Avec la récente attaque du rançongiciel WannaCry qui a fait la une des journaux mondiaux, il peut sembler contre-intuitif de le dire, mais les attaques de cybersécurité sont de moins en moins nombreuses et plus ciblées. Comme nous l’avons signalé dans nos tendances en matière de sécurité à surveiller en 2017, la compromission des courriels d’entreprise (ou BEC) était l’une des attaques les plus effrayantes, et les chiffres le confirment. D’octobre 13 à décembre 2016, le coût pour les entreprises et les organisations de toutes tailles a totalisé 5,3 milliards de dollars, soit plus de 130 000 $ par incident.

Les bases de la compromission des courriels d’affaires

Également connue sous le nom de fraude à la baleine, à la harponne et au PDG, la principale caractéristique d’une compromission de courriels d’entreprise est qu’elle implique l’usurpation d’identité d’un intervenant de l’entreprise pour extorquer ou extorquer des fonds à la victime qui croit qu’elle effectue une transaction souvent courante. Il peut s’agir d’exécuter une commande auprès d’un fournisseur, d’un dirigeant à la recherche de fonds urgents, d’une demande de données hautement classifiées (qui entraîne souvent de l’extorsion) ou d’entrer en contact avec quelqu’un qui se fait passer pour un étranger professionnel, comme un avocat ou un agent immobilier.

Une escroquerie réussie nécessite souvent la « tempête parfaite » pour profiter de la victime. Selon le FBI, les attaques commencent souvent par une escroquerie par hameçonnage (pour utiliser des informations personnelles telles que des plans de voyage, des informations de compte, des noms, etc.) et même par un rançongiciel ou un logiciel d’alarme pour amorcer et extorquer leurs victimes. Parfois, l’attaque d’hameçonnage elle-même n’est même pas nécessaire.

Compte tenu de la quantité d’informations que la plupart des gens partagent maintenant, les escrocs peuvent généralement trouver des informations telles que des adresses électroniques, des titres de poste et même des plans de voyage grâce à une recherche rapide sur LinkedIn. Ces attaques hautement ciblées nécessitent des recherches et une préparation de la part du fraudeur, y compris souvent l’usurpation d’une adresse courriel. Les attaques deviennent de plus en plus une combinaison de stratégies à plusieurs niveaux, toutes destinées à profiter de l’inattention d’un utilisateur.

Exemples de compromission des courriels d’affaires

Il y a eu des chiffres vraiment astronomiques. Leoni, un fabricant allemand de téléphériques, a perdu environ 44 millions de dollars (et 7% de sa valeur boursière) en août 2016 grâce à une adresse courriel falsifiée. Ou les 55 millions de dollars perdus par un fournisseur de Boeing. Ou les « maigres » 5 millions de dollars volés à Ryanair pour acheter de l’essence. Ou la série d’escroqueries d’Evaldas Rimasauskas, qui a enregistré une entreprise en Lituanie portant le même nom qu’une entreprise en Asie, et a réussi à convaincre les entreprises technologiques américaines de transférer plus de 100 millions de dollars. Ces entreprises ont toutes appris une dure leçon, mais avaient suffisamment d’actifs (et probablement d’assurance) pour survivre.

Comparez ces chiffres aux prétendus 50 000 $ que le rançongiciel WannaCry , mondialement connu, a fini par coûter à ses victimes.

(Remarque : Il est important de noter que ce chiffre n’inclut pas les coûts pour les organisations pour reconstruire l’infrastructure de TI, les sauvegardes et celles qui choisissent de ne pas payer de rançon. Encore une fois, les 5,3 milliards de dollars pour BEC non plus.)

BEC et erreur humaine

Les attaques BEC sont si difficiles à prévenir parce qu’elles impliquent toujours une forme d’erreur humaine. Dans le monde des affaires, des mesures de protection sont généralement en place pour corriger ces erreurs, mais une attaque hautement ciblée et personnalisée peut entraîner d’importantes erreurs de jugement.

Prenons cet exemple de fraude au PDG qui impliquait qu’un PDG demandait toutes les informations W2 à un employé – et ce faisant, compromettait les données de tous les clients d’Alpha Paie. Elle a été découverte lorsqu’un client a remarqué une déclaration de revenus produite sous son numéro d’assurance sociale. Il était trop facile pour l’employé d’accepter aveuglément que ce qui s’est avéré être un domaine falsifié dans le courriel était réel.

Ou le directeur de la comptabilité d’Ameriforge qui a reçu un courriel falsifié de son PDG, disant qu’il était responsable d’un dossier confidentiel et qu’un avocat le contacterait sous peu pour lui donner les détails d’un virement bancaire. Lorsqu’un escroc se faisant passer pour l’avocat a appelé quelques instants plus tard, même l’authentification à 2 facteurs aurait été insuffisante et le directeur a été suffisamment convaincu d’envoyer l’argent (plus sur l’authentification multifacteur plus tard).

Ce ne sont là que quelques exemples d’erreurs humaines simples, qui peuvent être commises par n’importe quel employé, en aucune partie en raison de l’incompétence ou de la négligence. Dans les situations où même vos meilleurs employés sont vulnérables, il est important d’établir des processus et des mesures de sécurité intégrées qui perturbent les comportements de type « pilote automatique » dont les attaquants veulent profiter.

Comment mettre fin à une arnaque de compromission des courriels professionnels

Pour mettre fin aux escroqueries BEC, une entreprise doit toujours commencer par l’éducation et la formation des employés en matière de sécurité, car l’erreur de l’utilisateur est une exigence. Bien que les solutions de sécurité des courriels réduisent considérablement la probabilité d’une attaque, surtout lorsqu’elle commence par un courriel d’hameçonnage, le fait d’avoir un groupe d’utilisateurs correctement formés réduira considérablement la probabilité d’efficacité de toute attaque, en particulier parmi les cadres ou le personnel qui ont le pouvoir de divulguer des fonds ou des informations critiques.

Utilisez une solution de sécurité des courriels fiable

L’utilisation d’un fournisseur de solutions de sécurité des courriels de premier plan est fondamentale pour se protéger contre les attaques de compromission des courriels professionnels, car elle peut vous permettre de signaler certains mots-clés qu’ils utilisent couramment. Une étude de Proofpoint a révélé que 30% des lignes d’objet de ces courriels contenaient le mot « Paiement », tandis que 21% contenaient le mot « Demande » et 21% contenaient le mot « Urgent ». Tout cela est cohérent avec les tentatives des attaquants de profiter des bonnes intentions de vos employés (voir l’infographie BEC dans ce billet).

Authentification multifacteur

L’authentification à deux facteurs (2FA) devrait être essentielle pour toute divulgation de données sensibles ou de fonds transférés. Même dans ce cas, les fraudeurs se font passer pour des adjoints de direction ou des avocats pour appeler le PDG (ou qui que ce soit) pour confirmer ce qui a été envoyé dans un courriel falsifié. Lorsqu’il s’agit de transactions importantes, ou même par habitude, mettez en place un processus d’authentification multifacteur (MFA) pour réduire considérablement les risques d’être victime d’une arnaque, et avancez avec prudence chaque fois qu’il s’agit d’argent.

Filtres de sécurité des courriels

Les filtres de courriel sont essentiels pour mettre fin aux escroqueries BEC. Les nouvelles tentatives ont souvent un modèle où le courriel provient d’un domaine local vers un domaine local, mais avec une adresse de réponse non locale. Un bon filtre les repérera, en particulier s’il inclut l’authentification, la déclaration et la conformité des messages basés sur le domaine (DMARC) pour empêcher les courriels usurpés d’atteindre les utilisateurs. Un excellent filtre de messagerie comprendra également la protection avancée contre les menaces (ATP) qui fournit à la fois une détection basée sur les signatures (une protection importante) tout en détectant les comportements irréguliers et les courriels potentiellement malveillants.

Défendez votre territoire de nom de domaine

L’enregistrement de noms de domaine similaires au vôtre contribuera également à protéger contre les pratiques d’usurpation de courriels qui sont au cœur des attaques BEC réussies. La mise en place de filtres de messagerie pour repérer les domaines nouvellement enregistrés aidera également à se protéger contre cette pratique – une attaque ciblée d’usurpation de courriel enregistrera souvent une variante usurpée de votre domaine juste avant d’envoyer un courriel d’hameçonnage.

Le coût d’un BEC par rapport à un plan de courriel et de cybersécurité

Le coût direct d’un BEC peut être de 130 000 $ par incident, mais cela n’inclut pas le temps consacré à la récupération des fonds, aux litiges, au contrôle des dommages, à la mauvaise presse, aux congédiements (ainsi qu’aux nouvelles embauches) et à l’explication aux parties prenantes de la façon dont l’argent a été perdu à cause de l’erreur humaine et de l’absence de défense contre une forme courante d’escroquerie par courriel. En comparaison, un plan de cybersécurité et de courriel bien conçu est une aubaine. Si vous êtes une grande entreprise, vous ferez appel à vos administrateurs informatiques pour une petite et moyenne entreprise, un MSP ou un consultant externe, avec une formation et une sensibilisation périodiques des employés. C’est une portée approximative. En tant que police d’assurance, un investissement dans la sécurité des courriels devrait être une évidence.

Pour en savoir plus sur les meilleures pratiques en matière de sécurité des courriels et sur la façon d’arrêter les BEC, jetez un coup d’œil à nos solutions de messagerie sécurisée modusCloud et modusGate , conçues pour arrêter les escroqueries par courriel, avant qu’elles ne vous parviennent.