Qu’est-ce que l’arnaque BEC (Business Email Compromise)?
L'entreprise moyenne utilise le courrier électronique pour tout, du support client aux ressources humaines. Il s'ensuit que lorsqu'une cyberattaque cible une entreprise, le courrier électronique est un point de départ logique. L'escroquerie BEC (Business Email Compromise) en est un exemple.
Une arnaque BEC utilise un mélange d'ingénierie sociale et de fausse direction pour encourager les employés à commencer à envoyer des virements électroniques à de parfaits inconnus. Naturellement, c'est aussi l'une des escroqueries les plus coûteuses dont une entreprise puisse être victime.
Alors, quelle est exactement l'arnaque BEC et comment ça marche? Comment éviter d'en être victime?
Qu'est-ce que l'arnaque BEC (Business Email Compromise)?
Une escroquerie BEC se produit lorsqu'un attaquant utilise un e-mail pour usurper l'identité de quelqu'un d'autre dans le but d'extraire un virement bancaire ou une autre ressource d'une entreprise.
Il est également connu sous le nom d'arnaque Man-in-the-Email. Les escroqueries BEC sont similaires aux attaques de l'homme du milieu en ce qu'elles reposent toutes les deux sur le fait que la victime pense qu'elle communique avec quelqu'un d'autre.
Les escroqueries BEC sont efficaces car la victime a généralement une relation antérieure avec la personne usurpée.
Ils constituent également un problème très répandu. Le FBI a rapporté que les escroqueries BEC coûtaient 1,8 milliard de dollars aux entreprises américaines rien qu'en 2020 .
Comment fonctionne une arnaque BEC?
Tout d'abord, l'attaquant choisit une entreprise à cibler. Ils peuvent frapper un secteur spécifique ou choisir une entreprise dont la sécurité est tout simplement médiocre.
Ils effectueront ensuite des recherches approfondies sur cette entreprise en utilisant des informations accessibles au public telles que le site Web de l'entreprise et / ou les comptes de médias sociaux.
Au cours de cette étape, ils recherchent principalement des personnes à imiter. Mais ils essaient également de découvrir comment une entreprise fonctionne et donc quel type de tactique pourrait réussir.
Une fois qu'ils ont décidé qui usurper l'identité, ils pirateront le compte de messagerie de cette personne ou utiliseront l'usurpation de domaine pour créer une adresse e-mail très similaire.
La dernière étape consiste à utiliser ce compte de messagerie pour obtenir un virement bancaire ou une autre réponse favorable. Les cibles potentielles incluent les employés, les clients et les fournisseurs.
Qui est ciblé par les escroqueries BEC?
Une arnaque BEC peut arriver à presque toutes les entreprises. Alors que les attaques contre les grandes entreprises ont le potentiel d'être plus rentables, les attaques contre les petites entreprises sont généralement plus faciles à mener.
À condition qu'une entreprise réussisse suffisamment pour que des liquidités entrent et sortent chaque mois, la menace d'un BEC est bien réelle.
Exemples d'escroqueries BEC
Il existe un certain nombre d'escroqueries BEC différentes. La plupart, cependant, tomberont dans au moins une des catégories suivantes.
Fraude au PDG
Ce type d'escroquerie BEC implique un attaquant qui se fait passer pour un propriétaire d'entreprise ou un PDG. L'attaquant contactera alors une personne plus bas dans l'entreprise et exigera qu'un virement bancaire ou un autre type de paiement soit effectué.
Compromis de compte
Les escroqueries BEC ne se limitent pas aux employés de haut niveau. À peu près n'importe quel employé peut voir son compte de messagerie piraté puis utilisé à son insu. Des crimes financiers peuvent alors être commis sous le nom de l'entreprise piratée.
Factures factices
Une entreprise peut être victime d'une fraude frauduleuse sur les factures de deux manières. Ils pourraient recevoir une telle facture demandant le paiement d'un fournisseur supposé. Ou un compte de messagerie d'un employé peut être utilisé pour en envoyer un à un client dont les coordonnées bancaires ont été modifiées. Ces attaques visent le plus souvent des entreprises opérant dans le monde entier.
Usurpation d'identité d'avocat
En se faisant passer pour un avocat, les attaquants contactent les employés pour à la fois demander un paiement et faire pression sur un destinataire pour qu'il réponde à d'autres e-mails.
Le vol de données
Certaines escroqueries BEC sont conçues pour voler des données plutôt que de l'argent. Les informations volées peuvent ensuite être vendues ou utilisées pour tout, du chantage aux attaques BEC supplémentaires.
Comment éviter les escroqueries BEC
Les auteurs des escroqueries BEC s'appuient fortement sur le fait que de nombreuses entreprises ne sont pas au courant de leur existence ou ne sont pas du tout préparées à leur survenance.
Voici quelques conseils pour vous assurer que votre entreprise n'en fait pas partie.
- Former les employés: si un employé utilise le courrier électronique dans le cadre de votre entreprise, il doit être mis au courant des escroqueries BEC. Une formation devrait également être fournie, qui aborde à la fois le phishing et l'ingénierie sociale .
- Modifier la façon dont les e-mails sont traités: des protocoles doivent être établis pour l'utilisation des e-mails. Par exemple, les pièces jointes doivent être traitées avec beaucoup de soin, les adresses e-mail doivent toujours être vérifiées deux fois et les e-mails doivent toujours être transférés au lieu de recevoir une réponse (cela garantit que les adresses e-mail sont saisies manuellement).
- Utilisez une messagerie personnalisée: les comptes de messagerie gratuits sont pratiques, mais ils sont également idéaux pour ceux qui souhaitent lancer une arnaque BEC.
- Enregistrez des domaines similaires: enregistrez des domaines similaires à celui de votre entreprise. Cela empêchera les attaquants de le faire et d'essayer de se faire passer pour vous.
- Ne pas trop partager: évitez de partager des informations inutiles sur votre entreprise en ligne. La plupart des détails requis pour une attaque BEC se trouvent souvent sur la page des médias sociaux d'une entreprise.
- Utilisez des mots de passe forts et 2FA: des réglementations strictes en matière de mots de passe et l'application de l'authentification à deux facteurs (2FA) rendront le piratage de vos comptes de messagerie professionnels beaucoup plus difficile.
- Utilisez un logiciel antivirus: il s'agit du moyen le plus simple de prévenir les escroqueries BEC basées sur des logiciels malveillants. L'antivirus peut être utilisé pour empêcher à la fois les enregistreurs de frappe et certaines formes de phishing.
- Vérifiez toujours les paiements: faites-en une procédure opérationnelle standard pour vérifier les détails des virements électroniques avant qu'ils ne se produisent. Par exemple, exigez que tous les employés certifient les paiements par téléphone (en utilisant un numéro qui a été vérifié).
Protégez votre entreprise contre les escroqueries BEC
Alors que la fréquence des escroqueries BEC continue d'augmenter, il devient de plus en plus important pour les entreprises de reconnaître la menace qu'elles représentent. Toute entreprise, quelle que soit sa taille, peut être victime d'une telle attaque. Et étant donné le coût moyen élevé, ce n'est pas quelque chose que la plupart peuvent se permettre de prendre à la légère.
Les mesures prises pour éviter une telle attaque sont en grande partie simples. Et la moitié de la bataille consiste simplement à savoir que de telles attaques peuvent se produire et qu'elles le font fréquemment.