La compromission d’e-mails professionnels, ou BEC (pour Business Email Compromise en anglais), est une escroquerie par e-mail de type phishing ciblé dont le but est de dérober de l’argent ou des données sensibles à une entreprise.
Lors d’une attaque BEC, un cybercriminel (ou un groupe de cybercriminels) envoie des e-mails aux employés de l’entreprise ciblée en se faisant passer pour un collègue, un fournisseur, un partenaire, un client ou un autre associé. Les e-mails incitent les employés à payer des factures frauduleuses, des virements vers des comptes bancaires factices ou à divulguer des informations sensibles telles que les données des clients, la propriété intellectuelle ou les finances de l’entreprise.
Dans de rares cas, les escrocs par BEC tentent de propager un ransomware ou un logiciel malveillant en demandant aux victimes d’ouvrir une pièce jointe ou de cliquer sur un lien malveillant. Ils recherchent également soigneusement les employés qu’ils ciblent et les identités qu’ils usurpent pour donner l’impression que leurs e-mails sont légitimes. Les techniques d’ingénierie sociale, telles que l’usurpation d’adresses e-mail et le pretexting, les aident à créer des e-mails malveillants convaincants qui ressemblent à ceux généralement envoyés par l’expéditeur dont l’identité a été usurpée.
Parfois, les escrocs piratent et détournent le compte de messagerie de l’expéditeur, rendant les e-mails malveillants d’autant plus crédibles, puisqu’il devient presque impossible de les distinguer des messages légitimes. Les attaques de compromission d’e-mails professionnels font partie des cyberattaques les plus coûteuses.
Selon le rapport sur le coût d’une violation de données 2022 publié par IBM, les fraudes BEC constituent le deuxième type de violation le plus onéreux, avec un coût moyen de 4,89 millions de dollars. Selon le rapport sur la criminalité sur Internet du Centre de plaintes pour la cybercriminalité du FBI, les escroqueries BEC ont coûté aux victimes américaines un total de 2,7 milliards de dollars en 2022.
Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.
Les experts en cybersécurité et le FBI identifient six principaux types d’attaques BEC.
L’auteur de l’attaque BEC se fait passer pour un fournisseur avec lequel l’entreprise travaille et envoie à l’employé cible un e-mail auquel est jointe une fausse facture. Lorsque l’entreprise règle la facture, l’argent est versé directement à l’attaquant. Pour rendre ces attaques convaincantes, l’escroc peut intercepter de vraies factures du fournisseur et les modifier pour que les paiements soient versés sur ses propres comptes bancaires.
Les tribunaux ont notamment statué que les entreprises qui tombent dans le piège des fausses factures devaient tout de même payer leurs véritables contreparties.
L’une des plus grandes escroqueries aux fausses factures a été menée contre Facebook et Google. Entre 2013 et 2015, un escroc s’est fait passer pour Quanta Computer, un vrai fabricant de matériel informatique auquel les deux sociétés font appel, et est parvenu à dérober 98 millions de dollars à Facebook et 23 millions de dollars à Google. Bien que l’escroc ait été arrêté et que les deux entreprises aient récupéré la majeure partie de leur argent, il est rare que les fraudes BEC connaissent des fins aussi heureuses.
Les escrocs se font passer pour un cadre, généralement un PDG, et demandent à un employé de transférer de l’argent quelque part. Cette demande se fait souvent sous couvert de la conclusion d’un contrat, du paiement d’une facture impayée ou même de l’achat de cartes-cadeau pour des collègues.
Les stratagèmes de fraude au PDG créent souvent un sentiment d’urgence, poussant la cible à agir rapidement et de manière irréfléchie, par exemple : « Cette facture est en souffrance et si nous ne la payons pas immédiatement, nous ne pourrons plus faire appel à ce service. » Une autre technique consiste à créer un sentiment de confidentialité pour empêcher la cible de consulter ses collègues, par exemple : « Cet accord est confidentiel, n’en parlez donc à personne. »
En 2016, un escroc se faisant passer pour le PDG du fabricant aéronautique FACC simulé une fausse acquisition pour inciter un employé à transférer 47 millions d’USD. À la suite de cette escroquerie, le conseil d’administration de l’entreprise a décidé de licencier son directeur financier et son PDG pour « violation » de leurs obligations.
Des escrocs s’emparent du compte e-mail d’un employé non-cadre, puis envoient de fausses factures à d’autres entreprises ou incitent d’autres employés à partager des informations confidentielles. Les escrocs ont souvent recours à l’EAC pour hameçonner les identifiants de connexion de comptes de membres du personnel plus haut placés afin de les utiliser pour des fraudes au PDG.
Les escrocs se font passer pour un avocat et demandent à la victime de payer une facture ou de partager des informations sensibles. Les escroqueries par usurpation d’identité d’avocat reposent sur le fait que les gens ont tendance à coopérer avec des avocats et qu’il n’est pas étrange qu’un avocat demande des informations confidentielles.
Les membres de Cosmic Lynx, un groupe russe d’escrocs par BEC, prétendent souvent être des avocats dans le cadre d’attaques par double usurpation d’identité. D’abord, le PDG de l’entreprise ciblée reçoit un e-mail qui lui présente un « avocat » aidant l’entreprise à réaliser une acquisition ou une autre transaction. Ensuite, le faux avocat envoie un e-mail pour lui demander de lui envoyer de l’argent afin de conclure l’accord. En moyenne, les attaques de Cosmic Lynx leur rapportent 1,27 million de dollars par entreprise ciblée.
De nombreuses attaques par BEC ciblent les employés des RH et des services financiers pour dérober des données personnelles (PII) et d’autres données sensibles que les escrocs peuvent ensuite utiliser pour commettre un vol d’identité ou mener d’autres attaques plus tard.
Par exemple, en 2017, l’IRS a mis en garde contre une fraude BEC visant à voler des données sur des employés : des escrocs se sont fait passer pour un dirigeant d’entreprise et ont demandé à un employé salarié d’envoyer des copies des formulaires W-2 d’employés (sur lequel figurent le numéro de sécurité sociale des employés et d’autres informations sensibles). Certains de ces salariés ont ensuite reçu des e-mails de suivi leur demandant d’effectuer des virements sur un compte frauduleux. En toute logique, les escrocs se sont dit que les personnes qui trouvaient la demande d’accès aux formulaires W-2 crédible étaient les victimes parfaites à qui demander un virement bancaire.
Début 2023, le FBI a mis en garde contre un nouveau type d’attaque par lequel les escrocs se font passer pour des entreprises clientes afin de voler des produits à l’entreprise ciblée. En utilisant de fausses informations bancaires et se faisant passer pour des employés du service des achats d’une autre entreprise, les escrocs négocient un achat important à crédit. L’entreprise ciblée expédie la commande, généralement des matériaux de construction ou du matériel informatique, mais les escrocs ne règlent jamais la facture.
Techniquement, la BEC est un type de phishing ciblé, c’est-à-dire une attaque de phishing qui cible un individu ou un groupe d’individus en particulier. La BEC est unique parmi les attaques de phishing ciblé, qui visent un employé ou un associé d’une entreprise, et l’escroc se fait passer pour un collègue que la cible connaît ou en qui il a tendance à avoir confiance.
Bien que certaines attaques BEC soient le travail d’escrocs isolés, d’autres sont initiés par des groupes de fraudeurs par BEC. Ces groupes agissent comme des entreprises légitimes et emploient des experts, tels que des spécialistes en génération de leads qui recherchent des cibles, des pirates informatiques qui s’introduisent dans des comptes de messagerie et des rédacteurs professionnels qui veillent à ce que les e-mails de phishing soient exempts d’erreurs et convaincants.
Une fois que l’escroc ou le groupe d’escrocs a arrêté son choix sur une entreprise à arnaquer, l’attaque BEC suit généralement le même modèle.
La quasi-totalité des entreprises, organisations à but non lucratif ou gouvernementales représentent des cibles potentielles pour les attaques BEC. Les grandes entreprises qui disposent d’un important capital et de nombreux clients, et qui gèrent suffisamment de transactions pour que les tentatives de BEC passent inaperçues, sont des cibles évidentes.
Toutefois, des événements mondiaux ou régionaux peuvent conduire les escrocs en BEC à des opportunités plus spécifiques, certaines plus évidentes que d’autres. Par exemple, pendant la pandémie de COVID-19, le FBI a averti que des escrocs en BEC se faisant passer pour des fournisseurs de matériel et de fournitures médicaux facturaient des hôpitaux et des organismes de santé.
En 2021, à l’extrémité opposée (mais non moins lucrative) du spectre, des escrocs en BEC ont profité de la forte médiatisation de projets éducatifs et de construction réalisés à Peterborough, dans le New Hampshire aux États-Unis, pour détourner 2,3 millions de dollars des fonds municipaux vers des comptes bancaires frauduleux.
Ensuite, les escrocs commencent à effectuer des recherches sur l’entreprise cible et ses activités pour déterminer quels employés recevront les e-mails de phishing et quelles identités ils usurperont pour envoyer les e-mails.
Les escroqueries par BEC ciblent généralement les employés de niveau intermédiaire (par exemple, les responsables du département financier ou des ressources humaines) qui ont le pouvoir d’effectuer des paiements ou d’accéder à des données sensibles, et qui sont susceptibles de satisfaire une telle demande émanant d’un cadre supérieur ou d’un dirigeant. Certaines attaques BEC ciblent les nouveaux employés qui n’ont pas ou peu de sensibilisation à la sécurité, et qui ne connaissent pas encore bien les procédures et approbations à respecter pour les paiements ou le partage de données.
Comme identité d’expéditeur, les escrocs choisissent un collègue ou un associé qui peut demander ou influencer de manière crédible l’action que l’escroc souhaite que l’employé cible réalise. Ces identités sont généralement celles de gestionnaires, de cadres ou d’avocats plus haut placés au sein de l’entreprise.
Les identités externes à l’entreprise peuvent être celles de cadres travaillant pour un fournisseur ou une entreprise partenaire, mais il peut également s’agir de pairs ou de collègues de l’employé cible. Par exemple, un fournisseur avec lequel l’employé cible collabore régulièrement, un avocat qui apporte ses conseils pour une transaction, ou un client existant ou nouveau.
De nombreux escrocs utilisent les mêmes outils de génération de leads que ceux utilisés par les professionnels du marketing et de la vente (LinkedIn et autres réseaux sociaux, sources d’actualités commerciales et sectorielles, logiciels de prospection et de création de listes) pour trouver des employés pouvant servir de cibles potentielles et identifier des expéditeurs correspondants.
Les escrocs par BEC ne prennent pas tous le temps de pirater les réseaux des employés de l’entreprise. Cependant, ceux qui prennent la peine de le faire se comportent comme des logiciels malveillants, en observant les cibles et les expéditeurs, et en accumulant des informations et des droits d’accès pendant des semaines avant de lancer l’attaque réelle. Cela peut leur permettre de :
Choisir les meilleurs employés cibles et les meilleures identités d’expéditeurs en fonction des comportements observés et des droits d’accès.
Apprendre plus d’informations sur la manière dont les factures sont soumises et dont les paiements ou les demandes de données sensibles sont traités, afin de mieux imiter les demandes dans leurs e-mails d’attaque.
Déterminer les dates d’échéance de paiement spécifiques aux fournisseurs, avocats, etc.
Intercepter une facture ou un bon de commande de fournisseur légitime et le modifier pour diriger le paiement sur le compte bancaire de l’escroc.
Prendre le contrôle du compte de messagerie de l’expéditeur, ce qui permet à l’escroc d’envoyer des e-mails d’attaque directement depuis le compte, et parfois même de les insérer dans des conversations légitimes, pour un maximum d’authenticité.
Pour qu’une attaque BEC réussisse, l’usurpation d’identité doit être convaincante. C’est pourquoi les escrocs peaufinent leurs e-mails d’attaque pour une authenticité et une crédibilité maximales. S’ils n’ont pas piraté l’adresse électronique de l’expéditeur, les escrocs créés un faux compte de messagerie qui copie l’adresse de l’expéditeur pour paraître légitime. (Par exemple, ils peuvent introduire des fautes d’orthographe dans le nom de l’entreprise ou de domaine, comme jsmith@entreprise.com ou jane.smith@enterprise.com pour jane.smith@entreprise.com). Ils peuvent également ajouter d’autres indices visuels, tels qu’une signature avec le logo de l’entreprise de l’expéditeur ou une déclaration de confidentialité détaillée (et fausse).
L’un des éléments clés de l’e-mail d’attaque est le prétexte : une histoire fausse, mais plausible écrite pour gagner la confiance de la cible et la convaincre de faire ou la pousser à faire ce que l’escroc attend d’elle. Les prétextes les plus efficaces combinent une situation identifiable et un sentiment d’urgence, en insinuant qu’il y aura des conséquences. Par exemple, un message d’un cadre ou d’un PDG tel que : « Je suis sur le point de prendre l’avion. Pouvez-vous payer cette facture (ci-jointe) pour moi afin d’éviter des frais de retard ? »
En fonction de la demande, les escrocs peuvent également créer de faux sites web, enregistrer de fausses entreprises ou même un faux numéro de téléphone que la personne ciblée peut appeler pour obtenir confirmation qu’il ne s’agit pas d’une fraude (alors que c’en est une).
Les fraudes par BEC sont parmi les cybercrimes les plus difficiles à éviter, car elles ont rarement recours à des logiciels malveillants détectables par les outils de sécurité. À la place, les escrocs misent sur la duperie et la manipulation. Les escrocs n’ont même pas besoin de pénétrer dans leur entreprise cible.
Ils peuvent escroquer des victimes de sommes considérables en usurpant l’identité d’un fournisseur ou d’un client. Par conséquent, d’après le rapport sur le coût d’une violation de données, les attaques BEC prennent en moyenne 308 jours à être identifiées et stoppées. Il s’agit du deuxième temps de résolution le plus long tous types de violation confondus.
Cela dit, les entreprises peuvent prendre les mesures suivantes pour se défendre contre ces attaques :
Une formation de sensibilisation à la cybersécurité peut aider les employés à saisir les dangers liés au partage excessif sur les plateformes de médias sociaux et les applications que les escrocs utilisent pour identifier et observer leurs cibles. Une telle formation peut également aider les employés à repérer les tentatives de BEC et à appliquer les bonnes pratiques telles que la vérification des demandes de paiements conséquents avant de les traiter.
Les outils de sécurité des e-mails peuvent ne pas détecter tous les e-mails BEC, en particulier ceux provenant de comptes compromis. Cependant, ils peuvent permettre de repérer les adresses e-mail usurpées. Certains outils peuvent également signaler les e-mails au contenu suspect, susceptibles de signaler une tentative de BEC.
L’authentification à deux facteurs ou multifacteurs peut compliquer la tâche des escrocs BEC qui cherchent à pirater des comptes de messagerie.