La recrudescence des attaques d’e-mails frauduleux menace sérieusement les finances des entreprises

Parmi leurs dernières techniques d'attaque informatique en date figurent les e-mails d’imposteurs, ou Business Email Compromise, une méthode d’ingénierie sociale pour inciter des employés à envoyer volontairement de l’argent ou des données sensibles appartenant à l’entreprise.

Selon le FBI, les pertes induites au niveau mondial ont atteint 3,1 milliards de dollars, et nos propres recherches indiquent que ce phénomène n’est pas près de ralentir.

La fraude par e-mail d’imposteur commence fréquemment par un message urgent prétendant provenir d’un haut responsable de l’entreprise et demandant le virement immédiat de fonds sur un certain compte ou la communication d’informations confidentielles, toujours sous le sceau du secret. Face à l’aspect généralement authentique du message, le destinataire obtempère souvent, transmettant ainsi des fonds ou des informations confidentielles à des escrocs. Les escroqueries de type BEC (ou Business Email Compromise) ciblent les entreprises de toutes tailles et de tous secteurs, par conséquent aucune n’en est à l’abri.

A la différence de la plupart des attaques visant les entreprises par courriel, les e-mails d’imposteurs ne comportent en général pas de pièces jointes ou de liens destinés à infecter des systèmes informatiques. Ils sont également envoyés en très faible volume (pas plus d’un à deux par entreprise), ce qui les rend plus difficiles à détecter. Nos recherches révèlent que près de 50 % de ces messages frauduleux sont adressés au directeur financier et 25 % à des responsables du personnel. 30 % d’entre eux font référence dans leur titre à des questions fiscales, 21 % appellent à une action urgente et 20 % demandent un transfert de fonds. 

Voici quelques exemples récents d’attaques BEC :
- Une filiale à Hong Kong d’Ubiquiti Networks Inc. a payé plus de 45 millions de dollars à des pirates s’étant fait passer pour l’un de ses fournisseurs,
- La banque belge Crelan a enregistré une perte d’environ 70 millions de dollars à cause d’e-mails frauduleux,
- TWoA, un établissement d’enseignement supérieur néo-zélandais, a perdu plus de 100 000 dollars lorsque son directeur financier a été victime d’un imposteur lui faisant croire qu’une demande de virement par courriel émanait du président de l’établissement,
- Luminant Corp., une compagnie d’électricité de Dallas au Texas, a subi plus de 98 000 dollars de préjudice à la suite d’un e-mail frauduleux.

Cinq signaux d’alerte indiquant une attaque BEC

Les attaques BEC étant souvent dépourvues de liens ou de fichiers joints malveillants, elles ne sont pas bloquées par les solutions antimalwares. Absorbés par leur travail, de nombreux employés se posent rarement la question de l’authenticité des e-mails. Or il existe certains signaux d’alerte à surveiller :
- Haut responsable de l’entreprise demandant la communication d’informations pour inhabituelles ou l’exécution d’un virement : combien de PDG s’occupent personnellement de transactions financières ? Alors que la plupart des membres du personnel vont naturellement obtempérer sans délai à un e-mail provenant de la direction générale, il est néanmoins judicieux de se demander d’abord si une telle instruction est plausible.
- Demande de garder le secret : les e-mails envoyés par des imposteurs enjoignent souvent au destinataire de garder le secret ou de communiquer avec l’expéditeur exclusivement par e-mail. Or les demandes authentiques assorties de ce niveau de confidentialité ne se font généralement pas "exclusivement par e-mail".
- Demande court-circuitant les voies normales : la plupart des entreprises disposent de systèmes comptables par lesquels les factures et les paiements doivent obligatoirement passer, quelle que soit l’urgence de la demande. Lorsqu’un responsable court-circuite ces systèmes avec un e-mail demandant par exemple un virement urgent, cela doit paraître suspect.
- Fautes de français et format de date inhabituel : certains e-mails factices peuvent certes présenter une syntaxe impeccable. A l’inverse, les PDG ne sont pas exempts de fautes d’orthographe ou de grammaire. Cependant, la présence d’un format de date étranger (par exemple mois jour, année dans un message en français) ou d’une structure de phrase, syntaxe ou orthographe atypique indique que le courriel a été rédigé par une personne dont le français n’est pas la langue maternelle et doit donc être considéré comme suspect.
- Adresse "Répondre à" différente de celle de l’expéditeur : les e-mails d’imposteurs prétendent souvent provenir d’une personne connue du destinataire alors qu’ils sont en fait envoyés par un cybercriminel. L’adresse peut également être reliée à un nom de domaine Internet proche de celui de l’entreprise afin d’induire le destinataire en erreur.

Sept moyens de bloquer les attaques BEC
Il existe un certain nombre de moyens pour les entreprises de bloquer les attaques BEC. Du point de vue technologique, une solution à plusieurs niveaux peut contribuer à réduire considérablement le risque que ce type d’e-mail arrive à destination. L’ensemble des contenus et métadonnées des messages doivent faire l’objet d’une authentification (DMARC, DKIM, etc.), de règles de sécurité appropriées et d’une analyse dynamique. Nous formulons donc aux entreprises les conseils suivants :
- Se montrer circonspect : mieux vaut demander des éclaircissements, faire suivre le message au service informatique ou vérifier auprès d’un collègue que de virer des centaines de milliers de dollars à une fausse société en Chine.
- Si quelque chose semble suspect, c’est probablement à juste titre : encourager les employés à se fier à leur instinct, par exemple en se demandant pourquoi le PDG leur adresserait une telle demande ou pourquoi un fournisseur ne passe pas par le portail de l’entreprise pour soumettre une facture.
- Prendre son temps : ce n’est pas sans raison que les campagnes d’attaques sont souvent lancées au moment le plus occupé de la journée. Si un comptable doit rapidement traiter plusieurs demandes de virement, il est moins susceptible de réfléchir à deux fois au caractère suspect de l’une d’entre elles. 
- Vérifier l’adresse "Répondre à" : bien que chaque logiciel client de messagerie soit différent et qu’il ne soit pas toujours facile de visualiser le champ "Répondre à", il suffit de cliquer sur Répondre et de vérifier l’adresse qui s’affiche alors. S’agit-il d’une adresse interne authentique, extérieure à l’entreprise ou bien inhabituelle ?
- Vérifier le nom de domaine : les attaques emploient de plus en plus le "typosquatting", c’est-à-dire un nom de domaine orthographiquement proche de celui de l’entreprise afin de leurrer les destinataires assez prudents pour vérifier l’adresse "Répondre à". Toute opération sensible (telle qu’un virement) mérite d’y regarder à deux fois pour s’assurer que le nom de domaine est le bon.
- Prendre garde à l’utilisation de comptes personnels : dans certains cas, les attaques peuvent également sembler provenir d’un compte e-mail personnel de sorte que l’adresse "Répondre à" paraisse moins suspecte. Par exemple, une adresse telle que [nom_du_pdg]_personnel@gmail.com échappera souvent pas aux filtres antispam et aura l’air plus authentique. L’utilisation de comptes personnels doit non seulement être proscrite par les règles de sécurité mais aussi constituer un signal d’alerte pour les destinataires.
- Respecter la procédure : mettre en place des dispositifs de contrôle appropriés pour les types de transactions ciblées par le phishing BEC, notamment des vérifications internes au sein des services financiers et achats, afin d’authentifier les demandes légitimes. Il peut s’agir par exemple d’exiger l’autorisation en personne ou par téléphone d’un autre responsable au sein de l’entreprise.

Même si ces conseils pour identifier les attaques BEC sont de nature à réduire les risques, il existe toujours une possibilité qu’un e-mail soit ouvert et suivi d’effet, en particulier lorsqu’il ne contient pas un lien ou un fichier malveillant et n’est donc pas bloqué par des solutions uniquement conçues pour détecter les malwares. C’est pourquoi nous recommandons aux entreprises de sensibiliser en permanence leur personnel aux e-mails BEC et de déployer des technologies avancées offrant des capacités complètes de prévention, de détection et de traitement de cette menace, allant au‑delà d’une protection contre les seuls malwares. Les entreprises doivent pouvoir détecter les signes caractéristiques des e-mails frauduleux et bloquer les messages ayant pour but de dérober des fonds et des informations confidentielles.