La compromission d’e-mails professionnels, ou BEC (pour Business Email Compromise en anglais), est une escroquerie par e-mail de type spear phishing dont le but est de dérober de l’argent ou des données sensibles à une entreprise.
Lors d’une attaque BEC, un cybercriminel (ou un groupe de cybercriminels) envoie des e-mails aux employés de l’entreprise ciblée en se faisant passer pour un collègue, un fournisseur, un partenaire, un client ou un autre associé. Les e-mails sont rédigés de manière à inciter les employés à payer des factures frauduleuses, à effectuer des virements vers des comptes bancaires factices ou à divulguer des informations sensibles telles que les données des clients, la propriété intellectuelle ou les finances de l’entreprise.
Dans de rares cas, les escrocs peuvent essayer de propager un ransomware ou un malware en demandant aux victimes d’ouvrir une pièce jointe ou de cliquer sur un lien malveillant.
Pour que leurs e-mails paraissent légitimes, les auteurs de BEC effectuent des recherches minutieuses sur les employés qu’ils ciblent et les identités qu’ils usurpent. Ils utilisent des techniques d’ingénierie sociale, telles que l’usurpation d’adresses e-mail et le pretexting, pour créer des e-mails malveillants qui ressemblent à ceux généralement envoyés par l’expéditeur dont l’identité a été usurpée. Dans certains cas, les escrocs piratent et détournent le compte de messagerie de l’expéditeur, rendant les e-mails malveillants d’autant plus crédibles, puisqu’il devient presque impossible de les distinguer des messages légitimes.
Les attaques de compromission d’e-mails professionnels font partie des cyberattaques les plus coûteuses. Selon le rapport Cost of a Data Breach 2022 publié par IBM, les fraudes BEC constituent le deuxième type de violation le plus onéreux, avec un coût moyen de 4,89 millions de dollars. Selon le Internet Crime Report du Internet Crime Complaint Center du FBI (fichier PDF, lien externe à ibm.com), les fraudes BEC ont coûté aux victimes américaines un total de 2,7 milliards de dollars en 2022.
Les experts en cybersécurité et le FBI identifient six principaux types d’attaques BEC.
Fausses factures
L’escroc prétend être un fournisseur avec lequel l’entreprise travaille et envoie à l’employé ciblé un e-mail contenant une fausse facture en pièce jointe. Lorsque l’entreprise règle la facture, l’argent est versé directement à l’escroc. Pour rendre ces attaques convaincantes, l’escroc peut intercepter de vraies factures du fournisseur et les modifier pour que les paiements soient versés sur ses propres comptes bancaires.
Les tribunaux ont notamment statué (lien externe à ibm.com) que les entreprises qui tombent dans le piège des fausses factures doivent tout de même payer leurs véritables contreparties.
L’une des plus grandes escroqueries aux fausses factures a été menée contre Facebook et Google. Entre 2013 et 2015, un escroc s’est fait passer pour Quanta Computer, un vrai fabricant de matériel informatique auquel les deux sociétés font appel, et est parvenu à dérober 98 millions de dollars à Facebook et 23 millions de dollars à Google. Bien que l’escroc ait été arrêté et que les deux entreprises aient récupéré la majeure partie de leur argent, il est rare que les fraudes BEC connaissent des fins aussi heureuses.
Fraude au PDG
Les fraudeurs se font passer pour un cadre, généralement un PDG, et demandent à un employé de virer de l’argent quelque part, souvent sous prétexte de conclure une transaction, de payer une facture en retard ou même d’acheter des cartes-cadeaux pour des collègues.
Les stratagèmes de fraude au PDG créent souvent un sentiment d’urgence, pour pousser la victime à agir vite et sans réfléchir (par exemple, cette facture est en souffrance et si nous ne la payons pas immédiatement, nous ne pourrons plus faire appel à ce service) ou de confidentialité, afin que la personne ciblée ne consulte pas ses collègues (par exemple, cette transaction est confidentielle, n’en parlez donc à personne).
En 2016, un escroc se faisant passer pour le PDG du constructeur aéronautique FACC a simulé une acquisition pour inciter un employé à effectuer un transfert de 47 millions de dollars (lien externe à ibm.com). À la suite de cette escroquerie, le conseil d’administration de l’entreprise a décidé de licencier son directeur financier et son PDG pour « violation » de leurs obligations.
Email Account Compromise (EAC)
Des escrocs s’emparent du compte de messagerie d’un employé non-cadre. Ils peuvent l’utiliser pour envoyer de fausses factures à d’autres entreprises ou pousser d’autres employés à partager des informations confidentielles. Les fraudeurs ont souvent recours à l’EAC pour hameçonner les identifiants de connexion de comptes de membres du personnel plus haut placés afin de les utiliser pour des fraudes au PDG.
Usurpation d’identité d’avocat
Les escrocs se font passer pour un avocat et demandent à la victime de payer une facture ou de partager des informations sensibles. Les escroqueries par usurpation d’identité d’avocat misent sur le fait que de nombreuses personnes sont disposées à coopérer avec des avocats et qu’il n’est pas étrange qu’un avocat demande des informations confidentielles.
Les membres de Cosmic Lynx, un groupe russe d’escrocs par BEC, prétendent souvent être des avocats dans le cadre d’attaques par double usurpation d’identité (lien externe à ibm.com). D’abord, le PDG de l’entreprise ciblée reçoit un e-mail qui lui présente un « avocat » aidant l’entreprise à réaliser une acquisition ou une autre transaction. Ensuite, le faux avocat envoie un e-mail pour lui demander de lui envoyer de l’argent afin de conclure l’accord. En moyenne, les attaques de Cosmic Lynx leur rapportent 1,27 million de dollars par entreprise ciblée.
Vol de données
De nombreuses attaques par BEC ciblent les employés des RH et des services financiers pour dérober des informations personnelles identifiables (PII) et d’autres données sensibles que les escrocs peuvent ensuite utiliser pour commettre un vol d’identité ou mener d’autres attaques plus tard.
Par exemple, en 2017, l’IRS a mis en garde (lien externe à ibm.com) contre une fraude BEC visant à voler des données sur des employés : des escrocs se sont fait passer pour un dirigeant d’entreprise et ont demandé à un employé salarié d’envoyer des copies des formulaires W-2 d’employés (sur lequel figurent le numéro de sécurité sociale des employés et d’autres informations sensibles). Certains de ces salariés ont ensuite reçu des e-mails de suivi leur demandant d’effectuer des virements sur un compte frauduleux. En toute logique, les escrocs se sont dit que les personnes qui trouvaient la demande d’accès aux formulaires W-2 crédible étaient les victimes parfaites à qui demander un virement bancaire.
Vol de marchandises
Début 2023, le FBI a mis en garde (lien externe à ibm.com) contre un nouveau type d’attaque, par lequel les escrocs se font passer pour des entreprises clientes afin de voler des produits à l’entreprise ciblée. En utilisant de fausses informations bancaires et se faisant passer pour des employés du service des achats d’une autre entreprise, les escrocs négocient un achat important à crédit. L’entreprise ciblée expédie la commande, généralement des matériaux de construction ou du matériel informatique, mais les escrocs ne règlent jamais la facture.
Techniquement, la BEC est un type de spear phishing, c’est-à-dire une attaque de phishing qui cible un individu ou un groupe d’individus en particulier. Ce qui la distingue du reste des attaques de spear phishing, c’est qu’elle cible un employé ou un associé d’une entreprise ou d’une organisation, et que l’escroc se fait passer pour un autre employé ou associé à qui la victime fait confiance.
Bien que certaines attaques BEC soient le travail d’escrocs isolés, d’autres (voir ci-dessus) sont lancés par des groupes de fraudeurs par BEC. Ces groupes agissent comme des entreprises légitimes et emploient des experts, tels que des spécialistes en génération de prospects qui recherchent des cibles, des pirates informatiques qui s’introduisent dans des comptes de messagerie et des rédacteurs professionnels qui veillent à ce que les e-mails de phishing soient exempts d’erreurs et convaincants.
Une fois que l’escroc ou le groupe d’escrocs a arrêté son choix sur une entreprise à arnaquer, l’attaque BEC suit généralement le même modèle.
Choisir une entreprise cible
La quasi-totalité des entreprises, organisations à but non lucratif ou gouvernementales représentent des cibles potentielles pour les attaques BEC. Les grandes entreprises qui disposent d’un important capital et de nombreux clients, et qui gèrent suffisamment de transactions pour que les tentatives de BEC passent inaperçues, sont des cibles évidentes.
Toutefois, des événements mondiaux ou régionaux peuvent conduire les escrocs en BEC à des opportunités plus spécifiques, certaines plus évidentes que d’autres. Par exemple, pendant la pandémie de COVID-19, le FBI a averti que des escrocs en BEC se faisant passer pour des fournisseurs de matériel et de fournitures médicaux facturaient des hôpitaux et des organismes de santé. En 2021, à l’extrémité opposée (mais non moins lucrative) du spectre, des escrocs en BEC ont profité de la forte médiatisation de projets éducatifs et de construction réalisés à Peterborough, dans le New Hampshire aux États-Unis, pour détourner 2,3 millions de dollars des fonds municipaux vers des comptes bancaires frauduleux (lien externe à ibm.com).
Rechercher les identités d’employés à cibler et à usurper
Ensuite, les escrocs commencent à effectuer des recherches sur l’entreprise cible et ses activités pour déterminer quels employés recevront les e-mails de phishing et quelles identités ils usurperont pour envoyer les e-mails.
Les escroqueries par BEC ciblent généralement les employés de niveau intermédiaire (par exemple, les responsables du département financier ou des ressources humaines) qui ont le pouvoir d’effectuer des paiements ou d’accéder à des données sensibles, et qui sont susceptibles de satisfaire une demande émanant d’un cadre supérieur ou d’un dirigeant. Certaines attaques BEC ciblent les nouveaux employés qui n’ont pas ou peu de formation en matière de sécurité, et qui ne connaissent pas encore bien les procédures et approbations à respecter pour les paiements ou le partage de données.
Comme identité d’expéditeur, les escrocs choisissent un collègue ou un associé qui peut demander ou influencer de manière crédible l’action que l’escroc souhaite que l’employé cible réalise. Ces identités sont généralement celles de gestionnaires, de cadres ou d’avocats plus haut placés au sein de l’entreprise. Les identités externes à l’entreprise peuvent être celles de cadres travaillant pour un fournisseur ou une entreprise partenaire, mais il peut également s’agir de pairs ou de collègues de l’employé cible. Par exemple, un fournisseur avec lequel l’employé cible collabore régulièrement, un avocat qui apporte ses conseils pour une transaction, ou un client existant ou nouveau.
De nombreux fraudeurs utilisent les mêmes outils de génération de prospects que ceux utilisés par les professionnels du marketing et de la vente (LinkedIn et autres réseaux sociaux, sources d’actualités commerciales et sectorielles, logiciels de prospection et de création de listes) pour trouver des employés pouvant servir de cibles potentielles et identifier des expéditeurs correspondants.
Pirater les réseaux de la cible et de l’expéditeur
Les escrocs par BEC ne prennent pas tous le temps de pirater les réseaux des employés de l’entreprise. Cependant, ceux qui prennent la peine de le faire se comportent comme des malwares, en observant les cibles et les expéditeurs, et en accumulant des informations et des droits d’accès pendant des semaines avant de lancer l’attaque réelle. Cela peut leur permettre de :
Choisir les meilleurs employés cibles et les meilleures identités d’expéditeurs en fonction des comportements observés et des droits d’accès
Apprendre plus d’informations sur la manière dont les factures sont soumises et dont les paiements ou les demandes de données sensibles sont traités, afin de mieux imiter les demandes dans leurs e-mails d’attaque.
Déterminer les dates d’échéance de paiement spécifiques aux fournisseurs, avocats, etc.
Intercepter une facture ou un bon de commande de fournisseur légitime et le modifier pour diriger le paiement sur le compte bancaire de l’escroc
Prendre le contrôle du compte de messagerie de l’expéditeur (voir la compromission du compte de messagerie ci-dessus), ce qui permet à l’escroc d’envoyer des e-mails d’attaque directement depuis le compte, et parfois même de les insérer dans des conversations légitimes, pour un maximum d’authenticité
Préparer et lancer l’attaque
Pour qu’une attaque BEC réussisse, l’usurpation d’identité doit être convaincante. C’est pourquoi les escrocs peaufinent leurs e-mails d’attaque pour une authenticité et une crédibilité maximales.
S’ils n’ont pas piraté l’adresse électronique de l’expéditeur, les escrocs créeront un faux compte de messagerie qui copie l’adresse de l’expéditeur pour paraître légitime. Par exemple, ils peuvent introduire des fautes d’orthographe dans le nom de l’entreprise ou de domaine, comme jsmith@entreprise.com ou jane.smith@enterprise.com pour jane.smith@entreprise.com. Ils peuvent ajouter d’autres indices visuels, tels qu’une signature avec le logo de l’entreprise de l’expéditeur ou une déclaration de confidentialité détaillée (et fausse).
L’un des éléments clés de l’e-mail d’attaque est le prétexte : une histoire fausse mais plausible écrite pour gagner la confiance de la cible et la convaincre de faire ou la pousser à faire ce que l’escroc attend d’elle. Les prétextes les plus efficaces combinent une situation identifiable et un sentiment d’urgence, en insinuant qu’il y aura des conséquences. Par exemple, un message d’un cadre ou d’un PDG tel que : « Je suis sur le point de prendre l’avion. Pouvez-vous payer cette facture (ci-jointe) pour moi afin d’éviter des frais de retard ? »
En fonction de la demande, les escrocs peuvent également créer de faux sites Web, enregistrer de fausses entreprises ou même un faux numéro de téléphone que la personne ciblée peut appeler pour obtenir confirmation qu’il ne s’agit pas d’une fraude (alors que c’en est une).
Les fraudes par BEC sont parmi les cybercrimes les plus difficiles à éviter car elles ont rarement recours à des malwares détectables par les outils de sécurité. À la place, les escrocs misent sur la duperie et la manipulation. Les fraudeurs n’ont même pas besoin de pirater l’entreprise ciblée ; ils peuvent extorquer des sommes considérables aux victimes en s’infiltrant dans le compte d’un fournisseur ou d’un client, ou simplement en se faisant passer pour lui. Par conséquent, d’après le rapport Cost of a Data Breach, les attaques BEC prennent en moyenne 308 jours à être identifiées et stoppées. Il s’agit du deuxième temps de résolution le plus long tous types de violation confondus.
Cela dit, les entreprises peuvent prendre les mesures suivantes pour se défendre contre ces attaques :
Une formation de sensibilisation à la cybersécurité peut aider les employés à saisir les dangers liés au partage excessif sur les plateformes de médias sociaux et les applications que les escrocs utilisent pour identifier et observer leurs cibles. Une telle formation peut également aider les employés à repérer les tentatives de BEC et à appliquer les bonnes pratiques telles que la vérification des demandes de paiements conséquents avant de les traiter.
Les outils de sécurité des e-mails peuvent ne pas détecter tous les e-mails BEC, en particulier ceux provenant de comptes compromis. Cependant, ils peuvent permettre de repérer les adresses e-mail usurpées. Certains outils peuvent également signaler les e-mails au contenu suspect, susceptibles de signaler une tentative de BEC.
L’authentification à deux facteurs ou multifacteurs peut compliquer la tâche des escrocs BEC qui cherchent à pirater des comptes de messagerie.
Les outils de sécurité d’entreprise tels que les fonctionnalités SOAR (orchestration, automatisation et réponse en matière de sécurité), la SIEM (gestion des informations et des événements de sécurité), EDR (détection et réponse des terminaux) et XDR (détection et réponse étendues) peuvent aider les équipes de sécurité à identifier et à stopper les attaques BEC plus rapidement en identifiant les tentatives d’exploitation des vulnérabilités du réseau et en signalant les activités sur les terminaux, dans les comptes de messagerie et à d’autres endroits, susceptibles d’indiquer que des pirates informatiques effectuent des opérations de reconnaissance.
Identifier les menaces avancées qui échappent aux autres solutions. QRadar SIEM tire parti de l’analyse et de l’IA pour surveiller les informations sur les menaces, les anomalies de comportement du réseau et des utilisateurs et pour hiérarchiser les domaines qui nécessitent une attention et une action immédiates.
IBM Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections par logiciels malveillants et les attaques par hameçonnage en protégeant leurs clients business et de la distribution.
Sécurisez les points de terminaison contre les cyberattaques, détectez les comportements anormaux et prenez des mesures correctives en temps quasi réel grâce à une solution de détection et réponse des terminaux (EDR) aussi avancée qu’intuitive.
Découvrez l’actualité, les tendances et les techniques de prévention en matière de BEC sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.
Les ransomwares sont des logiciels malveillants qui prennent en otage les appareils et les données des victimes, jusqu’à ce qu’une rançon soit payée.
Ce rapport, qui en est à sa 17e édition, présente les dernières informations sur l’évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.