contre ces attaques que contre, par exemple, les ransomwares. Un e-mail BEC bien conçu, par exemple, est difficile à distinguer pour un logiciel de sécurité d’un e-mail légitime, surtout s’il provient du compte réel – mais compromis – d’une personne en qui vous avez confiance.
Cela signifie que la protection contre les attaques BEC doit se concentrer sur deux choses : vous et vos employés.
Tout d’abord, informez-vous et vos employés sur les attaques BEC. Vous et vos employés devriez apprendre à être méfiants lorsqu’un e-mail inattendu vient du PDG disant « J’ai besoin que vous obteniez 5 000 $ en cartes-cadeaux pour une fête d’anniversaire aujourd’hui, envoyez-moi les chiffres et n’en parlez à personne » dit un un long chemin vers la prévention de ces attaques.
Deuxièmement, renforcez l’importance de vérifier les demandes de paiement et de suivre les règles établies pour le paiement des factures, la modification des informations de dépôt direct et l’achat et l’envoi de cartes-cadeaux. Par exemple, faites savoir aux employés qu’ils doivent appeler un employé ou un fournisseur pour demander un paiement. Assurez-vous qu’ils savent utiliser le numéro que vous avez dans votre dossier et vérifiez que la facture ou la demande est légitime avant de faire quoi que ce soit d’autre. Soulignez que même si les demandes semblent provenir de personnes de haut niveau dans votre entreprise, les employés doivent toujours vérifier. Les attaquants tentent de convaincre les victimes visées de garder ces attaques secrètes afin d’augmenter leurs chances de succès et ils profitent de la réticence des employés à interroger les responsables. Expliquez clairement que les employés peuvent et doivent soulever des questions dans des situations comme celle-ci.
En fin de compte, les attaques BEC réussissent parce que les attaquants trompent leurs victimes en leur faisant croire à leur tromperie. Bien que les attaques BEC utilisent la technologie, elles ne sont en réalité qu’une variante moderne de la fraude et des escroqueries séculaires. Et pour les contrecarrer, il faut donc s’adapter aux nouveaux modes de fonctionnement de ces anciennes fraudes.
La bonne nouvelle est qu’avec une formation et une éducation appropriées et en suivant les politiques et procédures appropriées, vous pouvez déjouer ces attaques. Il vous suffit de prendre le temps de vous informer, ainsi que vos employés, de l’existence de ces escroqueries, de leur fonctionnement et de la bonne façon de traiter les demandes de paiement, quelle que soit la manière dont elles sont transmises.
