La recrudescence des attaques d’e-mails frauduleux menace sérieusement les finances des entreprises
Parmi leurs dernières techniques d'attaque informatique en date figurent les e-mails d’imposteurs, ou Business Email Compromise, une méthode d’ingénierie sociale pour inciter des employés à envoyer volontairement de l’argent ou des données sensibles appartenant à l’entreprise.
Selon le FBI, les pertes induites au niveau mondial ont atteint 3,1 milliards de dollars, et nos propres recherches indiquent que ce phénomène n’est pas près de ralentir.
La fraude par e-mail d’imposteur commence fréquemment par un message urgent prétendant provenir d’un haut responsable de l’entreprise et demandant le virement immédiat de fonds sur un certain compte ou la communication d’informations confidentielles, toujours sous le sceau du secret. Face à l’aspect généralement authentique du message, le destinataire obtempère souvent, transmettant ainsi des fonds ou des informations confidentielles à des escrocs. Les escroqueries de type BEC (ou Business Email Compromise) ciblent les entreprises de toutes tailles et de tous secteurs, par conséquent aucune n’en est à l’abri.
A la différence de la plupart des attaques visant les entreprises par courriel, les e-mails d’imposteurs ne comportent en général pas de pièces jointes ou de liens destinés à infecter des systèmes informatiques. Ils sont également envoyés en très faible volume (pas plus d’un à deux par entreprise), ce qui les rend plus difficiles à détecter. Nos recherches révèlent que près de 50 % de ces messages frauduleux sont adressés au directeur financier et 25 % à des responsables du personnel. 30 % d’entre eux font référence dans leur titre à des questions fiscales, 21 % appellent à une action urgente et 20 % demandent un transfert de fonds.
Voici quelques exemples récents d’attaques BEC :
- Une filiale à Hong Kong d’Ubiquiti Networks Inc. a payé plus de 45 millions
de dollars à des pirates s’étant fait passer pour l’un de ses fournisseurs,
- La banque belge Crelan a enregistré une perte d’environ 70 millions de
dollars à cause d’e-mails frauduleux,
- TWoA, un établissement d’enseignement supérieur néo-zélandais, a perdu plus
de 100 000 dollars lorsque son directeur financier a été victime d’un
imposteur lui faisant croire qu’une demande de virement par courriel émanait du
président de l’établissement,
- Luminant Corp., une compagnie d’électricité de Dallas au Texas, a subi plus
de 98 000 dollars de préjudice à la suite d’un e-mail frauduleux.
Cinq signaux d’alerte indiquant une attaque BEC
Les attaques BEC étant souvent dépourvues de liens ou
de fichiers joints malveillants, elles ne sont pas bloquées par les solutions
antimalwares. Absorbés par leur travail, de nombreux employés se posent
rarement la question de l’authenticité des e-mails. Or il existe certains
signaux d’alerte à surveiller :
- Haut responsable de l’entreprise demandant la communication
d’informations pour inhabituelles ou l’exécution d’un virement : combien
de PDG s’occupent personnellement de transactions financières ? Alors que
la plupart des membres du personnel vont naturellement obtempérer sans
délai à un e-mail provenant de la direction générale, il est
néanmoins judicieux de se demander d’abord si une telle instruction est
plausible.
- Demande de garder le secret : les e-mails envoyés par des
imposteurs enjoignent souvent au destinataire de garder le secret ou
de communiquer avec l’expéditeur exclusivement par e-mail.
Or les demandes authentiques assorties de ce niveau de confidentialité
ne se font généralement pas "exclusivement par e-mail".
- Demande court-circuitant les voies normales : la plupart des
entreprises disposent de systèmes comptables par lesquels les factures et
les paiements doivent obligatoirement passer, quelle que soit l’urgence de la
demande. Lorsqu’un responsable court-circuite ces systèmes avec
un e-mail demandant par exemple un virement urgent, cela doit paraître suspect.
- Fautes de français et format de date inhabituel : certains
e-mails factices peuvent certes présenter une syntaxe impeccable. A l’inverse,
les PDG ne sont pas exempts de fautes d’orthographe ou de grammaire. Cependant,
la présence d’un format de date étranger (par exemple mois jour, année
dans un message en français) ou d’une structure de phrase, syntaxe ou
orthographe atypique indique que le courriel a été rédigé par une personne dont
le français n’est pas la langue maternelle et doit donc être considéré comme
suspect.
- Adresse "Répondre à" différente
de celle de l’expéditeur : les e-mails d’imposteurs prétendent
souvent provenir d’une personne connue du destinataire alors qu’ils sont en
fait envoyés par un cybercriminel. L’adresse peut également être reliée à un
nom de domaine Internet proche de celui de l’entreprise afin d’induire le
destinataire en erreur.
Sept moyens de bloquer les attaques BEC
Il existe un certain nombre de moyens pour les entreprises de bloquer les
attaques BEC. Du point de vue technologique, une solution à plusieurs
niveaux peut contribuer à réduire considérablement le risque que ce type
d’e-mail arrive à destination. L’ensemble des contenus et métadonnées
des messages doivent faire l’objet d’une authentification (DMARC, DKIM,
etc.), de règles de sécurité appropriées et d’une analyse dynamique. Nous
formulons donc aux entreprises les conseils suivants :
- Se montrer circonspect : mieux vaut demander des
éclaircissements, faire suivre le message au service informatique ou vérifier
auprès d’un collègue que de virer des centaines de milliers de dollars à
une fausse société en Chine.
- Si quelque chose semble suspect, c’est probablement à juste titre :
encourager les employés à se fier à leur instinct, par exemple en se demandant
pourquoi le PDG leur adresserait une telle demande ou pourquoi un fournisseur
ne passe pas par le portail de l’entreprise pour soumettre une facture.
- Prendre son temps : ce n’est pas sans raison que les
campagnes d’attaques sont souvent lancées au moment le plus occupé de la
journée. Si un comptable doit rapidement traiter plusieurs demandes de
virement, il est moins susceptible de réfléchir à deux fois au caractère
suspect de l’une d’entre elles.
- Vérifier l’adresse "Répondre à" : bien que chaque
logiciel client de messagerie soit différent et qu’il ne soit pas toujours facile
de visualiser le champ "Répondre à", il suffit de cliquer sur
Répondre et de vérifier l’adresse qui s’affiche alors. S’agit-il d’une adresse
interne authentique, extérieure à l’entreprise ou bien inhabituelle ?
- Vérifier le nom de domaine : les attaques emploient de
plus en plus le "typosquatting", c’est-à-dire un nom de domaine
orthographiquement proche de celui de l’entreprise afin de leurrer les
destinataires assez prudents pour vérifier l’adresse "Répondre à".
Toute opération sensible (telle qu’un virement) mérite d’y regarder à deux fois
pour s’assurer que le nom de domaine est le bon.
- Prendre garde à l’utilisation de comptes personnels : dans
certains cas, les attaques peuvent également sembler provenir d’un compte
e-mail personnel de sorte que l’adresse "Répondre à" paraisse moins
suspecte. Par exemple, une adresse telle que [nom_du_pdg]_personnel@gmail.com
échappera souvent pas aux filtres antispam et aura l’air plus authentique.
L’utilisation de comptes personnels doit non seulement être proscrite par les
règles de sécurité mais aussi constituer un signal d’alerte pour les
destinataires.
- Respecter la procédure : mettre en place des dispositifs
de contrôle appropriés pour les types de transactions ciblées par le phishing
BEC, notamment des vérifications internes au sein des services financiers et
achats, afin d’authentifier les demandes légitimes. Il peut s’agir par exemple
d’exiger l’autorisation en personne ou par téléphone d’un autre responsable au
sein de l’entreprise.
Même si ces conseils pour identifier les attaques BEC sont de nature à réduire
les risques, il existe toujours une possibilité qu’un e-mail soit ouvert et
suivi d’effet, en particulier lorsqu’il ne contient pas un lien ou un fichier
malveillant et n’est donc pas bloqué par des solutions uniquement conçues pour
détecter les malwares. C’est pourquoi nous recommandons aux entreprises de
sensibiliser en permanence leur personnel aux e-mails BEC et de déployer
des technologies avancées offrant des capacités complètes de prévention,
de détection et de traitement de cette menace, allant au‑delà d’une protection
contre les seuls malwares. Les entreprises doivent pouvoir détecter
les signes caractéristiques des e-mails frauduleux et bloquer les messages
ayant pour but de dérober des fonds et des informations
confidentielles.