Qu’est-ce que le BEC ?

La compromission d’e-mails professionnels (Business Email Compromise ou BEC) est un type de fraude astucieux qui cible généralement les employés d’entreprises qui transfèrent régulièrement des fonds à leurs partenaires.

Cette arnaque, dont fait partie la fraude du président, utilise des comptes de messagerie usurpés ou compromis pour convaincre le destinataire de fournir de l’information sur l’entreprise, envoyer de l’argent ou partager des innovations ou technologies propres à l’entreprise.

Le BEC mise sur une technique d’ingénierie sociale qui consiste à gagner la confiance du destinataire. Les cybercriminels derrière cette technique savent que la plupart des gens prêtent peu d’attention à l’adresse mail de l’expéditeur et ne remarqueront pas une légère différence dans l’URL.

Ces techniques, combinées à un mail stratégiquement rédigé sur un ton familier et urgent, font qu’il est très difficile pour les employés d’entreprises de reconnaître rapidement et facilement les menaces posées par un mail d’affaires compromis.

Les cybercriminels utilisent le phishing, le spear phishing et l’ingénierie sociale pour personnifier un dirigeant d’entreprise, les services de comptabilité de partenaires et d’autres membres importants de l’organisation.

Le BEC est-ce fréquent ?

Selon le Centre de plaintes pour les crimes commis sur Internet (Internet Crimes Complaint Center division ou IC3) du FBI, le BEC a été la cybermenace la plus coûteuse de 2020, avec des pertes estimées à 1,8 milliard de dollars au total. Le rapport d’enquête 2021 sur les compromissions de données de Verizon sur les enquêtes relatives aux violations de données 2021 énonce des informations similaires et place le BEC au deuxième rang des violations de données les plus risquées en 2020, notamment dues à une vague d’usurpation d’identité de marque, en particulier sur les médias sociaux.

De même, le Centre antifraude du Canada (CAFC) a reçu des rapports faisant état de près de 30 millions de dollars de pertes liées aux compromissions d’e-mails professionnels en 2020. L’estimation totale pour 2021 est beaucoup plus élevée, avec plus de 26 millions de dollars de pertes signalées au cours du seul premier semestre de l’année civile.

Les statistiques ci-dessus démontrent la prévalence et la dangerosité des attaques pour les entreprises et les individus, qui sont amenés à céder de l’argent, des informations et des technologies.

Le Centre de plaintes pour les crimes de l’Internet du FBI recommande que les employés demeurent méfiants face aux mails demandant des informations de nature confidentielle ou faisant pression pour une action rapide.

La formation en sensibilisation à la cybersécurité et l’éducation continue constituent la clé pour souligner l’importance d’être cybervigilant en ce qui a trait aux mails et à la boîte de réception.

Quels sont les différents types de BEC ?

Il existe 5 grands types de BEC :

Arnaque de la fausse facture

À l’aide d’un malware ou d’une autre technique de phishing, le cybercriminel infiltre le système de mail de l’entreprise. Il prend ensuite le contrôle du compte de courrier électronique d’un employé qui s’occupe généralement des demandes de paiement de factures et de transferts de fonds.

À partir du compte compromis, le cybercriminel envoie un mail à un autre employé lui demandant de transférer des fonds ou de faire le paiement d’une facture à un compte spécifique. Le mail est souvent rédigé sur un ton urgent. L’employé ciblé fait confiance à l’expéditeur du message et envoie, par inadvertance, des fonds vers un compte frauduleux lié au cybercriminel.

Fraude du président

La fraude du président est probablement l’une des compromissions d’e-mails professionnels les plus connues. Dans ce type de fraude, le cybercriminel usurpe l’adresse mail d’un dirigeant et utilise cette identité pour voler des fonds de l’entreprise. En général, l’adresse mail usurpée sera légèrement différente du compte réel — par exemple, [email protected] plutôt que [email protected]

En utilisant cette adresse et cette identité, le cybercriminel envoie un mail ayant pour message, la demande d’un transfert d’argent urgent. Le destinataire en confiance, ne contre-vérifie pas l’exactitude de l’adresse mail, du nom de la banque ou de la compagnie associée au transfert et envoie les fonds comme demandé.

Compromission d’un compte

Le compte d’un employé est piraté à l’aide de techniques de phishing. Le cybercriminel parcourt la liste de contacts de l’employé à la recherche de fournisseurs et de partenaires de l’entreprise. Des mails sont ensuite envoyés à ces contacts à partir du compte piraté leur demandant que des paiements soient envoyés vers un faux compte contrôlé par le cybercriminel.

Imposture de l’avocat

Dans ce cas de compromission, le cybercriminel, se faisant passer pour l’avocat agissant pour le compte d’un client, contacte des employés ou le directeur général. L’auteur fait clairement comprendre que cette conversation par mail est urgente et doit rester confidentielle. Cédant sous la pression et croyant bien faire, la victime transfert les fonds demandés.

Les cybercriminels utilisent souvent ce stratagème un vendredi après-midi ou juste avant le début d’un congé sachant que leurs destinataires seront plus pressés de terminer et donc moins vigilants.

Vol de données

Ici, le cybercriminel prend le contrôle de l’adresse mail professionnel d’un ou de plusieurs membres de l’équipe des ressources humaines. Ces adresses électroniques sont utilisées pour envoyer des demandes d’informations confidentielles concernant les employés, l’entreprise, les partenaires et les investisseurs. Des données qui sont ensuite utilisées par le cybercriminel dans le cadre d’une fraude plus large de BEC ou d’une cyberattaque plus avancée contre la compagnie.

Ces programmes de BEC soulignent l'importance de fournir aux employés de l'entreprise une formation et des connaissances en matière de sécurité qui renforcent l'importance de prêter attention aux adresses e-mails, aux noms d'entreprise et aux demandes avec même un soupçon de suspicion.

Comment la compromission d’un e-mail professionnel se produit-elle ?

En raison de la nature de la fraude, une attaque par BEC requiert une approche stratégique et minutieuse.

1. D’abord, le cybercriminel prendra le temps d’effectuer des recherches sur l’entreprise ciblée. Il utilise des informations accessibles au public comme des communiqués de presse, des profils LinkedIn, du contenu Web et des publications sur les médias sociaux pour recueillir les noms et les titres du personnel clé.

Certains cybercriminels vont jusqu’à chercher des renseignements sur les déplacements, la participation à des conférences, les partenaires et investisseurs, les nouveaux produits et des faits de base sur l’entreprise.

2. À l’aide de cette information, le cybercriminel peut soit pirater le système de messagerie électronique de l’entreprise à l’aide d’une technique de phishing ou usurper le compte de messagerie d’un employé clé.

3. Une fois infiltré dans l’entreprise, le cybercriminel utilise l’accès à la messagerie et l’information recueillie sur l’entreprise pour transmettre des mails ciblés, familiers et urgents aux employés susceptibles de répondre favorablement.

4. Les employés sans méfiance reçoivent des mails de la part du cybercriminel se faisant passer pour un collègue, un avocat ou un partenaire de l’entreprise et demandant un paiement, un transfert de fonds ou des informations confidentielles.

5. Comme l’adresse mail est familière et que la demande n’est pas inhabituelle, l’employé, croyant agir dans l’intérêt de l’entreprise, répond sans hésiter à la demande de paiement du cybercriminel.

Il est important de se rappeler que les fraudes de ce type reposent sur des techniques d’ingénierie sociale ingénieuses et sur la confiance humaine, d’où l’importance de miser sur la sensibilisation à la cybersécurité

Les simulations de phishing vous permettent d’ailleurs de démontrer aux employés à quel point il est facile de se faire prendre au piège et également d’identifier ceux qui seraient les plus vulnérables aux fraudes par BEC et aux attaques de phishing.

Comment prévenir les attaques par BEC

1.

Informez vos employés sur les cinq types d’attaques de BEC. Profitez des outils gratuits de simulation de phishing pour éduquer et identifier les risques liés aux mails d’affaires compromis et au phishing.

2.

Utilisez des plateformes éprouvées de sensibilisation à la sécurité et de simulation de phishing pour que les risques d’ingénierie sociale demeurent au sommet des préoccupations de vos employés. À l’interne, formez des héros de la cybersécurité dédiés à garder votre organisation cybersécuritaire.

3.

Rappelez à vos responsables de la sécurité et héros de la cybersécurité de régulièrement contrôler le degré de sensibilisation de vos employés aux mails d’affaires compromis et à le phishing à l’aide d’outils de simulation. Utilisez les modules de microapprentissage sur les mails d’affaires compromis pour éduquer, former et changer les comportements.

4.

Effectuez des communications et des campagnes en continu sur la cybersécurité, la compromission des mails d’affaires et l’ingénierie sociale. Profitez-en pour élaborer des politiques de mots de passe forts et rappelez à vos employés les risques liés aux mails, aux URL et aux pièces jointes.

5.

Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’information à l’extérieur de votre réseau d’entreprise.

6.

Assurez-vous que tous les systèmes d’exploitation, outils réseau, logiciels internes et applications sont à jour et sécurisés. Installez des logiciels de protection contre les malwares et les pourriels.

7.

Intégrez les campagnes de sensibilisation à la cybersécurité, la formation, le soutien, l’éducation et la gestion de projet à votre culture d’entreprise.

Regardez la vidéo suivante sur le BEC grâce à la sensibilisation à la sécurité et aux simulations de phishing pour comprendre à quel point il est facile pour quiconque d'être victime d'une escroquerie de BEC.

La simulation de phishing est la meilleure façon d’augmenter la sensibilisation face aux risques posés par les mails d’affaires compromis et d’identifier les employés susceptibles de se faire prendre au piège.

Le BEC mise sur des techniques de phishing pour accéder au système de messagerie électronique de l’entreprise et utilise l’ingénierie sociale pour convaincre les employés de passer à l’action.

La simulation de phishing permet donc de facilement intégrer la formation en sensibilisation à la cybersécurité dans votre organisation sous une forme interactive.

Les participants constatent d’eux-mêmes comment des mails personnalisés et semblant provenir d’une source fiable sont utilisés pour voler des données personnelles et corporatives. Les simulations de phishing et de compromission d’e-mails professionnels en temps réel constituent une façon idéale d’éduquer les gens et de stimuler leur vigilance.

Comment les simulations de phishing peuvent-elles aider à prévenir le BEC ?

Les simulations de phishing vous permettent de démontrer à vos employés à quel point il est facile d’être victime de BEC.

À l’aide d’exemples concrets et de simulations de phishing sophistiquées, les employés comprennent pourquoi il est essentiel de vérifier les adresses mail et de confirmer l’origine des demandes de fonds ou d’informations confidentielles avant d’agir.

Les simulations de phishing procurent à votre entreprise les 10 principaux avantages suivants dans la lutte aux fraudes par BEC et autres menaces de cybersécurité :

1. Mesurer le degré de vulnérabilité de l’entreprise et des employés

2. Éliminer les risques représentés par les cybermenaces

3. Accroître la vigilance des utilisateurs face au risque de compromission d’e-mails professionnels et de phishing

4. Instiller une culture de cybersécurité et former des héros de la cybersécurité

5. Changer les comportements pour éliminer les réflexes de confiance automatique

6. Déployer des solutions anti-phishing ciblées

7. Protéger vos précieuses données corporatives et personnelles

8. Répondre aux exigences de l’industrie en matière de conformité

9. Évaluer les impacts de la formation en sensibilisation à la cybersécurité

10. Segmenter la simulation de BEC et de phishing

Pour en apprendre davantage sur le BEC et comment garder votre entreprise en cybersécurité, consultez ces ressources gratuites sur la sensibilisation à la sécurité :