Attaques BEC : au cœur d’une escroquerie à 26 milliards de dollars | SonicWall
Une nouvelle étude d’Osterman Research montre pourquoi les attaques BEC (Business Email Compromise) sont financièrement plus dévastatrices que les ransomwares et comment y faire face.
Pourquoi les cybercriminels s’ennuieraient-ils à employer des outils d’obscurcissement, lancer des cyberattaques multi-étapes, chiffrer des terminaux ou marchander des rançons… s’ils peuvent tout simplement demander l’argent ? C’est le concept des attaques dites de Business Email Compromise (BEC), un type de cyberattaque qui connaît une croissance spectaculaire ces dernières années.
L’Internet Crime Complaint Center (IC3) du gouvernement fédéral américain, qui traque ces attaques depuis 2013, les a surnommées « l’escroquerie à 26 milliards de dollars ». L’expression est sans doute dépassée entre-temps au vu de l’explosion des attaques, sachant que la pandémie a accru le recours aux messages électroniques.
Si les grandes attaques de ransomwares continuent à faire la une des journaux, les attaques BEC font perdre beaucoup plus d’argent. En 2020, par exemple, les attaques BEC ont totalisé 1,8 milliard de dollars rien qu’aux États-Unis, et comptent, selon les estimations, pour 40 % des pertes liées au cybercrime dans le monde.
Anatomie d’une attaque BEC
On les considère certes comme une sorte de phishing, mais les attaques BEC ne recourent pas à du code ou à des liens malveillants. Au contraire, elles misent tout sur l’ingénierie sociale. Ces attaques ciblent spécifiquement des organisations qui traitent des demandes de transfert de fonds légitimes et qui requièrent généralement l’intervention de collaborateurs haut placés pour assurer la conformité.
D’après le livre blanc d’Osterman sponsorisé par SonicWall, « Comment gérer le Business Email Compromise, ou BEC », les malfaiteurs créent des adresses e-mail qui imitent celles utilisées par les dirigeants, utilisent des services gratuits comme Gmail pour créer des adresses e-mail qui ont l’apparence d’un compte personnel d’un dirigeant ou, plus rarement, parviennent à accéder au compte de messagerie professionnel d’un dirigeant par le biais d’attaques de phishing ou d’autres moyens.
Vous voyez ci-dessus un message BEC que j’ai reçu. Notez l’impression d’importance que l’auteur veut donner – le message semble venir du PDG de SonicWall, alors que son origine est extérieure à l’entreprise. Cet exemple de message est plutôt maladroit. La plupart du temps, ces e-mails sont beaucoup plus sophistiqués, au niveau de la langue comme de la présentation.
Une fois que l’attaquant dispose d’un compte de messagerie crédible duquel il peut opérer, il se sert de tactiques d’ingénierie sociale pour demander à la cible de transférer le paiement d’une facture réelle sur le compte bancaire du criminel, de solliciter un paiement avec une fausse facture ou de virer un salaire sur un compte frauduleux.
Étant donné que ces attaques revêtent un caractère urgent et semblent provenir d’un PDG, d’un directeur financier ou d’un autre collaborateur haut placé, les cibles s’efforcent généralement de répondre le plus rapidement possible à la demande. Si les collaborateurs tombent dans le piège, la société perd une grosse somme d’argent et le cybercriminel a fait une belle affaire de plus.
Quelle est la fréquence des attaques BEC ?
Des attaques BEC ont été enregistrées dans chaque État des États-Unis, ainsi que dans 177 pays du monde. Selon le tout dernier rapport de l’IC3, près de 20 000 de ces attaques ont été signalées rien qu’en 2020 – un chiffre sans doute sous-estimé, sachant que d’après la recherche Osterman, quatre entreprises sur cinq ont été la cible d’au moins une attaque BEC en 2021. Pour les PME (entre 500 et 2 500 utilisateurs d’e-mail), ce chiffre est même passé à neuf sur dix.
Pire, près de 60 % des entreprises interrogées ont indiqué avoir été victimes d’une attaque BEC réussie ou quasi réussie. Pour celles qui ont été ciblées et où l’attaque a abouti, les coûts ont été conséquents : entre coûts directs et indirects, l’impact financier total d’un BEC se monte à 114 762 dollars. Malheureusement, les coûts directs, même s’ils sont importants pour une entreprise individuelle, sont souvent trop faibles pour obtenir le soutien des forces de l’ordre et des compagnies d’assurance.
Les attaques BEC peuvent être stoppées (mais probablement pas de la manière que vous imaginez.)
Beaucoup d’autres attaques utilisent du code ou des liens malveillants, que les solutions anti-malware et les passerelles de messageries sécurisées peuvent bloquer. Mais les tactiques d’ingénierie sociale utilisées dans les attaques BEC – en particulier celles lancées depuis une adresse e-mail légitime – ne peuvent souvent pas être décelées par ces solutions.
Même si les trois-quarts des entreprises interrogées affirment vouloir se protéger contre ces attaques, beaucoup s’en remettent encore principalement à des technologies qui n’ont jamais été conçues pour stopper les attaques BEC.
Il n’y a pas grand-chose que vous pouvez faire pour ne pas faire partie des 80 % (tendance à la hausse) d’entreprises ciblées par des attaques BEC chaque année. En revanche, vous pouvez faire beaucoup d’autres choses pour sauvegarder les finances de votre organisation. Il s’agit essentiellement des trois piliers que sont les personnes, les processus et les technologies.
Les technologies sont votre première ligne de défense face aux attaques BEC. Nombre de solutions se disent capables de combattre les attaques BEC, mais leur efficacité varie largement. Pour bénéficier d’une protection optimale, tournez-vous vers une solution qui bloque les BEC, mais qui s’occupe également des collaborateurs.
Avez-vous remarqué, dans l’exemple ci-dessus, la mention avertissant le lecteur que l’e-mail provenait de l’extérieur de l’entreprise ? Une simple alerte comme celle-ci peut faire la différence : la tentative de BEC aboutira-t-elle ou sera-t-elle décelée et supprimée par le destinataire ?
La formation du personnel est indispensable en plus de la protection, notamment dans les entreprises qui utilisent encore des technologies traditionnelles. Les collaborateurs doivent être coachés afin de savoir reconnaître des adresses e-mail usurpées, une grammaire ou une syntaxe atypique, ou encore un caractère urgent inhabituel.
Dans le cas de tentatives particulièrement sophistiquées, des processus doivent être mis en place pour réagir au cas où un BEC parviendrait jusqu’à la boîte de réception et qu’il ne serait pas suspecté par le destinataire. Il existe diverses mesures qui forment souvent une dernière ligne de défense efficace contre les attaques BEC, par exemple des confirmations hors bande ou des règles imposant le contrôle par plusieurs personnes d’une modification de coordonnées bancaires.
73 % des entreprises ne sont pas préparées à une attaque BEC
La vôtre en fait-elle partie ? Pour en savoir plus sur les attaques BEC et sur les nombreux autres moyens de les stopper, téléchargez le livre blanc d’Osterman sponsorisé par SonicWall, « How to Deal with Business Email Compromise » (Comment gérer le Business Email Compromise, ou BEC).
This post is also available in: Anglais Portugais - du Brésil Deutsch Espagnol Italien
