Qu’est-ce que Sam Debord et Sue Dietz ont en commun? Au moins 2 choses – les deux fonctionnent dans l’immobilier, et les deux ont vu leurs noms utilisés dans l’escroquerie immobilière ciblée de plus en plus ciblée. Cela ne devrait pas surprendre : le secteur immobilier possède quelques ingrédients clés qui en font une cible sérieuse pour les escrocs.

La tempête parfaite pour les attaques d’hameçonnage ciblées

Deux ingrédients très importants rendent une attaque d’hameçonnage ciblée attrayante pour les escrocs. Le premier ingrédient est constitué d’importantes transactions financières, qui peuvent souvent être envoyées en ligne ou par virement. Qu’il s’agisse de l’acheteur qui ne tient pas compte de la sécurité des courriels lors du paiement final, ou du vendeur qui pourrait faire partie d’une entreprise qui n’a pas de politique stricte en matière de sécurité des courriels (ou qui utilise un compte compromis par une autre attaque par courriel), il existe des vulnérabilités faciles que les cybercriminels peuvent exploiter.

Le deuxième ingrédient est un groupe cible souvent très vulnérable, soit en raison d’un manque de sensibilisation et de formation en matière de sécurité, soit en raison du processus très émotionnel d’achat et de clôture de la vente d’une maison. La pression, l’enthousiasme et la nervosité des deux côtés pour conclure un accord sont énormes et peuvent facilement mener à des erreurs irrémédiables si un acteur malveillant est entré dans la mêlée.

La petite criminalité liée aux courriels prend de l’ampleur

Sean Smith et Erin Wrona étaient un couple dont l’enthousiasme a peut-être eu raison d’eux, ou a peut-être été victime d’une erreur. Prêts à conclure l’achat d’une maison de 1,57 million de dollars, ils ont télégraphié à ce qu’ils croyaient être un compte séquestre détenu par l’agence de titres de la maison. Lorsqu’ils se sont présentés pour signer les documents finaux un mois plus tard, un avocat les a informés que personne à l’agence de titres n’avait vu les fonds ni même savait que l’argent avait été envoyé. Ils avaient été victimes d’un imposteur, qui avait compromis un compte au sein de l’agence de titres et envoyé un courriel frauduleux réclamant des modifications de dernière minute aux instructions de virement, dirigeant les frais de clôture vers un autre compte, celui d’un cybercriminel.

Bien que Smith et Wrona aient encore pu rassembler des fonds et acheter la maison, ils ont créé un dangereux précédent pour toute agence de titres ou société immobilière n’utilisant pas suffisamment de mesures de cybersécurité et d’assurance – ils ont intenté une poursuite contre l’agence de titres.

Non seulement ils poursuivaient pour 1,57 million de dollars en pertes de fonds, plus des dommages-intérêts punitifs et des honoraires d’avocat, mais aussi près de 5 millions de dollars pour négligence en vertu de la loi RICO – la loi sur les « organisations influencées par le racket et corrompues » – dans laquelle ils allèguent que l’organisation a effectivement aidé les organisations criminelles responsables de leurs pertes de fonds par négligence criminelle. ne pas être conscient des risques de cybersécurité communément connus présents dans l’industrie.

Généralement utilisés contre la mafia, les membres des cartels et d’autres chefs du crime organisé, même plusieurs ordonnances inférieures à ce degré peuvent mettre en faillite les agences de titres et les sociétés immobilières qui ne reçoivent que de faibles pourcentages des grandes transactions qu’elles gèrent. Ce qui est encore plus étonnant, c’est la façon dont l’agence de titres aurait pu répondre à ses préoccupations en matière de courriels et éviter tout ce fiasco. La réclamation la plus cruciale dans le cas du demandeur est aussi simple que le passage suivant du mémoire de la poursuite :

« Sur la base de l’information et de la croyance, si les défendeurs n’ont pas intentionnellement converti les fonds, ils n’ont pas pris même les mesures de sécurité de base pour sécuriser leurs comptes de courriel, notamment :

un. Utiliser une adresse courriel qui nécessite des formes d’authentification supplémentaires;

b. l’utilisation de signatures numériques et cryptées pour les messages;

c. Utiliser des communications cryptées avec les clients;

d. Changement fréquent de mots de passe »

7,5+ millions de dollars est un prix élevé à payer pour utiliser un mot de passe pour ne pas sécuriser et changer correctement les mots de passe ou utiliser le cryptage des courriels qui peut coûter à une petite agence de titres en moyenne moins de 1000 $ par an. Bien que le jury n’ait pas encore tranché, en tant qu’entreprise, le « caveat emptor » ne doit pas ou du moins ne devrait pas être invoqué pour couvrir la négligence dans la sécurisation de vos courriels. Même si l’entreprise est déclarée non coupable, il y a indéniablement des dommages à sa réputation.

Les comptes de courriel composés sont un problème courant pour les agences de titres

Bien qu’il s’agisse d’une escroquerie d’envergure, elle fait partie d’une tendance croissante et effrayante. L’escroquerie spécifique à la compromission des courriels d’entreprise ou à l’hameçonnage ciblé (avec une certaine usurpation d’e-mails en plus) connaît une croissance explosive. L’Internet Crime Complaint Center (IC3) a constaté une augmentation de 480% du nombre de plaintes déposées par des sociétés de titres en 2016 selon lesquelles elles étaient la cible d’une escroquerie de compromission de courriels d’entreprise. De plus, cela est probablement sous-déclaré, car de nombreux organismes peuvent ne pas se rendre compte s’ils ont été ciblés par une attaque, et beaucoup d’autres qui ont été victimes d’une attaque réussie peuvent chercher à le garder secret. Le modus operandi des cybercriminels était d’accéder à un compte de courriel, souvent par le biais d’une attaque d’hameçonnage ciblée, et de trouver des transactions en cours ou en attente d’exécution. À ce stade, l’agence de titres et son client sont les plus vulnérables, ce qui signifie que les chances de succès sont maximales et que les gains pour l’escroc peuvent être importants.

Contrecarrer une attaque immobilière par hameçonnage ciblée

Paul Strohmeier et sa femme ont failli perdre la maison de leurs rêves au bord de l’eau l’an dernier, mais leur diligence dans la lecture de leur contrat les a sauvés d’un désastre imminent. Il s’est rendu compte que le virement télégraphique que son agence de titres avait apparemment demandé était à une banque située à 2 000 milles de là, alors que les documents de clôture qu’il avait reçus précédemment indiquaient qu’il devait conclure toute transaction localement.

Il existe toutes sortes de conseils à la disposition des utilisateurs finaux, mais il peut être difficile de savoir quoi suivre. Dans le cadre de la transaction immobilière, l’acheteur fait confiance à l’expérience, à l’expertise et à l’autorité du vendeur et des personnes responsables de la réussite de la transaction. Par exemple, la Federal Title and Escrow Company fournit quelques conseils, notamment que les acheteurs devraient; vérifier les instructions de virement, vérifier que le courriel qu’il reçoit est sécurisé, vérifier le nom de la banque destinataire, etc.

Les sociétés immobilières doivent prendre des mesures préventives pour protéger leurs clients. Leurs clients ne sont pas des experts juridiques, mais à mesure que de plus en plus d’attaques adoptent des technologies et des tactiques plus sophistiquées, l’industrie fait face à des bouleversements si elle ne prend pas de mesures pour protéger ses clients. En fin de compte, il existe des mesures faciles à prendre pour les sociétés et les agents immobiliers pour protéger leurs courriels.

Comment vous protéger et protéger vos clients contre une attaque d’hameçonnage ciblée

Voici 5 incontournables pour toute organisation :

Sensibilisation et formation en cybersécurité

Aucune organisation n’est trop grande ou trop petite pour avoir une sensibilisation et une formation adéquates des employés en matière de cybersécurité. Eh bien, parce que les escrocs recherchent des opportunités – et s’en prennent souvent aux PME en sachant qu’elles sont moins susceptibles d’avoir un plan solide et une cyberdéfense en place. Plus l’entreprise est grande, plus le nombre de courriels malveillants reçus est élevé. Plus la compagnie est petite, plus la fréquence est faible, mais plus le risque qu’une attaque réussie cause des dommages irréparables est grand. Votre sensibilisation et votre formation n’ont pas besoin d’être trop autoritaires. Utilisez des carottes et des bâtonnets. Ne rendez pas les choses trop complexes.

Protection contre l’usurpation d’identité

C’est une évidence. Utilisez le bon service de sécurité des courriels qui vous protégera contre toute forme de courriel falsifié, réduisant ainsi la probabilité qu’une attaque d’hameçonnage ciblée réussie compromette un compte.

Filtres anti-pourriel

Avec un filtre anti-pourriel de pointe, vous pouvez arrêter la majorité et une grande variété de menaces par courriel. De nombreuses menaces d’hameçonnage, de harponnage, de BEC, de pièces jointes malveillantes et d’autres menaces commencent par un pourriel.

AMF (authentification multifacteur)

Assurez-vous d’avoir activé l’authentification multifacteur. Cela peut inclure la confirmation vocale comme l’une des étapes. Par exemple, faites-leur savoir qu’avant d’effectuer une transaction financière, ils doivent appeler un numéro spécifique pour confirmer que le paiement est effectué et dans quel compte. Même si cela ne suffit souvent pas. Assurez-vous que toute personne utilisant la messagerie de votre entreprise ne peut pas réinitialiser ses mots de passe trop facilement. Et pour toute transaction financière, assurez-vous que vos méthodes de traitement de l’argent sont 100% impossibles à pirater.

Chiffrement des courriels

Pour les courriels très importants, comme la demande de fonds et de détails de paiement, l’utilisation d’un cryptage sécurisé des courriels garantit que les courriels critiques sont protégés par un mot de passe et nécessitent des règles d’accès uniques connues uniquement au sein d’une organisation, ce qui signifie qu’ils ne sont pas visibles pour les comptes compromis et les courriels importants.

Et bien sûr, vous voudrez peut-être éduquer un peu votre client sur le processus bien à l’avance pour vous assurer qu’il signale immédiatement tout ce qui sort de l’ordinaire. Faites-leur savoir exactement à quoi s’attendre, où les paiements seront effectués, en personne ou au moins au téléphone. De cette façon, le processus n’est pas visible si un compte est compromis, ce qui empêche les pirates d’accéder à votre mode de fonctionnement.

Un peu de diligence raisonnable peut éviter à tout le monde des maux de tête et de l’argent en cours de route. Il semble que les attaques immobilières d’hameçonnage ciblées augmentent en gravité et en fréquence. Prendre les mesures nécessaires pour vous protéger est une meilleure idée que d’attendre que quelque chose de grave se produise. Avec une bonne once de prévention de l’hameçonnage, il y a de nombreux remèdes à obtenir.

https://www.youtube.com/watch?v=amPQEO1n1rM