Malgré cela, les BEC sont souvent mal définis, mal compris, ou confondus avec d’autres cyberattaques. Il est donc difficile d’appréhender l’ampleur réelle de cette menace.
Chaque attaque BEC implique une couche de tromperie. Les escrocs utilisent toute une série de techniques pour usurper l’identité de contacts de confiance et inciter les employés à effectuer une action.
La nature exacte de cette action dépend du style de l’attaque, mais la plupart impliquent une transaction financière. La question est donc : comment reconnaitre une attaque BEC, et surtout, comment la déjouer ?
Fraude à la facture, redirection des salaires, fraude aux avances de frais, emails de leurre et de tâche… Les BEC sont multiples et chaque type d’attaque est unique. Voici une liste des différentes attaques et fraudes que représentent les BEC.
Fraude à la facture
La fraude à la facture se produit lorsqu’un cybercriminel trompe une organisation en lui faisant payer quelque chose qu’elle n’a pas acheté ou en redirigeant un paiement légitime vers un compte illégitime. Ce type de fraude est à la fois très courant et très coûteux.Il existe deux méthodes standards pour opérer une fraude à la facture. Les cybercriminels usurpent l’adresse électronique d’un fournisseur pour demander un paiement ou bien ils vont jusqu’à compromettre le compte d’un fournisseur légitime pour modifier les informations de paiement.
Dans certains cas, les fraudeurs à la facture détournent les messages électroniques légitimes échangés entre une organisation et un fournisseur, observant et imitant le ton pour injecter des BEC dans une conversation active. La fraude à la facture n’est souvent détectée que lorsque les marchandises ou les paiements ne parviennent pas aux destinataires légitimes. À ce moment-là, les fonds ont disparu depuis longtemps.
Redirection des salaires
Les détournements de salaires font partie des techniques BEC les plus simples et les plus efficaces. Il s’agit ici d’inciter une organisation à rediriger les salaires des employés vers le compte de l’attaquant.Selon le FBI, la perte moyenne résultant d’une redirection des salaires est de 7 904 euros. Et avec environ 35 000 tentatives d’attaques par jour, cela représente une source de revenus considérable.
Dans la plupart des cas, les attaques de redirection des salaires sont envoyées via des services de messagerie gratuits tels que Gmail. Le nom de domaine est usurpé pour ressembler à celui de l’employé en question, et des emails sont ensuite envoyés à partir de ces adresses pour demander un changement de coordonnées bancaires.
Une fois les données de paiement modifiées, les salaires sont versés sur le compte de l’attaquant et, une fois encore, il est peu probable que la sonnette d’alarme retentisse jusqu’à ce que le bénéficiaire légitime ne reçoive pas ses fonds.
La fraude aux avances de frais
La fraude aux avances de frais est l’un des plus anciens types d’escroquerie par courrier électronique. Souvent appelées à tort « arnaques 419 » ou « arnaques du prince nigérian », ces attaques ont acquis une réputation comique en raison des versions les plus farfelues de ces dernières années. Cependant, les conséquences d’une telle menace sont loin d’être drôles.Dans ce cas, le cybercriminel demande à la victime potentielle une petite somme d’argent en prévision d’un paiement plus important à venir. Le paiement initial est présenté comme un moyen de débloquer un gain beaucoup plus important, qui est souvent présenté comme un héritage ou des gains de loterie.
Les criminels à l’origine de ces attaques sont connus pour prétendre être des descendants de la royauté ou faire partie d’une organisation gouvernementale. La plupart des emails de fraude par avance de frais sont envoyés via des domaines usurpés ou sosies.
Emails de leurre et de tâche
Cette méthode d’attaque est un peu différente dans la mesure où elle est bénigne en soi, mais sert souvent de passerelle vers d’autres menaces de cette liste. Bien que l’objectif final soit généralement financier, le but initial d’un emailde leurre et de tâche est d’attirer l’attention de la victime et d’évaluer sa propension à se faire escroquer.Les emails sont généralement envoyés à partir de noms de domaine usurpés, les auteurs se faisant passer pour un contact de confiance du destinataire. Les messages sont généralement courts et directs, du type « Êtes-vous disponible ? » ou « J’ai besoin d’un service rapide ». Si le destinataire répond d’une manière qui laisse penser qu’il a mordu à l’hameçon, les cybercriminels poursuivent généralement en demandant de l’argent sous couvert d’une urgence ou d’une situation similaire où le temps presse.
La fraude par email sur le thème de leurre et de tâche est incroyablement répandue, représentant plus de la moitié de toutes les menaces de fraude par email en 2021.
Gagner la bataille contre les BEC
Les attaques dont il est question ici sont parmi les plus difficiles à détecter et à combattre. Elles sont conçues pour s’immiscer discrètement dans nos activités quotidiennes et ne sont souvent repérées que longtemps après l’escroquerie.Pour cette raison, les outils de cybersécurité traditionnels ne constituent pas à eux seuls une protection suffisante. Comme la plupart des cybermenaces modernes, les BEC constituent une attaque directe contre les employés, et non contre l’infrastructure. Pour les arrêter, il faut donc une défense axée sur les personnes.
Comment se protéger ?
La mise en place de contrôles pour surveiller l’accès au réseau, authentifier les domaines et signaler les activités suspectes est un bon début. Ces mesures doivent être associées à une protection complète de la messagerie électronique, conçue pour analyser et filtrer les messages malveillants avant qu’ils n’arrivent dans la boîte de réception. Les processus de vérification de toute modification des transactions financières sont également indispensables, les demandes devant être vérifiées par plusieurs canaux et jamais uniquement par courrier électronique.Mais surtout, les collaborateurs doivent comprendre la menace à laquelle ils sont confrontés. Cela implique la mise en œuvre d’un programme complet de formation à la sécurité, continu et adaptable. Plus les utilisateurs sont conscients de l’existence et des conséquences potentielles des BEC, moins ils risquent de tomber dans les nombreux pièges tendus par des criminels tenaces et opportunistes.
Par Loïc Guézo, Directeur de la Stratégie Cyber chez Proofpoint