Les attaques Business Email Compromise (BEC), dans lesquelles les acteurs de la menace usurpent l'identité des dirigeants d'entreprise par e-mail et tentent d'inciter les employés à envoyer un virement bancaire ou similaire, deviennent mobiles, ont averti les experts en toute sécurité.
Un rapport ( s'ouvre dans un nouvel onglet ) de Trustwave a révélé que le nombre d'attaques BEC qui exploitent le service de messages courts (SMS) au lieu du courrier électronique n'a cessé d'augmenter.
Le processus est presque identique : l'attaquant contacte la victime, se présente comme l'un des dirigeants de l'entreprise et partage une copie d'un rapport d'ancienneté. Dans le même message, ils demandaient à la victime d'initier un virement bancaire, de créer un compte de paie ou de transférer les fonds de l'entreprise d'une autre manière.
Plus puissant que le courrier électronique
Selon les chercheurs, il existe de nombreux avantages à utiliser les SMS pour les attaques BEC au lieu des e-mails. Le plus évident est qu'il y a moins d'éléments qui pourraient rendre la cible suspecte. Alors que chaque e-mail contient l'adresse de l'expéditeur, ce qui peut être le premier moyen de vérifier une éventuelle fraude, un message SMS ne contient que le numéro de téléphone et, dans de nombreux cas, les employés n'ont pas les numéros de leurs patrons et il est possible de ne pas vérifier les.
De plus, les attaquants peuvent rejeter un appel téléphonique potentiel, disant qu'ils sont en réunion ou incapables de répondre à l'appel. Enfin, la communication par SMS est beaucoup plus rapide que le courrier électronique, ce qui permet aux acteurs de la menace de faire le travail beaucoup plus rapidement, et Trustwave souligne également un rapport de la Federal Communications Commission (FCC) indiquant que les messages texte SMS Unrequestable ont triplé en 2022 par rapport à 2019.
Initier des virements électroniques est également quelque chose qui peut éveiller les soupçons, c'est pourquoi les escrocs demandent souvent aux victimes d'acheter une carte-cadeau. Ils ont promis aux victimes que leur achat serait remboursé. La plupart du temps, les escrocs demandaient à leurs cibles d'acheter des cartes-cadeaux auprès de Target, Google Play, Apple, eBay ou Walmart.
Pour se protéger contre les attaques BEC par SMS, les entreprises doivent éduquer leur personnel sur la sécurité (ouvre dans un nouvel onglet) et leur demander de toujours vérifier l'identité des personnes lors de la communication par SMS, a déclaré Trustwave.
En outre, ils doivent informer leurs employés que les données privées peuvent être exfiltrées des comptes de médias sociaux et utilisées dans des attaques, et enfin, ils doivent insister sur l'authentification multifacteur (MFA) dans la mesure du possible, pour rendre difficile l'accès des autres à la menace. acteurs. systèmes précieux.
