Qu’est-ce que le BEC ?
La compromission d’e-mails professionnels (Business Email Compromise ou BEC) est un type de fraude astucieux qui cible généralement les employés d’entreprises qui transfèrent régulièrement des fonds à leurs partenaires.
Cette arnaque, dont fait partie la fraude du président, utilise des comptes de messagerie usurpés ou compromis pour convaincre le destinataire de fournir de l’information sur l’entreprise, envoyer de l’argent ou partager des innovations ou technologies propres à l’entreprise.
Le BEC mise sur une technique d’ingénierie sociale qui consiste à gagner la confiance du destinataire. Les cybercriminels derrière cette technique savent que la plupart des gens prêtent peu d’attention à l’adresse mail de l’expéditeur et ne remarqueront pas une légère différence dans l’URL.
Ces techniques, combinées à un mail stratégiquement rédigé sur un ton familier et urgent, font qu’il est très difficile pour les employés d’entreprises de reconnaître rapidement et facilement les menaces posées par un mail d’affaires compromis.
Les cybercriminels utilisent le phishing, le spear phishing et l’ingénierie sociale pour personnifier un dirigeant d’entreprise, les services de comptabilité de partenaires et d’autres membres importants de l’organisation.
Le BEC est-ce fréquent ?
Selon le Centre de plaintes pour les crimes commis sur Internet (Internet Crimes Complaint Center division ou IC3) du FBI, le BEC a été la cybermenace la plus coûteuse de 2020, avec des pertes estimées à 1,8 milliard de dollars au total. Le rapport d’enquête 2021 sur les compromissions de données de Verizon sur les enquêtes relatives aux violations de données 2021 énonce des informations similaires et place le BEC au deuxième rang des violations de données les plus risquées en 2020, notamment dues à une vague d’usurpation d’identité de marque, en particulier sur les médias sociaux.
De même, le Centre antifraude du Canada (CAFC) a reçu des rapports faisant état de près de 30 millions de dollars de pertes liées aux compromissions d’e-mails professionnels en 2020. L’estimation totale pour 2021 est beaucoup plus élevée, avec plus de 26 millions de dollars de pertes signalées au cours du seul premier semestre de l’année civile.
Les statistiques ci-dessus démontrent la prévalence et la dangerosité des attaques pour les entreprises et les individus, qui sont amenés à céder de l’argent, des informations et des technologies.
Le Centre de plaintes pour les crimes de l’Internet du FBI recommande que les employés demeurent méfiants face aux mails demandant des informations de nature confidentielle ou faisant pression pour une action rapide.
La formation en sensibilisation à la cybersécurité et l’éducation continue constituent la clé pour souligner l’importance d’être cybervigilant en ce qui a trait aux mails et à la boîte de réception.
Quels sont les différents types de BEC ?
Il existe 5 grands types de BEC :
Comment la compromission d’un e-mail professionnel se produit-elle ?
En raison de la nature de la fraude, une attaque par BEC requiert une approche stratégique et minutieuse.
1. D’abord, le cybercriminel prendra le temps d’effectuer des recherches sur l’entreprise ciblée. Il utilise des informations accessibles au public comme des communiqués de presse, des profils LinkedIn, du contenu Web et des publications sur les médias sociaux pour recueillir les noms et les titres du personnel clé.
Certains cybercriminels vont jusqu’à chercher des renseignements sur les déplacements, la participation à des conférences, les partenaires et investisseurs, les nouveaux produits et des faits de base sur l’entreprise.
2. À l’aide de cette information, le cybercriminel peut soit pirater le système de messagerie électronique de l’entreprise à l’aide d’une technique de phishing ou usurper le compte de messagerie d’un employé clé.
3. Une fois infiltré dans l’entreprise, le cybercriminel utilise l’accès à la messagerie et l’information recueillie sur l’entreprise pour transmettre des mails ciblés, familiers et urgents aux employés susceptibles de répondre favorablement.
4. Les employés sans méfiance reçoivent des mails de la part du cybercriminel se faisant passer pour un collègue, un avocat ou un partenaire de l’entreprise et demandant un paiement, un transfert de fonds ou des informations confidentielles.
5. Comme l’adresse mail est familière et que la demande n’est pas inhabituelle, l’employé, croyant agir dans l’intérêt de l’entreprise, répond sans hésiter à la demande de paiement du cybercriminel.
Il est important de se rappeler que les fraudes de ce type reposent sur des techniques d’ingénierie sociale ingénieuses et sur la confiance humaine, d’où l’importance de miser sur la sensibilisation à la cybersécurité
Les simulations de phishing vous permettent d’ailleurs de démontrer aux employés à quel point il est facile de se faire prendre au piège et également d’identifier ceux qui seraient les plus vulnérables aux fraudes par BEC et aux attaques de phishing.
Comment prévenir les attaques par BEC
1.
Informez vos employés sur les cinq types d’attaques de BEC. Profitez des outils gratuits de simulation de phishing pour éduquer et identifier les risques liés aux mails d’affaires compromis et au phishing.
2.
Utilisez des plateformes éprouvées de sensibilisation à la sécurité et de simulation de phishing pour que les risques d’ingénierie sociale demeurent au sommet des préoccupations de vos employés. À l’interne, formez des héros de la cybersécurité dédiés à garder votre organisation cybersécuritaire.
3.
Rappelez à vos responsables de la sécurité et héros de la cybersécurité de régulièrement contrôler le degré de sensibilisation de vos employés aux mails d’affaires compromis et à le phishing à l’aide d’outils de simulation. Utilisez les modules de microapprentissage sur les mails d’affaires compromis pour éduquer, former et changer les comportements.
4.
Effectuez des communications et des campagnes en continu sur la cybersécurité, la compromission des mails d’affaires et l’ingénierie sociale. Profitez-en pour élaborer des politiques de mots de passe forts et rappelez à vos employés les risques liés aux mails, aux URL et aux pièces jointes.
5.
Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’information à l’extérieur de votre réseau d’entreprise.
6.
Assurez-vous que tous les systèmes d’exploitation, outils réseau, logiciels internes et applications sont à jour et sécurisés. Installez des logiciels de protection contre les malwares et les pourriels.
7.
Intégrez les campagnes de sensibilisation à la cybersécurité, la formation, le soutien, l’éducation et la gestion de projet à votre culture d’entreprise.
Regardez la vidéo suivante sur le BEC grâce à la sensibilisation à la sécurité et aux simulations de phishing pour comprendre à quel point il est facile pour quiconque d'être victime d'une escroquerie de BEC.
La simulation de phishing est la meilleure façon d’augmenter la sensibilisation face aux risques posés par les mails d’affaires compromis et d’identifier les employés susceptibles de se faire prendre au piège.
Le BEC mise sur des techniques de phishing pour accéder au système de messagerie électronique de l’entreprise et utilise l’ingénierie sociale pour convaincre les employés de passer à l’action.
La simulation de phishing permet donc de facilement intégrer la formation en sensibilisation à la cybersécurité dans votre organisation sous une forme interactive.
Les participants constatent d’eux-mêmes comment des mails personnalisés et semblant provenir d’une source fiable sont utilisés pour voler des données personnelles et corporatives. Les simulations de phishing et de compromission d’e-mails professionnels en temps réel constituent une façon idéale d’éduquer les gens et de stimuler leur vigilance.
Comment les simulations de phishing peuvent-elles aider à prévenir le BEC ?
Les simulations de phishing vous permettent de démontrer à vos employés à quel point il est facile d’être victime de BEC.
À l’aide d’exemples concrets et de simulations de phishing sophistiquées, les employés comprennent pourquoi il est essentiel de vérifier les adresses mail et de confirmer l’origine des demandes de fonds ou d’informations confidentielles avant d’agir.
Les simulations de phishing procurent à votre entreprise les 10 principaux avantages suivants dans la lutte aux fraudes par BEC et autres menaces de cybersécurité :
1. Mesurer le degré de vulnérabilité de l’entreprise et des employés
2. Éliminer les risques représentés par les cybermenaces
3. Accroître la vigilance des utilisateurs face au risque de compromission d’e-mails professionnels et de phishing
4. Instiller une culture de cybersécurité et former des héros de la cybersécurité
5. Changer les comportements pour éliminer les réflexes de confiance automatique
6. Déployer des solutions anti-phishing ciblées
7. Protéger vos précieuses données corporatives et personnelles
8. Répondre aux exigences de l’industrie en matière de conformité
9. Évaluer les impacts de la formation en sensibilisation à la cybersécurité
10. Segmenter la simulation de BEC et de phishing
Pour en apprendre davantage sur le BEC et comment garder votre entreprise en cybersécurité, consultez ces ressources gratuites sur la sensibilisation à la sécurité :
Contactez-nous au 1-866-889-5806 ou à [email protected] pour en savoir plus sur la compromission d’e-mails professionnels.
Terranova Security s’engage à fournir une formation centrée sur l’humain qui sensibilise votre organisation à la cybersécurité.