La compromission de la messagerie professionnelle (BEC) est une menace de cybersécurité en croissance rapide à laquelle sont confrontées toutes les entreprises, en particulier les petites et moyennes entreprises (PME). L'Internet Crime Complaint Center (IC3) du FBI a déclaré dans son rapport sur la criminalité sur Internet 2020 avoir traité 19,369 1.8 plaintes pour compromission de messagerie professionnelle (BEC) représentant plus de 2020 milliard d'euros de pertes, ajustés aux États-Unis pour cette année-là. À propos de l'auteur Christopher Budd est directeur mondial principal de la communication sur les menaces chez Avast. Les attaques BEC utilisent principalement le courrier électronique, mais peuvent être menées via des messages SMS, des messages vocaux et même des appels téléphoniques. Les attaques BEC sont remarquables car elles s'appuient largement sur des techniques dites d'« ingénierie sociale », ce qui signifie qu'elles utilisent des astuces et des tromperies contre les personnes. Les attaques BEC peuvent être très efficaces et n’importe qui peut en être victime, quelle que soit sa richesse ou sa sophistication. En février 400,000, Barbara Corcoran, la femme d'affaires américaine, investisseur et juge de l'émission de téléréalité économique "Shark Tank", a failli perdre près de XNUMX XNUMX € dans une arnaque au BEC. Heureusement, une action rapide a permis de récupérer l'argent. Mais les statistiques du FBI montrent que tout le monde n’a pas cette chance. Les attaques BEC s’appuyant fortement sur l’ingénierie sociale, les logiciels de sécurité traditionnels ne protègent pas toujours contre elles. Cela signifie que vous et vos employés jouez un rôle important dans la protection contre ces attaques, et pourquoi il est important de comprendre ce que sont les attaques BEC et comment elles fonctionnent.
Comment fonctionnent les attaques BEC
Bien qu’il existe de nombreuses manières de mener les attaques BEC, elles se résument toutes à une formule simple. Un attaquant tentera de convaincre un employé d’envoyer de l’argent aux attaquants en se faisant passer pour quelqu’un en qui il a confiance. Les grévistes tentent souvent de mettre les chances de leur côté de deux manières. Premièrement, ils essaient de rendre leur attaque crédible par l’intermédiaire de la personne qu’ils choisissent de se faire passer pour. Deuxièmement, ils tentent de créer un sentiment d’urgence afin que la victime visée soit moins susceptible de remettre en question la transaction et moins susceptible de passer par les canaux de paiement appropriés susceptibles de détecter l’escroquerie. Parfois, les attaquants combinent intelligemment ces deux tactiques pour améliorer leur efficacité. Par exemple, un type d'attaque BEC que nous avons observé implique qu'un employé reçoive un message urgent du PDG ou d'un autre cadre supérieur lui indiquant qu'il a besoin que l'employé paie une facture en retard ou reçoive des paiements. Cartes cadeaux pour un événement professionnel urgent. un média. Il peut s'agir d'e-mails ou de SMS, mais les attaquants ont même utilisé une technologie usurpée pour imiter les messages vocaux et les appels. En 2019, un dirigeant a perdu 220.000 243.000 € (environ XNUMX XNUMX $) dans une attaque comme celle-ci, lorsque les attaquants ont utilisé une technologie usurpée pour se faire passer pour son PDG. Dans un autre type d'attaque BEC, les attaquants utilisent des comptes de messagerie faux et compromis pour convaincre un employé qu'ils font affaire avec un fournisseur légitime. Les attaquants peuvent échanger plusieurs emails avec la victime ciblée pour la convaincre qu’il s’agit d’un vrai vendeur puis lui envoyer une fausse facture. C’est ainsi que s’est déroulée l’attaque contre Barbara Cocoran. Un troisième type d’attaque BEC cible les salaires des entreprises. Dans ces cas-là, les attaquants se font passer pour des employés et tentent de tromper le personnel de paie de l'entreprise pour qu'il modifie les informations de dépôt direct de l'employé sur son propre compte bancaire. Ces attaques sont plus subtiles et prennent plus de temps, mais peuvent être très efficaces. Dans presque tous les cas, l’objectif des attaquants BEC est d’obtenir de l’argent de deux manières : par transfert électronique de fonds (y compris la crypto-monnaie) ou par carte-cadeau. Bien que l’utilisation de cartes cadeaux pour une attaque comme celle-ci puisse paraître surprenante, les attaquants ont découvert qu’il s’agissait d’un moyen simple de transférer et de blanchir de l’argent.
Comment se protéger des attaques BEC
Les attaques BEC sont des attaques frauduleuses véritablement démodées qui utilisent la technologie d'aujourd'hui ; Nous avons vu ce type d’arnaque bien avant que les e-mails ou les messages vocaux n’existent. Puisqu’il ne s’agit pas d’attaques technologiques, cela signifie que les solutions technologiques ne seront pas aussi efficaces contre ces attaques que contre, par exemple, les ransomwares. Par exemple, un e-mail BEC bien conçu est difficile à distinguer pour un logiciel de sécurité d'un e-mail légitime, surtout s'il provient du compte réel, mais compromis, d'une personne de confiance. Cela signifie que la protection contre les attaques BEC doit se concentrer sur deux choses : vous et vos employés. Tout d’abord, renseignez-vous, ainsi que vos employés, sur les attaques BEC. Vous et vos employés devez apprendre à vous méfier lorsqu'un e-mail inattendu arrive du PDG disant "J'ai besoin que vous obteniez 5,000 XNUMX € de cartes cadeaux pour une fête d'anniversaire aujourd'hui, envoyez-moi les numéros et ne le dites à personne", dit l'un d'entre eux. un long chemin vers la prévention de telles attaques. Deuxièmement, renforcez l’importance de vérifier les demandes de paiement et de suivre les règles établies pour payer les factures, modifier les informations de dépôt direct et acheter et envoyer des cartes-cadeaux. Par exemple, informez les employés qu'ils doivent appeler un employé ou un fournisseur pour demander un paiement. Assurez-vous qu'ils savent comment utiliser le numéro que vous avez dans votre dossier et vérifiez que la facture ou la demande est légitime avant de faire quoi que ce soit d'autre. Insistez sur le fait que même si les demandes semblent provenir de personnes de haut niveau dans votre entreprise, les employés doivent toujours vérifier. Les attaquants tentent de convaincre les victimes ciblées de garder ces attaques secrètes pour augmenter leurs chances de succès, et profitent de la réticence des salariés à interroger les responsables. Expliquez clairement que les employés peuvent et doivent soulever des problèmes dans des situations comme celle-ci. En fin de compte, les attaques BEC réussissent parce que les attaquants incitent leurs victimes à croire à leur tromperie. Bien que les attaques BEC utilisent la technologie, elles ne sont en réalité qu’une variante moderne d’anciennes fraudes et escroqueries. Et pour les contrecarrer, il faut donc s’adapter aux nouveaux modes de fonctionnement de ces vieilles fraudes. La bonne nouvelle est qu’avec une formation et une éducation appropriées, et en suivant les politiques et procédures appropriées, vous pouvez contrecarrer ces attaques. Tout ce que vous avez à faire est de prendre le temps de vous renseigner, vous et vos employés, sur ces escroqueries, leur fonctionnement et la manière appropriée de traiter les demandes de paiement, quelle que soit la manière dont elles sont transmises.