Qu'est-ce que la compromission du courrier électronique d'entreprise (BEC) et comment prévenir les attaques BEC ?
Apprenez à protéger les environnements de messagerie et à prévenir les attaques de type "Business Email Compromise" (BEC) au sein de votre organisation.
Qu'est-ce que le BEC ?
Le courrier électronique, également connu sous le nom de courriel, est l'une des plus importantes inventions commerciales de la fin duXXe siècle. Il permet aux professionnels d'échanger rapidement des messages entre des appareils situés à proximité ou à l'autre bout du monde. Nombre de ces messages contiennent des instructions, des commandes, des demandes, des pièces jointes et d'autres types de communication.
Dans les environnements de travail rapides, les utilisateurs font souvent confiance au système de messagerie électronique pour optimiser la productivité et le flux de travail. Et les acteurs de la menace tirent parti de cette même confiance dans le système pour lancer des attaques de type "business email compromise" (BEC) de manière si efficace. Les escroqueries et les fraudes par BEC constituent aujourd'hui une menace si importante que le FBI les a qualifiées de "l'un des crimes en ligne les plus préjudiciables sur le plan financier".
Lisez ce guide approfondi pour en savoir plus :
- Qu'est-ce que la compromission du courrier électronique professionnel ?
- L'objectif principal de la compromission du courrier électronique professionnel.
- Exemples d'attaques BEC.
- Comment prévenir la compromission des courriels d'entreprise.
Définition de la compromission du courrier électronique professionnel : Qu'est-ce que la compromission des courriers électroniques professionnels (BEC) ?
Voici une brève définition de la compromission des courriers électroniques professionnels : Le BEC est une forme de cybercriminalité et d'attaque d'ingénierie sociale dans laquelle les fraudeurs utilisent le courrier électronique pour inciter une cible à envoyer de l'argent ou à partager des données sensibles dans le cadre d'un délit financier. L'acteur de la menace peut utiliser le courrier électronique de différentes manières dans le cadre d'une escroquerie de type BEC, allant d'une attaque par usurpation d'identité à la compromission d'un compte de messagerie (EAC).
PRÉVENIR LES ATTAQUES DE RANSOMWARE DÈS AUJOURD'HUI.
Ultimate visibilité, détection et remédiation pour éradiquer les ransomwares et autres logiciels malveillants des points d'extrémité de votre entreprise. Découvrez ThreatDown EDR basé sur le cloud, avec ransomware rollback en 72 heures, et des modules complémentaires de sécurité flexibles tels que Device Control, DNS Filtering et Cloud Storage Scanning.
ESSAYEZ GRATUITEMENT UNE SOLUTION D'ENTREPRISE
Comment prévenir la compromission des courriels d'entreprise
Courriel sécurisé
Utilisez les filtres anti-spam et anti-malware de votre messagerie pour bloquer les courriels dangereux. Ajoutez des logiciels de sécurité aux outils de protection intégrés à votre messagerie électronique afin de maximiser votre défense contre les BEC. Envisagez de crypter les données sensibles lorsque vous les envoyez par courrier électronique afin d'éviter les écoutes clandestines. Enfin, signalez les courriels dont les adresses de départ et de réponse ne correspondent pas.
Authentification multifactorielle (MFA)
L'AMF peut atténuer le risque qu'un pirate utilise des identifiants de connexion volés pour accéder à un compte de messagerie dans le cadre d'une escroquerie de type BEC. Avec le MFA, un acteur de la menace peut avoir besoin d'une deuxième forme d'identification pour accéder à un compte de messagerie. Tous les employés à haut risque de votre organisation, y compris les cadres, les professionnels de la finance, les ressources humaines et les administrateurs, doivent activer le MFA sur les comptes de messagerie de l'entreprise.
Culture de la cybersécurité
Votre organisation peut améliorer considérablement sa position en matière de cybersécurité grâce à la formation. Voici quelques pratiques que les employés devraient s'efforcer de suivre :
- Ne cliquez jamais sur des liens de courriels non sollicités, car ils peuvent conduire les utilisateurs vers des sites web malveillants ou des logiciels malveillants.
- Évitez de partager des informations confidentielles en ligne, telles que les détails d'une transaction commerciale ou des projets de voyage. Les acteurs de la menace peuvent utiliser des informations sensibles pour créer des attaques de spear phishing plus convaincantes.
- Réfléchissez bien avant de télécharger un logiciel inconnu.
Exercices sur la compromission des courriels d'entreprise
Travaillez avec votre équipe de sécurité pour effectuer des simulations d'attaques d'ingénierie sociale. Ces exercices permettront à votre personnel de rester vigilant et d'identifier les points faibles dans la lutte contre les escroqueries par compromission des courriers électroniques professionnels. Veuillez également mettre à jour régulièrement vos politiques et vos formations afin de maintenir votre position de cybersécurité renforcée.
Paiements sécurisés
Utilisez toujours des moyens de paiement sécurisés. Évitez d'envoyer des paiements par le biais de cartes-cadeaux ou de dépôts de crypto-monnaies. Lorsque vous envoyez un virement bancaire, vérifiez les informations bancaires avec vos dossiers.
Authentification par courrier électronique
Apprendre à reconnaître les courriels d'hameçonnage est essentiel pour réduire le risque d'escroquerie BEC. Voici quelques conseils qui peuvent aider les employés à authentifier les courriels :
- Faites attention à la terminologie inhabituelle, aux salutations étranges ou aux fautes de grammaire et d'orthographe.
- Évitez d'ouvrir des pièces jointes non sollicitées.
- Méfiez-vous des demandes de mots de passe ou d'autres données sensibles.
- Vérifiez toujours l'adresse électronique pour vous assurer qu'elle correspond à celle de l'expéditeur.
- Examinez attentivement les demandes de transfert de fonds par courrier électronique.
- Méfiez-vous des factures dont le délai de paiement est trop court.
- Vérifiez par deux fois les demandes de paiement inhabituelles, même si elles émanent d'entités en qui vous avez confiance.
- Examinez les demandes de paiement qui vous obligent à sauter les contrôles d'autorisation.
- Faites confiance à votre instinct si vous remarquez quelque chose d'inhabituel dans une demande de paiement. Respirez profondément et commencez par enquêter.
Sécurité des points finaux
Utiliser un logiciel anti-malware sur tous les appareils pour se protéger contre les logiciels espions. Nous recommandons aux entreprises de déployer le logicielendpoint protection pour protéger les ordinateurs de bureau, les ordinateurs portables et les smartphones contre les programmes malveillants qui peuvent aider les escrocs à réaliser des opérations d'escroquerie.
Sécurité du serveur
Les menaces qui pèsent sur vos serveurs peuvent être encore plus mortelles que celles qui pèsent sur vos points d'accès. Après avoir pénétré vos points finaux, les acteurs de la menace peuvent accéder à des données critiques telles que les données financières, la propriété intellectuelle et bien plus encore, afin de créer des escroqueries de type BEC qui sont presque identiques à des courriels authentiques. Investissez dès aujourd'hui dans la sécurité de vos serveurs pour mettre fin aux pertes de temps, d'argent, de productivité et de réputation de votre entreprise.
Gestion de la chaîne d'approvisionnement
Créez des protocoles de sécurité pour vérifier les demandes de paiement, les courriels et les demandes de renseignements émanant de vos fournisseurs et vendeurs. Authentifiez toute demande inhabituelle, telle qu'un changement de coordonnées ou d'informations de paiement.
Ne laissez pas les premiers signes d'une violation passer inaperçus.
Découvrez ThreatDown Endpoint Security et Antivirus Business Products :
Endpoint Protection pour les serveurs
Endpoint Detection and Response (EDR) pour les serveurs
Service de gestion de la détection et de la réponse (MDR)
Comment fonctionne la compromission des courriers électroniques professionnels (BEC) ?
Une attaque typique de compromission du courrier électronique d'une entreprise comporte généralement plusieurs phases :
1. Collecte de renseignements
Les attaquants font des recherches sur la cible, qu'il s'agisse d'une personne, comme le directeur financier d'une entreprise ou l'agent de voyage d'une petite entreprise, ou d'une équipe, comme le service des ressources humaines ou de la comptabilité d'une organisation. Ils peuvent également recueillir des informations sur les fournisseurs, les partenaires commerciaux, les clients, les employés, les systèmes de messagerie et les mesures de cybersécurité de l'organisation cible.
Les outils utilisés par les acteurs de la menace pour la collecte de renseignements comprennent les moteurs de recherche et les pages de médias sociaux comme LinkedIn. L'objectif de la collecte de renseignements est d'élaborer un profil précis pour une attaque d'ingénierie sociale convaincante et d'identifier les cibles les plus vulnérables.
2. Planification
Après avoir recueilli des renseignements, les attaquants déterminent les meilleures méthodes et les meilleurs outils pour obtenir le meilleur retour sur investissement de l'attaque BEC. Par exemple, ils peuvent utiliser un compte de courrier électronique usurpé, un site web usurpé, un compte de courrier électronique piraté, des attaques de phishing ou un ordinateur ou un appareil infecté par des logiciels malveillants.
3. Le toilettage
Selon la nature de l'attaque, les acteurs de la menace peuvent utiliser différentes tactiques d'ingénierie sociale pour préparer leurs cibles et finalement utiliser leur pouvoir de persuasion pour les amener à prendre de mauvaises décisions. Ils peuvent également essayer de reproduire des processus de travail courants, comme la demande d'un mot de passe ou l'envoi d'un document important.
L'objectif du toilettage peut être l'un des suivants :
- Plus de collecte de renseignements.
- Déposer des logiciels malveillants tels que des chevaux de Troie ou des logiciels espions.
- Piratage d'un compte de messagerie.
- Préparation d'une cible pour l'avant-dernière phase de l'attaque de compromission du courrier électronique d'entreprise.
4. Exécution
Bien que la nature de la phase d'exécution dépende du type d'attaque, elle implique presque toujours une usurpation d'identité par le biais du courrier électronique.
Voici quelques scénarios de BEC :
- Les employés du service financier d'une entreprise reçoivent un courriel d'un cadre de l'entreprise demandant un transfert de paiement. Le courriel provient d'un compte de messagerie usurpé qui semble réel parce que l'adresse ne diffère que légèrement de l'adresse réelle.
- Les pirates envoient un courriel à un partenaire commercial à partir du compte piraté d'un PDG, lui demandant d'effectuer un virement pour une transaction commerciale.
- Les défendeurs d'une affaire en cours reçoivent un courriel urgent de leur avocat leur demandant d'effectuer un dépôt sur un compte bancaire.
- Après avoir accédé au compte de courrier électronique d'un responsable des comptes clients à l'aide d'un logiciel malveillant, les escrocs envoient des factures avec leurs propres numéros de compte bancaire à tous les clients de l'entreprise.
- Un courriel provenant du compte d'un détaillant piraté demande aux clients des informations sensibles telles que des numéros de carte de crédit.
5. Gain monétaire
Que les pirates utilisent des courriels usurpés, de faux courriels ou des logiciels malveillants dans le cadre d'une escroquerie à la compromission des courriels d'entreprise, l'objectif est toujours de réaliser un gain pécuniaire. L'argent est souvent envoyé à l'étranger, où il est difficile de le retracer.
BEC vs EAC
LeFBI ( ) et plusieurs autres experts décrivent la compromission des courriers électroniques professionnels (BEC) et la compromission des comptes de messagerie (EAC) comme étant la même chose. Toutefois, certains experts considèrent l'EAC comme une variante proche de la BEC. Si vous voulez entrer dans les détails, vous pouvez considérer l'EAC comme un sous-ensemble de la BEC.
En bref, BEC est un terme générique qui désigne tout type de fraude par courrier électronique que les pirates utilisent pour inciter les victimes à envoyer de l'argent. Par exemple, les attaquants peuvent utiliser des adresses électroniques usurpées, des sites web usurpés, le spear phishing et des comptes de messagerie piratés pour mener à bien une attaque de compromission de la messagerie d'entreprise.
L'EAC est un type de fraude par courrier électronique dans lequel les attaquants utilisent un compte de courrier électronique piraté. Les méthodes habituelles de piratage d'un compte de messagerie pour l'EAC comprennent le phishing, les attaques par force brute et le bourrage d'informations d'identification. Ils peuvent également utiliser des enregistreurs de frappe pour voler les identifiants de connexion de la victime.
BEC vs Phishing
La question de la compromission des courriels d'entreprise par rapport à l'attaque par hameçonnage peut sembler confuse, mais c'est assez simple. Une attaque par hameçonnage est une sorte d'attaque d'ingénierie sociale dans laquelle les attaquants utilisent des courriels compromis à diverses fins, notamment le vol d'identité, le vol de propriété intellectuelle, le harcèlement, les infections par des logiciels malveillants, la collecte de renseignements et l'escroquerie par contournement.
Par exemple, ils peuvent utiliser le spear phishing pour pirater le compte e-mail d'un PDG ou l'inciter à envoyer un virement sur le compte bancaire d'un fraudeur. Les attaques de spear phishing qui ciblent les PDG pour une escroquerie BEC peuvent également être définies comme du whale phishing.
Si vous vous posez la question, consultez notre section "Les bases de la cybersécurité" : Qu'est-ce qu'une attaque de baleine?
Types de compromission du courrier électronique professionnel
- Prise de contrôle d'un compte de courrier électronique professionnel : Ces attaques visent généralement des professionnels tels que des cadres ou des professionnels de la finance. Après avoir piraté le compte, l'auteur de la menace demande de l'argent aux contacts de la victime, tels que des clients ou des fournisseurs.
- Spear phishing : le spear phishing est une version plus ciblée du phishing qui vise une personne ou un petit groupe de personnes. Contrairement aux attaques de phishing classiques, les attaques de spear phishing sont plus dangereuses car elles sont personnalisées pour tromper une cible spécifique.
- Logiciels malveillants : les fraudeurs BEC peuvent utiliser différents types de logiciels malveillants pour détourner le compte d'un cadre financier afin d'initier diverses escroqueries.
- Le vol de données: Le vol de données est parfois un tremplin pour un attaquant BEC. Ils peuvent utiliser les données sensibles volées pour créer des escroqueries BEC plus crédibles ou pirater des comptes de messagerie.
- Fraude au PDG: Dans cette escroquerie, les fraudeurs piratent ou usurpent le compte de messagerie d'un cadre supérieur pour inciter un employé, un partenaire commercial ou un vendeur à envoyer des fonds, généralement par virement bancaire. L'escroc peut également demander des cartes-cadeaux ou des informations sensibles.
- Usurpation de l'identité d'un avocat : Les cabinets d'avocats sont la cible de ces escroqueries. Après avoir piraté le compte de messagerie d'un avocat, l'escroc tente d'escroquer les clients du cabinet, généralement à l'aide de fausses factures.
- Escroquerie aux fausses factures : Les clients des cabinets d'avocats ne sont pas les seules entreprises victimes d'escroqueries aux fausses factures. Les clients des agences immobilières, des concepteurs de sites web et d'autres petites et moyennes entreprises peuvent être la proie de ces attaques BEC.
- Compromission par courriel du fournisseur : les entreprises américaines et européennes qui ont des fournisseurs à l'étranger sont des cibles typiques de ce type d'attaque BEC. Les escrocs se font passer pour des fournisseurs qui demandent à être payés. Le décalage horaire et les barrières linguistiques ajoutent à la confusion et convainquent les entreprises de payer les factures frauduleuses qui semblent urgentes.
- Les escroqueries à la carte-cadeau : Au lieu de demander des virements électroniques, de nombreux fraudeurs BEC de bas niveau demandent des paiements par carte-cadeau, car ces moyens de paiement sont presque impossibles à tracer. Toutefois, les escroqueries à la carte-cadeau sont généralement moins préjudiciables financièrement que les escroqueries à la compromission des courriels d'affaires par virement bancaire.
- Les escroqueries par détournement de paiement: Un escroc se faisant passer pour un PDG peut demander au service financier d'interrompre un paiement en cours et de l'envoyer sur un autre compte, conformément à la "demande du vendeur" dans ce type d'escroquerie.
- Attaque de l'homme du milieu (MitM) : Un pirate informatique intercepte le trafic entre deux entités pour recueillir des informations ou manipuler la communication dans le cadre d'une attaque MitM. L'attaque MitM peut permettre aux attaquants BEC de voler les identifiants de connexion à des comptes de courrier électronique pour lancer leur campagne de fraude.
- Le "credential stuffing" (bourrage d'informations) : Lorsque les attaquants "insèrent" des "informations d'identification" volées dans un système de connexion dans l'espoir d'obtenir un accès non autorisé à un compte de messagerie, la technique est appelée "credential stuffing" (bourrage d'informations d'identification). Les organisations qui évitent de changer périodiquement leurs mots de passe sont plus exposées aux escroqueries par BEC alimentées par le bourrage d'informations d'identification.
Exemples de compromissions de courriers électroniques professionnels
Le BEC est une nouvelle forme de criminalité qui peut toucher une organisation de toute taille ou de tout secteur d'activité. Les petites et grandes entreprises doivent prendre des mesures de précaution pour réduire le risque de compromission des courriels professionnels. Voici quelques-uns des exemples récents les plus tristement célèbres d'incidents de compromission de courriels d'entreprise :
- 2013-2015: Les leaders technologiques Facebook et Google ont perdu plus de 120 millions de dollars dans une escroquerie BEC qui a utilisé le nom d'un véritable fournisseur de matériel informatique.
- 2015 : L'entreprise informatique Ubiquiti a perdu plus de 45 millions de dollars à la suite d'une escroquerie de type BEC dans laquelle les acteurs de la menace se sont fait passer pour un fournisseur.
- 2019 : La célèbre société automobile Toyota a été touchée par plusieurs attaques BEC au fil des ans. En 2019, une filiale européenne de l'entreprise a perdu près de 40 millions de dollars à la suite d'une escroquerie BEC.
- 2020 : Faisant la une des journaux du monde entier, le gouvernement de Porto Rico a été piégé par un escroc qui lui a fait verser 2,6 millions de dollars sur un compte frauduleux.
Exemple de compromission d'un courriel d'entreprise de paiement
Cher [Votre nom],
J'espère que ce courriel vous trouvera en bonne santé. Nous avons une demande de paiement urgente qui requiert votre attention immédiate. Notre société a récemment fourni des services à votre organisation et nous n'avons pas encore reçu le paiement du solde.
C'est pourquoi nous vous demandons de bien vouloir effectuer le paiement dans les meilleurs délais afin d'éviter tout retard supplémentaire. Vous trouverez ci-joint la facture à titre de référence. Les détails du paiement sont les suivants :
Nom de la banque : [Nom de la banque]
Nom du compte : [Nom du compte]
Numéro de compte : [Numéro de compte]
Code Swift : [Code Swift]
Montant dû : [Montant dû]
Nous vous serions reconnaissants de bien vouloir régler ce paiement dans les prochaines 24 heures et de nous fournir les détails de la confirmation une fois le paiement effectué. Si vous avez des questions, n'hésitez pas à nous contacter.
Nous vous remercions de l'attention que vous porterez rapidement à cette question.
Je vous prie d'agréer, Monsieur le Président, l'expression de mes sentiments distingués,
[Nom].
[Titre]
[Nom de l'entreprise]
Exemple de compromis d'entreprise juridique
Objet : Question juridique urgente - Veuillez répondre dès que possible
Cher [Votre nom],
J'espère que ce courriel vous conviendra. Je m'appelle John Smith et je suis un avocat représentant la société XYZ dans le cadre d'une affaire juridique impliquant votre entreprise. Notre client nous a demandé de vous contacter directement à ce sujet.
Nous avons eu connaissance d'une affaire urgente qui doit être traitée immédiatement et nous vous demandons de répondre à ce courriel dans les plus brefs délais. Nous aimerions également planifier un appel téléphonique pour discuter des détails de l'affaire.
Veuillez noter que cette communication est confidentielle et privilégiée et qu'elle ne doit pas être divulguée à des tiers sans notre consentement écrit exprès.
Nous vous remercions de l'attention que vous porterez à cette question.
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées,
John Smith
Avocat
Fraude du chef d'entreprise Exemple de compromission d'un courriel d'entreprise
Objet : Demande urgente - Virement bancaire
Cher [Votre nom],
J'espère que vous passez une journée productive. Comme vous le savez, nous sommes au cœur d'une importante opération commerciale qui nous oblige à transférer un montant substantiel de fonds à nos partenaires étrangers. Malheureusement, le traitement du virement a été retardé en raison d'un problème lié à notre système bancaire.
Compte tenu de ce retard, je vous demande instamment de transférer la somme de [montant] sur le compte suivant [coordonnées du compte]. Veuillez vous assurer que le transfert est effectué immédiatement, car le temps est un facteur essentiel dans cette affaire.
Je comprends qu'il s'agit d'une demande inhabituelle, mais je vous assure qu'il s'agit d'une étape nécessaire pour garantir le succès.
Comprendre l'objectif principal de la compromission du courrier électronique professionnel
L'objectif principal de la compromission d'un courriel d'entreprise est d'inciter une cible à transférer de l'argent, généralement par virement bancaire. Certains fraudeurs demandent également des cartes-cadeaux, tandis que d'autres essaient de voler des données confidentielles pour pirater des comptes de messagerie.
Bien que l'objectif d'une escroquerie BEC soit presque toujours financier, les attaquants peuvent utiliser une combinaison de différentes méthodes pour atteindre leurs objectifs, telles que les logiciels malveillants, les fausses factures, l'usurpation d'identité et le spear phishing. La cible ultime de ces attaques est constituée par les personnes qui ont la possibilité d'envoyer de l'argent, comme les dirigeants d'entreprise, les directeurs financiers et les clients de cabinets d'avocats ou d'agences immobilières. Les fournisseurs sont également la cible de ces escroqueries, en particulier dans le cadre d'une attaque ciblée sur l'offre.
Risques de compromission du courrier électronique professionnel (BEC)
- Pertes financières : Les organisations peuvent subir des pertes financières importantes.
- Atteinte à la réputation : Les partenaires commerciaux peuvent perdre confiance dans une entreprise trompée par une escroquerie BEC.
- Pertes opérationnelles : Payer un escroc au lieu du fournisseur peut entraîner de graves problèmes de trésorerie à court et à long terme.
- Questions de conformité : Une violation de données entraînant le vol d'informations sensibles sur les clients peut entraîner des problèmes juridiques.