Qu'est-ce que le Business Email Compromise (BEC) ?

Mis à jour le 23 juin 2022 pour refléter les données actuelles.

En raison de l'accessibilité du courrier électronique, nous avons constaté une augmentation des abus qui sont devenus plus sophistiqués au fil des ans. Les attaques par compromission des e-mails professionnels (BEC) ont coûté aux organisations des pertes estimées à 2,4 milliards de dollars en 2021 rien qu'aux États-Unis, rapporte le FBI, qui a reçu un total de 847 376 plaintes, soit une augmentation de 7 % par rapport à 2020. Cet abus de domaine a causé une perte de plus de 26 milliards de dollars à travers le monde et devrait augmenter régulièrement car les gens travaillent de plus en plus à distance.

Qu'est-ce que la compromission des e-mails d'entreprise ?

Le BEC est une forme de cybercriminalité qui utilise la fraude par courriel pour tromper les organisations. Bien que son nom indique qu'elle ne vise que les entreprises, tout propriétaire de domaine peut être touché.

Dans le cadre d'une exploitation BEC, les cybercriminels envoient un courrier électronique socialement modifié qui semble provenir d'une personne que vous connaissez. Il peut sembler provenir d'un cadre ou d'un dirigeant de votre entreprise, d'un partenaire commercial ou d'un fournisseur de la chaîne d'approvisionnement. Ces e-mails vous demandent de révéler des informations commerciales, de demander un paiement, ou d'acheter des cartes-cadeaux qui semblent légitimes mais qui envoient l'argent directement à un criminel.

Souvent, une attaque BEC tente de compromettre votre compte de messagerie. Une fois que les mauvais acteurs ont accès à votre compte, ils peuvent obtenir des informations privées, accéder au réseau informatique de votre entreprise et installer des rançongiciels et autres logiciels malveillants.

Dans un BEC, les attaquants peuvent :

• Les comptes de messagerie et les sites Web falsifiés utilisent de légères variations des adresses légitimes (kelly.smith@example.com vs. kelley.smith@example.com). Les domaines de messagerie non sécurisés peuvent également être usurpés pour faire croire aux victimes que les faux comptes sont authentiques.
• Envoyer des e-mails de spear-phishing. Ces faux e-mails sont censés provenir d'un expéditeur de confiance et invitent les victimes à révéler des informations confidentielles ou à effectuer un paiement.
• Installer des logiciels malveillants. Ce logiciel malveillant peut s'infiltrer dans les réseaux d'une entreprise et accéder aux fils de discussion des courriels concernant la facturation et les factures, ce qui fournit aux criminels les informations sur la manière de minuter les demandes de paiement afin qu'elles ne déclenchent pas de soupçons. Les logiciels malveillants permettent également aux criminels d'accéder aux données personnelles, notamment aux mots de passe et aux informations sur les comptes financiers.

Voici les cinq principaux types de escroqueries BEC identifiés par le FBI :

• Système de fausses factures : Les entreprises ayant des fournisseurs étrangers sont souvent visées par cette tactique, dans laquelle les attaquants se font passer pour des fournisseurs demandant des transferts de fonds pour des paiements sur un compte appartenant aux fraudeurs.
• Fraude au PDG : Les attaquants se font passer pour le PDG ou un autre dirigeant d'une entreprise et envoient un courriel aux employés du service financier pour demander un transfert financier vers un compte illégitime.
• Compromis de compte : Le compte de messagerie d'un employé est piraté et utilisé pour demander le paiement de factures aux fournisseurs figurant dans ses contacts de messagerie. Les paiements sont en fait envoyés sur des comptes bancaires frauduleux.
• Usurpation d'identité d'avocat : Un attaquant se fera passer pour un avocat ou un autre représentant d'un cabinet juridique chargé de questions sensibles. Ces types d'attaques se produisent souvent par courrier électronique à la fin de la journée de travail, lorsque les victimes sont des employés de bas niveau qui n'ont pas les connaissances ou l'autorité nécessaires pour mettre en doute la validité de la communication.
• Vol de données : Les employés des RH et de la comptabilité seront ciblés afin d'obtenir des informations personnelles ou autrement sensibles sur les employés ou les cadres. Ces données peuvent être très utiles pour de futures attaques.

Pourquoi la compromission des e-mails professionnels est-elle un tel problème ?

L'augmentation du nombre d'entreprises en ligne offre aux cybercriminels de plus en plus de possibilités de cibler des personnes dans le cadre d'attaques de type BEC et d'autres formes de cybercriminalité. Le monde assiste à une augmentation de la fréquence, de la complexité et du montant des pertes associées à cette criminalité. Selon un rapport de l'APWG pour le premier trimestre 2022, il y a eu au total 1 025 968 attaques de phishing, soit le nombre le plus élevé jamais enregistré pour un trimestre.

Les criminels sont constamment à la recherche de nouveaux moyens pour victimiser les gens. Ils sont devenus plus sophistiqués depuis l'époque où les attaques de phishing étaient envoyées en masse et aléatoires. Ces acteurs se livrent à d'importantes recherches et exploitent les émotions et les événements actuels tels que les élections, les catastrophes naturelles, les attaques terroristes et les événements mondiaux comme la pandémie de COVID-19.

Quels sont les signes d'alerte d'une attaque BEC ?

Les cybercriminels sont rusés et utilisent des tactiques éprouvées pour exploiter leurs victimes. Soyez attentif à ces signes d'alerte :

• Urgence inexpliquée
• Modifications de dernière minute des instructions de virement ou des informations sur le compte du destinataire.
• Changements de dernière minute dans les plates-formes de communication établies ou les adresses de comptes de courriel
• Communications uniquement par courrier électronique et refus de communiquer par téléphone ou par des plateformes vocales ou vidéo en ligne
• Demandes de paiement anticipé de services lorsque cela n'est pas exigé auparavant
• Des demandes inattendues de la part des employés ou des employeurs pour modifier les informations relatives au dépôt direct.

Les cybercriminels s'adaptent très rapidement lorsqu'ils trouvent un nouveau stratagème ou un événement d'actualité qu'ils peuvent exploiter. En restant conscientes de la façon dont les tactiques évoluent, les organisations pourront prendre les précautions nécessaires pour se défendre contre ces attaques très ciblées et éviter d'être victimes des dernières ruses.

Comment prévenir la compromission des e-mails d'entreprise

En tant que propriétaire de domaine, le premier risque à prendre en compte est l'utilisation abusive de votre/vos domaine(s), l'actif public utilisé pour communiquer au sein de l'organisation et avec les parties prenantes externes comme les clients potentiels, les clients actuels et les fournisseurs. Le risque d'abus du domaine organisationnel est extraordinairement élevé, mais c'est aussi un problème facile à résoudre. 

Rapport et conformité de l'authentification des messages basés sur le domaine (DMARC), une norme Internet ouverte et une meilleure pratique industrielle, combat l'usurpation de domaine et permet aux organisations de prendre le contrôle de leur présence en ligne et de prévenir l'érosion de leur marque causée par une violation de données. À mesure que l'adoption de DMARC dans l'écosystème de la messagerie électronique s'accélère, le canal vital de communication par courrier électronique et l'internet dans son ensemble deviendront plus sûrs.

En tant qu'utilisateur final, voici quelques moyens de vous protéger contre les attaques de BEC et de phishing :

• Ne donnez jamais d'identifiants de connexion, de numéros de compte ou d'informations permettant de vous identifier personnellement en réponse à un courriel.
• Faites attention aux informations que vous partagez sur les médias sociaux. Vous pouvez fournir par inadvertance aux criminels les informations dont ils ont besoin pour deviner votre mot de passe, répondre à vos questions de sécurité ou créer un canular.
• Ne cliquez pas sur les liens ou n'ouvrez pas les pièces jointes d'un courriel ou d'un message texte non sollicité vous demandant de mettre à jour ou de vérifier des informations sur votre compte. Recherchez plutôt le numéro de téléphone de l'entreprise (n'utilisez pas celui qui figure dans le courriel douteux) et appelez l'entreprise pour demander si la demande est légitime.
• Examinez attentivement l'adresse électronique, l'URL, l'orthographe et la grammaire. Les escrocs utilisent de légères différences pour tromper votre regard et gagner votre confiance.
• Configurez une authentification à deux ou plusieurs facteurs.
• Vérifiez les demandes de paiement et d'achat en temps réel pour vous assurer qu'elles sont légitimes. Vous devez également vérifier tout changement de numéro de compte ou de procédure de paiement auprès de la personne qui fait la demande.
• Soyez particulièrement vigilant si la demande est urgente, si le temps presse ou si elle joue sur vos émotions. Ce sont des techniques de tromperie ancestrales.

Il est extrêmement important de vous informer, vous et vos employés, sur les dangers des BEC, car un système de messagerie électronique compromis peut causer des dommages durables à la réputation et aux finances de votre organisation. En étant conscient des risques et en mettant en place des mesures de sécurité, vous contribuerez à tenir les problèmes à distance.

Comment dmarcian peut aider

Pour la plupart des organisations, le processus de mise en œuvre de DMARC est une rare occasion de se concentrer sur leur posture de sécurité Internet. Dans un premier temps, vous pouvez utiliser notre vérificateur de domaine pour analyser le statut de votre/vos domaine(s).

Nos experts seront heureux de vous expliquer comment améliorer radicalement la posture de sécurité de votre organisation. Contactez nous pour en savoir plus ou pour vous inscrire à un essai gratuit et obtenir de l'aide en cours de route.

Vous voulez continuer la conversation ? Rendez-vous sur le forum dmarcien.