94 % des violations de données résultent d’une attaque par email visant des employés et selon le FBI, les attaques BEC auraient couté environ 1.6 milliard d’euros aux entreprises du monde entier l’an dernier.
Il est très facile de se faire piéger par un email malveillant car les cybercriminels continuent de cibler les individus avec des messages d’ingénierie sociale hautement personnalisés. Les attaques par compromission d’emails professionnels (BEC) et les attaques par compromission de comptes internes (EAC) touchent les entreprises de toutes tailles et de tous les secteurs.
Ces attaques représentent la menace la plus coûteuse parmi toutes les activités cybercriminelles. Selon Gartner, le nombre d’attaques BEC va continuer à doubler chaque année d’ici 2023, entraînant plus de 5 milliards de dollars de pertes pour les entreprises. Stopper les attaques BEC et EAC est une priorité pour les entreprises car ce type de menace échappe aux systèmes de sécurité classiques de la messagerie électronique ; il ne s’appuie pas sur les méthodes traditionnelles de diffusion de logiciels malveillants.
Au contraire, les messages de type BEC sont conçus pour donner l’impression d’émaner de personnes de confiance et inciter les victimes à envoyer de l’argent ou des informations sensibles à des cybercriminels. Difficile de faire la différence entre un email authentique et une escroquerie provenant d’un imposteur.
Les acteurs de la menace profitent de la psychologie humaine pour tromper les utilisateurs et abuser de leur confiance détournant ainsi des milliards d’euros aux victimes.
Pour mieux comprendre ces menaces, voici un tour d’horizon des attaques BEC et EAC les plus médiatisées et les plus marquantes de ces 2 dernières années.
· Barbara Corcoran, de l’émission « Shark Tank » aux US, victime d’un email malveillant
Si ABC TV décrit les stars de son émission à succès « Shark Tank » comme « des magnats coriaces, autodidactes et multimillionnaires » cela ne veut pas dire qu’ils ne peuvent pas être dupés. Barbara Corcoran, l’une des juges de l’émission a été volée de près de 400 000 dollars par une escroquerie de type BEC en février alors que son comptable payait les frais d’une rénovation immobilière sur l’ordre de l’assistant de Corcoran.
En réalité, l’adresse email de celui-ci était similaire à une lettre près de l’authentique adresse email. S’il n’y avait pas de raison d’être suspicieux, l’équipe informatique a pu réagir rapidement, retraçant l’attaque jusqu’à une adresse IP chinoise. L’argent a depuis été restitué. Le fait qu’un email semble être routinier – et donc non suspect – est l’une des principales caractéristiques des attaques BEC.
· L’île de Porto Rico perd 4 millions de dollars lors de 3 attaques BEC distinctes
Porto Rico a perdu plus de 4 millions de dollars lors de trois attaques distinctes de type BEC contre des agences gouvernementales en 2020. L’escroquerie a commencé lorsqu’une personne a compromis l’ordinateur d’un responsable financier du service Emploi et Retraites de la ville de Porto Rico, environ un mois plus tôt.
En utilisant le compte du collaborateur à son insu, l’attaquant a ensuite envoyé un email à plusieurs collègues d’autres agences. L’email en question demandait aux destinataires de modifier les numéros de compte bancaire utilisés pour les versements…
· Attaque par usurpation de nom de domaine auprès de l’association anglaise Red Kite
Red Kite Community Housing est une association à but non lucratif, basée près de Londres. L’association caritative possède et gère plus de 6 500 logements dans la région de Wycombe, qu’elle loue aux plus démunis à des taux inférieurs à ceux du marché. Seulement, fin août 2019, Red Kit a été victime d’une attaque BEC lui ayant coûté près d’un million d’euros (932 000 £).
Selon les sources, des cybercriminels se sont fait passer pour l’un des fournisseurs de Red Kite en enregistrant un domaine similaire et amenant leur victime à transférer de l’argent sur le compte bancaire de l’attaquant. Si l’association avait pourtant mis en place une double authentification, l’humain a été le maillon faible dans cette histoire. En effet, l’employé en question a été trompé par un email malveillant et n’a pas suivi les procédures réglementaires habituelles.
· Abus de confiance pour les fidèles des temples et synagogues juives
Pour qu’une attaque de type BEC fonctionne, l’expéditeur de l’email doit être une personne de confiance : un collègue, un partenaire commercial ou un patron. Pour de nombreux Juifs des États-Unis, une figure d’autorité digne de confiance peut également être le rabbin de leur lieu de culte.
Un groupe de cybercriminel en a alors profité pour cibler plusieurs régions aux Etats-Unis se faisant passer pour un rabbin local et demandant aux fidèles d’acheter des cartes-cadeaux en vue d’une collecte de fonds et voler ainsi jusqu’à parfois 2000€. Cette escroquerie fonctionne précisément parce qu’un fidèle a confiance en son clergé. Ces organisations doivent donc redoubler de vigilance face à ce type de menaces en plein essor.
· Toyota Boshoku, victime majeure de l’ingénierie sociale
Les attaques de type BEC visent aussi bien des petites que des grandes organisations. Dernière victime d’envergure en date : Toyota Boshoku. La filiale de Toyota, qui fournit des sièges et d’autres pièces automobiles, a été escroquée de 30 millions d’euros en août 2019. Aussi simple que banal, une personne se faisant passer pour un partenaire commercial a envoyé des emails à des membres du service financier et comptable de l’entreprise, leur demandant de verser de l’argent sur le compte de l’attaquant.
Si l’entreprise affirme qu’elle a rapidement pris conscience de la fraude, cette attaque fait office de cas d’école. Elle illustre comment l’ingénierie sociale peut contourner même les cyberdéfenses les plus fiables puisqu’il s’agit de viser des personnes et non les infrastructures.
· Ocala en Floride, les villes et collectivités ne sont pas épargnées
La petite ville d’Ocala en Floride (comptant quand même plus de 300 000 habitants, agglomération comprise) n’a pas été épargnée par la vague de cyberattaques qui touche les villes des Etats-Unis depuis 2 ans. En septembre 2019, la ville s’est fait escroquer de plus de 610 000€. Comme la plupart des attaques de type BEC, celle-ci a commencé par un email adressé au responsable de la comptabilité de la ville.
Lors d’un projet de construction d’un terminal d’un aéroport voisin, l’attaquant s’est fait passer pour un comptable de l’entreprise en charge du projet afin de soutirer de l’argent. Le prétendu email utilisait le nom d’un ancien employé de l’entreprise de construction et un domaine de messagerie électronique similaire qui ne se différenciait que d’une lettre – un « s » supplémentaire – du domaine réel.
· Le musée Rijksmuseum Twenthe aux Pays-Bas trompé par un faux marchand d’art
Les cybercriminels visent des gains importants lorsqu’ils s’attaquent à des banques, des entreprises ou des agences gouvernementales. Il n’est donc pas surprenant qu’ils s’en prennent également aux marchands d’art et aux musées, qui vendent des œuvres de grande valeur. Le Rijksmuseum Twenthe, un musée national à Enschede, aux Pays-Bas, a été délesté de 2,5 millions d’euros par un cybercriminel se faisant passer pour un marchand d’art londonien bien connu.
Le musée négociait par email depuis des mois avec le marchand pour acheter un tableau du peintre anglais John Constable. C’est bien entendu une fois la négociation terminée et le virement fait que l’argent s’est retrouvé sur un compte à Hong Kong.
Tous ces exemples sont la preuve que les attaques BEC sont en plein essor. Les moyens se multiplient, que ce soit via des détournements de salaire ou des chèques-cadeaux, touchant des organisations de toutes tailles et de tous secteurs. Ces attaques sont particulièrement difficiles à détecter et il est très facile de tomber dans le piège d’un email envoyé par un imposteur. Cependant, il n’est jamais trop tard – ou trop tôt – pour commencer à développer une stratégie de défense solide contre les menaces de type BEC/EAC. Parce que ces attaques se concentrent sur la faiblesse humaine plutôt que sur les vulnérabilités techniques, elles nécessitent une défense centrée sur l’humain
Il ne faut pas sous-estimer l’importance d’une formation auprès des employés afin de les préparer au mieux à ce type de menace. Les sensibiliser davantage réduit les risques et permet de neutraliser ces menaces si elles atteignaient les boîtes de réception
