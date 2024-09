Les experts en cybersécurité et le FBI identifient six principaux types d’attaques BEC.



Fausses factures



L’escroc prétend être un fournisseur avec lequel l’entreprise travaille et envoie à l’employé ciblé un e-mail contenant une fausse facture en pièce jointe. Lorsque l’entreprise règle la facture, l’argent est versé directement à l’escroc. Pour rendre ces attaques convaincantes, l’escroc peut intercepter de vraies factures du fournisseur et les modifier pour que les paiements soient versés sur ses propres comptes bancaires.

Les tribunaux ont notamment statué (lien externe à ibm.com) que les entreprises qui tombent dans le piège des fausses factures doivent tout de même payer leurs véritables contreparties.

L’une des plus grandes escroqueries aux fausses factures a été menée contre Facebook et Google. Entre 2013 et 2015, un escroc s’est fait passer pour Quanta Computer, un vrai fabricant de matériel informatique auquel les deux sociétés font appel, et est parvenu à dérober 98 millions de dollars à Facebook et 23 millions de dollars à Google. Bien que l’escroc ait été arrêté et que les deux entreprises aient récupéré la majeure partie de leur argent, il est rare que les fraudes BEC connaissent des fins aussi heureuses.



Fraude au PDG



Les fraudeurs se font passer pour un cadre, généralement un PDG, et demandent à un employé de virer de l’argent quelque part, souvent sous prétexte de conclure une transaction, de payer une facture en retard ou même d’acheter des cartes-cadeaux pour des collègues.

Les stratagèmes de fraude au PDG créent souvent un sentiment d’urgence, pour pousser la victime à agir vite et sans réfléchir (par exemple, cette facture est en souffrance et si nous ne la payons pas immédiatement, nous ne pourrons plus faire appel à ce service) ou de confidentialité, afin que la personne ciblée ne consulte pas ses collègues (par exemple, cette transaction est confidentielle, n’en parlez donc à personne).

En 2016, un escroc se faisant passer pour le PDG du constructeur aéronautique FACC a simulé une acquisition pour inciter un employé à effectuer un transfert de 47 millions de dollars (lien externe à ibm.com). À la suite de cette escroquerie, le conseil d’administration de l’entreprise a décidé de licencier son directeur financier et son PDG pour « violation » de leurs obligations.



Email Account Compromise (EAC)



Des escrocs s’emparent du compte de messagerie d’un employé non-cadre. Ils peuvent l’utiliser pour envoyer de fausses factures à d’autres entreprises ou pousser d’autres employés à partager des informations confidentielles. Les fraudeurs ont souvent recours à l’EAC pour hameçonner les identifiants de connexion de comptes de membres du personnel plus haut placés afin de les utiliser pour des fraudes au PDG.

Usurpation d’identité d’avocat



Les escrocs se font passer pour un avocat et demandent à la victime de payer une facture ou de partager des informations sensibles. Les escroqueries par usurpation d’identité d’avocat misent sur le fait que de nombreuses personnes sont disposées à coopérer avec des avocats et qu’il n’est pas étrange qu’un avocat demande des informations confidentielles.

Les membres de Cosmic Lynx, un groupe russe d’escrocs par BEC, prétendent souvent être des avocats dans le cadre d’attaques par double usurpation d’identité (lien externe à ibm.com). D’abord, le PDG de l’entreprise ciblée reçoit un e-mail qui lui présente un « avocat » aidant l’entreprise à réaliser une acquisition ou une autre transaction. Ensuite, le faux avocat envoie un e-mail pour lui demander de lui envoyer de l’argent afin de conclure l’accord. En moyenne, les attaques de Cosmic Lynx leur rapportent 1,27 million de dollars par entreprise ciblée.



Vol de données



De nombreuses attaques par BEC ciblent les employés des RH et des services financiers pour dérober des informations personnelles identifiables (PII) et d’autres données sensibles que les escrocs peuvent ensuite utiliser pour commettre un vol d’identité ou mener d’autres attaques plus tard.

Par exemple, en 2017, l’IRS a mis en garde (lien externe à ibm.com) contre une fraude BEC visant à voler des données sur des employés : des escrocs se sont fait passer pour un dirigeant d’entreprise et ont demandé à un employé salarié d’envoyer des copies des formulaires W-2 d’employés (sur lequel figurent le numéro de sécurité sociale des employés et d’autres informations sensibles). Certains de ces salariés ont ensuite reçu des e-mails de suivi leur demandant d’effectuer des virements sur un compte frauduleux. En toute logique, les escrocs se sont dit que les personnes qui trouvaient la demande d’accès aux formulaires W-2 crédible étaient les victimes parfaites à qui demander un virement bancaire.



Vol de marchandises



Début 2023, le FBI a mis en garde (lien externe à ibm.com) contre un nouveau type d’attaque, par lequel les escrocs se font passer pour des entreprises clientes afin de voler des produits à l’entreprise ciblée. En utilisant de fausses informations bancaires et se faisant passer pour des employés du service des achats d’une autre entreprise, les escrocs négocient un achat important à crédit. L’entreprise ciblée expédie la commande, généralement des matériaux de construction ou du matériel informatique, mais les escrocs ne règlent jamais la facture.