Guide de compromission des e-mails professionnels

La compromission de la messagerie professionnelle est une tendance inquiétante qui peut finir par frauder des millions de personnes. Il s’agit essentiellement les cybercriminels manipulent les employés pour qu'ils transfèrent de l'argent sur leur compte .

Qu'il s'agisse de créer de fausses factures ou de s'emparer des comptes de messagerie des PDG, les pirates informatiques peuvent recourir à des attaques de compromission de la messagerie professionnelle pour s'enrichir, le tout à un coût élevé pour les entreprises sans méfiance.

Il est étonnamment facile pour les employés de se laisser entraîner dans des escroqueries de compromission de courrier électronique professionnel. Il est donc important que les entreprises se tiennent au courant du problème et mettent en œuvre des politiques, des outils et des formations qui minimisent les risques.

Ce guide explique ce qu'est réellement la compromission de la messagerie professionnelle, présente quelques exemples d'attaques précédentes et donne également des conseils sur la manière dont les organisations peuvent minimiser les risques de compromission de la messagerie professionnelle.

Qu’est-ce que la compromission de la messagerie professionnelle ?

Le concept derrière ces attaques est relativement simple : utiliser le courrier électronique pour inciter les entreprises à virer de l’argent là où il n’est pas censé aller : le compte des fraudeurs . Les escroqueries de compromission des e-mails professionnels visent généralement les employés de haut niveau ou ceux qui sont en charge du transfert de fonds.

Les cybercriminels disposent de toute une série d’approches différentes :

• Hameçonnage – Les pirates peuvent inciter les employés à divulguer leurs identifiants de connexion ou d’autres détails. Ces informations leur permettent de détourner le compte de messagerie de leur cible, puis de l’utiliser pour envoyer des messages. Lorsqu'un compte a été piraté par un pirate informatique, il peut être extrêmement difficile pour les destinataires des messages de savoir que les e-mails qu'ils reçoivent sont frauduleux.
• Enregistreurs de frappe – Si le phishing échoue, les attaquants peuvent tenter de manipuler leurs victimes involontaires pour qu’elles téléchargent des logiciels malveillants tels qu’un enregistreur de frappe, qui peuvent les aider à découvrir le mot de passe de l’utilisateur. Ils l’utilisent ensuite pour reprendre le compte de la victime et envoyer des e-mails, comme pour le phishing.
• Usurpation d'e-mail – S’il n’est pas possible de pirater le compte de la cible, ou si les attaquants souhaitent une approche plus simpliste, ils peuvent simplement prétendre être leur cible. Ils peuvent créer une adresse e-mail presque identique (pensez à [email protected] vs [email protected]). Dans une astuce plus sophistiquée, ils peuvent même donner l’impression qu’un e-mail a été envoyé à partir de la bonne adresse en modifiant l’en-tête P2. Si le destinataire n’y prête pas beaucoup d’attention, la tromperie peut facilement passer inaperçue. Associée à l'image de marque de l'entreprise et à un style d'écriture similaire, cette manœuvre peut être incroyablement convaincante.

Peu importe que le pirate informatique contrôle réellement le compte de messagerie de la cible ou s'il fait simplement semblant de l'être. Dans tous les cas, il dispose de plusieurs options différentes pour commencer sa campagne de compromission de la messagerie professionnelle :

Fraude au PDG

Si l’attaquant s’est emparé du compte d’un PDG ou d’une autre personne de haut rang (ou a créé un compte qui lui ressemble), il peut en tirer parti pour manipuler d’autres employés afin qu’ils effectuent des transferts frauduleux.

Ces demandes seront ciblent souvent ceux du service financier , et ils peuvent souligner l’autorité du PDG et la nécessité d’agir immédiatement pour inciter l’employé à effectuer le transfert sans réfléchir, même si cela signifie aller à l’encontre du protocole.

Une tentative décente de fraude au PDG pourrait ressembler à ce qui suit :

Salut André,

J'espère que vous avez un moment. Il y a eu un problème assez important et j’ai besoin de votre aide pour le réparer. Nous étions censés verser une caution de 100 000 $ auprès de notre nouveau fournisseur de béton la semaine dernière, mais cette somme a été oubliée dans tout ce désordre. Quoi qu’il en soit, nous avons besoin que cet argent soit envoyé maintenant, sinon ils ne pourront pas respecter notre délai et l’ensemble du projet sera abandonné.

J'ai besoin que vous transfériez 100 000 $ sur le compte indiqué sur la facture ci-jointe dès que possible. Nous avons des millions de dollars qui dépendent de cela, donc l'entreprise a vraiment besoin de vous pour y parvenir.

Quoi qu’il en soit, j’ai des réunions le reste de la journée pour essayer de régler cette énorme débâcle, donc je ne serai probablement pas en contact. Faites-le, d'accord !

Denise Reeves,

Directeur général

Société fade

Si le fraudeur a fait des recherches sur l'entreprise, ses projets en cours et les individus impliqués, un tel email pourrait sembler tout à fait légitime à André.

Une fois qu'Andrew croit que l'e-mail provient du PDG, il subit une énorme pression pour virer l'argent. Même s’il existe des procédures pour empêcher ce type de transactions, le message l’invite à le faire le plus tôt possible – après tout, des millions sont en jeu.

En plus de l’urgence, le PDG a trouvé une excuse pour expliquer pourquoi ils ne seront pas en contact – cela signifie qu’Andrew ne peut même pas poser de questions ou confirmer la commande. Même si ce n’est pas le genre de transfert qu’Andrew ferait normalement, l’intensité des circonstances pourrait l’amener à contourner les règles et finir par transférer 100 000 $ directement sur le compte du voleur rusé.

Ces escroqueries peuvent être accomplies dans un seul e-mail , ou des attaquants plus sophistiqués peuvent prendre un échange plus long pour construire lentement un piège convaincant qui prend au piège leur victime. Quelle que soit l’approche adoptée, si la victime tombe dans le piège, le résultat est le même : l’argent de l’entreprise est transféré à l’escroc.

Dans un schéma similaire, l'attaquant peut également faire semblant d'être un avocat et exiger de l'employé qu'il lui envoie de l'argent ou des informations concernant les questions critiques et confidentielles. Encore une fois, ils font généralement pression et font paraître l'affaire urgente, dans l'espoir que le salarié soit victime de l'arnaque.

Fausses factures

Une autre technique consiste soit prendre le contrôle du compte de messagerie d'un employé d'un fournisseur ou simplement se faire passer pour lui . Les attaquants peuvent ensuite utiliser cette position pour envoyer des factures à leur entreprise cible et espérer qu'elles seront payées avant que quiconque enquête de manière approfondie.

Les cybercriminels peuvent envoyer des factures complètement fausses, ou ils peuvent prendre leur temps pour détourner un paiement légitime . Dans ce dernier cas, ils ont tendance à découvrir une facture qui doit réellement être payée, puis à trouver une ruse pour amener l'entreprise cible à changer le numéro de compte du fournisseur pour celui de son propre compte.

La cible envoie ensuite l'argent sur le compte, pensant que son fournisseur a simplement mis à jour les détails de son compte. Au lieu de cela, le paiement est transféré entre les mains de l’attaquant, et la cible doit toujours de l’argent au vendeur pour la facture.

Parfois, ces attaques peuvent être aussi effrontées que ouvrir une entreprise avec un nom à consonance similaire à celui de l’un des fournisseurs réels de l’entreprise cible . Les pirates informatiques envoient ensuite des factures et espèrent que personne ne remarquera cette tromperie flagrante.

Dans bon nombre de ces systèmes de fausses factures, les cybercriminels se font passer pour des entreprises étrangères, car les transferts internationaux facilitent la dissimulation de l'argent avant que la cible ou les autorités ne puissent l'arrêter. Ils envoient généralement l’argent via une chaîne de comptes mondiale dans le but de cacher leurs traces aux enquêteurs.

Le vol de données

Une autre arnaque par courrier électronique professionnel utilise les mêmes techniques, mais ne recherche pas directement d’argent. Les pirates peuvent détourner ou usurper l'identité du compte d'une personnalité de haut rang, un peu comme dans le cas d'une fraude au PDG, puis cibler le service RH ou d’autres détenteurs de données clés en leur envoyant des informations provenant de bases de données précieuses .

Les attaquants peuvent exercer des pressions similaires pour manipuler leurs victimes afin qu'elles transfèrent les données sans réfléchir. Une fois que les données se retrouvent entre les mains du pirate informatique, celui-ci peut alors soit utilisez-le pour organiser d'autres cybercrimes ou vendez-le en ligne . Ces vols entraînent souvent des violations de données majeures pour les entreprises concernées, leur causant d'importantes pertes financières, des perturbations de leurs activités et une publicité négative.

La menace croissante de compromission de la messagerie professionnelle

Le Centre de plaintes contre la criminalité sur Internet du FBI Rapport sur la criminalité sur Internet 2018 a montré que l'organisation a reçu 20 373 plaintes pour compromission de messagerie professionnelle ou de compte de messagerie électronique cette année. En fin de compte, ces plaintes ont abouti à pertes estimées à près de 1,3 milliard de dollars .

Bien que les chiffres incluent les compromissions régulières de comptes de messagerie, il est également important de reconnaître qu’il ne s’agit que des plaintes signalées : il est possible qu’un nombre beaucoup plus important de victimes de compromission de messagerie professionnelle n’aient jamais déposé de plainte auprès du FBI.

Ces attaques se multiplient rapidement – ​​le rapport sur la criminalité sur Internet 2017 mentionne uniquement 15 690 plaintes équivalant à des pertes de 675 millions de dollars . C'est un augmentation numérique de plus de 27 pour cent, avec des pertes financières presque doublées , le tout en seulement un an.

Exemples de compromission de messagerie professionnelle

Avec l’augmentation rapide des attaques de compromission de la messagerie professionnelle, il existe un large éventail d’exemples récents. Certains des incidents les plus importants et les plus dévastateurs comprennent :

Escroquerie de compromission de courrier électronique professionnel de 100 millions de dollars contre Google et Facebook

Les sociétés comme Google et Facebook ne figurent pas vraiment en bonne place sur la liste de sympathie de quiconque, mais en 2013 et 2015 respectivement, chaque entreprise a été victime d'une escroquerie de compromission de courrier électronique professionnel de plusieurs millions de dollars.

Début 2019, un Lituanien nommé Evaldas Rimasauskas a plaidé coupable à un chef d'accusation de fraude électronique pour son rôle dans escroqué 23 millions de dollars à Google en 2013 et près de 100 millions de dollars de Facebook en 2015 .

Comment a-t-il fait? Dans le cadre d'un projet à la fois impressionnant par sa simplicité et choquant par son efficacité réelle, Rimasauskas et ses co-conspirateurs ont créé une société lettone avec un nom similaire à Quanta Computer, un fabricant de matériel taïwanais qui a travaillé avec les deux géants de la technologie.

L'entreprise imposteuse lettone a ensuite facturé Facebook et Google. Parallèlement aux e-mails de phishing sophistiqués et à d'autres techniques néfastes, les cybercriminels ont réussi à tromper le personnel clé pour qu'il transfère des millions de dollars sur des comptes contrôlés par le gang .

L'argent a été transféré à la hâte via une série d'autres comptes bancaires mondiaux, avec faux documents utilisé pour transférer les fonds sans éveiller les soupçons.

Ce réseau a rendu difficile aux autorités de retracer et d'annuler les transactions, même si Facebook et Google affirment avoir récupéré la majeure partie de l'argent peu de temps après les incidents. Cependant, ces déclarations semblent contredire les preuves contenues dans les documents judiciaires, qui montrent que Rimasauskas a accepté de restituer 50 millions de dollars de fonds volés.

Une entreprise technologique californienne escroquée de 47 millions de dollars

Lors d'un autre incident de compromission de messagerie professionnelle, Ubiquiti Networks a perdu des millions à cause d'escrocs en 2015. Selon un Dépôt auprès de la SEC 'L'incident impliquait une usurpation d'identité d'employé et des demandes frauduleuses émanant d'une entité extérieure ciblant le service financier de l'entreprise.'

Bien que la déclaration ci-dessus ne soit pas tout à fait claire, il est possible que l'attaque ait impliqué un cybercriminel. usurper le compte de messagerie d'un employé et envoyer des messages qui semblent être des demandes légitimes de l'employé . Alternativement, ils peuvent avoir utilisé le phishing ou d'autres techniques pour pirater le compte.

Nous ne connaissons peut-être pas les détails précis, mais nous savons que l'attaquant a eu recours à la fraude et à la manipulation pour tromper le service financier, ce qui a amené l'entreprise à effectuer des transferts totalisant 47,6 millions de dollars vers des comptes étrangers.

Une fois qu'Ubiquiti a eu connaissance de la fraude, elle a commencé à enquêter et a tenté de récupérer l'argent. L'entreprise a pu récupérer 8,1 millions de dollars peu après l'attaque, mais il n'est pas clair si elle a réussi à restituer une plus grande partie des fonds.

Opération recâblée

Le 10 septembre, le Département américain de la Justice a annoncé que 281 personnes avaient été arrêtées à travers le monde pour leur implication dans des escroqueries de compromission de courrier électronique professionnel. Ces arrestations sont le résultat de l'opération reWired, un effort mené par le ministère de la Justice, aux côtés du ministère de la Sécurité intérieure, du ministère du Trésor, du service d'inspection postale et du département d'État.

L'opération reWired a ciblé les personnes impliquées dans des opérations de compromission de courriers électroniques professionnels et a abouti à l'arrestation de 167 personnes au Nigeria, 74 aux États-Unis, 18 en Turquie, 15 au Ghana, ainsi que d'autres personnes dans divers pays. Les efforts combinés des agences ont également permis de saisir près de 3,7 millions de dollars de fonds volés.

Parmi les personnes arrêtées figuraient Brittney Stokes et Kenneth Ninalowo. Les résidents américains sont accusés de fraude une entreprise énergétique et un collège communautaire sur 5 millions de dollars grâce à un système de compromission des courriers électroniques professionnels .

Plusieurs autres résidents américains ont été arrêtés pour leur participation présumée à un système de compromission de courrier électronique professionnel basé au Nigeria, ciblant des centaines d'Américains, entraînant des pertes de plus de 10 millions de dollars. Les arrestations concernaient de nombreux autres cas où des centaines de milliers, voire des millions, avaient été volés grâce à ces escroqueries.

Comment se défendre contre la compromission de la messagerie professionnelle

La menace de compromission de la messagerie professionnelle augmente rapidement, mais la bonne nouvelle est qu'il existe toute une série d'approches différentes pour réduire les risques. La première étape consiste à limiter la manière dont ces attaques peuvent être lancées . Étant donné que les attaquants utilisent toute une gamme de techniques pour lancer des escroqueries de compromission de la messagerie professionnelle, une grande variété de mécanismes défensifs doivent être mis en œuvre afin de garantir la sécurité des organisations.

Formation et sensibilisation au phishing

Hameçonnage est l’un des modes d’entrée les plus courants pour les attaques de compromission de la messagerie professionnelle. Les employés doivent donc être formés pour le reconnaître et le gérer de manière appropriée. Les humains constituent ici le maillon faible : les défenses techniques de pointe deviennent inutiles si les pirates informatiques peuvent utiliser l’ingénierie sociale pour tromper un employé afin qu’il fournisse ses mots de passe et lui donne accès aux systèmes de l’entreprise.

Les employés doivent être informés du large éventail d'attaques de phishing et d'autres attaques d'ingénierie sociale. , comment les reconnaître et que faire s'ils soupçonnent une attaque. Ils ont besoin d’un entraînement répété pour leur rappeler les différentes possibilités d’attaque, ainsi que la gravité des résultats.

Il est important d’encourager une culture d’entreprise de sensibilisation au phishing, et également de faire en sorte que les employés se sentent à l’aise pour demander à quelqu’un du service informatique s’ils ont des soupçons ou s’ils ne sont pas sûrs de la légitimité d’un message.

Avec une formation régulière pour se défendre contre le phishing et autres modes d’ingénierie sociale, il devient beaucoup plus difficile pour un pirate informatique de prendre pied au sein d’une entreprise. Cela réduit considérablement leurs chances de lancer avec succès une attaque de compromission de la messagerie professionnelle.

Prévenir les logiciels malveillants

Les enregistreurs de frappe et autres logiciels espions sont également souvent utilisés par les pirates pour connaître les mots de passe de leurs cibles. . Ils glissent souvent ce malware sur les ordinateurs de leurs victimes sans méfiance, puis attendent que le programme leur renvoie les informations de connexion souhaitées.

Si les entreprises souhaitent minimiser les risques de compromission de la messagerie professionnelle et d’autres attaques, elles doivent alors disposer des outils et des politiques appropriés pour limiter les risques que des logiciels malveillants se retrouvent sur leurs systèmes. Certaines des tactiques clés pour réduire les infections par des logiciels malveillants comprennent :

• Gardez les systèmes d'exploitation, les navigateurs et autres applications à jour avec les dernières versions – Lorsque les développeurs prennent conscience de failles de sécurité, ils les corrigent généralement et publient les correctifs avec la prochaine mise à jour. Si vos systèmes et applications ne sont pas mis à jour dès que possible, les pirates peuvent utiliser les dernières vulnérabilités pour s'introduire. Si vous activez les mises à jour automatiques autant que possible, vous pouvez profiter des avantages en matière de sécurité sans avoir à lever le petit doigt.
• Autoriser uniquement l'installation de programmes fiables sur les ordinateurs de travail.
• Ayez en place un pare-feu et une solution antivirus bien configurés.
• Assurez-vous que les employés sont conscients des astuces d’ingénierie sociale qui peuvent être utilisées pour les inciter à télécharger des logiciels malveillants.
• Bloquer les sites Web non sécurisés .
• Appliquez des mots de passe forts et uniques – Ceux-ci peuvent contribuer à empêcher les pirates informatiques d’accéder aux systèmes de votre entreprise, ce qui les empêche d’installer des logiciels malveillants une fois à l’intérieur.

Filtrage des e-mails

Le filtrage des e-mails peut également jouer un rôle dans la réduction de la compromission des e-mails professionnels. Des filtres de messagerie bien adaptés peuvent réduire considérablement le nombre d’e-mails de phishing qui parviennent dans les boîtes de réception des employés, ce qui contribue à les empêcher de tomber dans ces pièges. Ils ne peuvent pas être trompés s’ils ne reçoivent jamais la tentative de phishing .

Même si les filtres de messagerie ne feront certainement pas de mal, il est important de reconnaître qu’ils ne pourront pas bloquer de nombreuses attaques de compromission de la messagerie professionnelle. En effet, bon nombre de ces e-mails frauduleux sont hautement adaptés à leurs cibles, plutôt que des e-mails généraux spammés en masse.

Lorsque les attaquants prennent le temps de rédiger ces messages avec soin, les filtres ne peuvent souvent pas faire la différence entre ces escroqueries et les e-mails légitimes. Les filtres n’ont donc aucun moyen de bloquer les messages.

Il convient également de noter que le filtrage des e-mails ne peut pas protéger une organisation si l'attaquant a détourné le compte d'un employé . Si le message provient d’un compte d’entreprise, le filtre ne saura pas s’il a été compromis ou non par un attaquant.

Signaler les tentatives d'usurpation de domaine

Les organisations peuvent adopter plusieurs mesures différentes pour réduire les chances de réussite des attaques d’usurpation d’e-mail. Ils peuvent mettre en œuvre des systèmes comme DKIM, SPF et DMARC pour signaler lorsque les e-mails proviennent de l'extérieur ou lorsque l'adresse de réponse est différente de l'adresse d'expédition.

Dans les deux cas, lorsqu’un employé reçoit un e-mail usurpé qui semble provenir de l’entreprise, il verra qu’il a été signalé, ce qui lui indiquera de ne pas faire confiance au message.

Faites attention aux erreurs d’orthographe et de grammaire, ou à un style de communication étrange

De nombreux cybercriminels ne sont pas anglophones. les tentatives de compromission de la messagerie professionnelle peuvent entraîner beaucoup plus d'erreurs que ce qui viendrait normalement de l’expéditeur. Beaucoup d’entre nous ont également un style remarquable lorsque nous rédigeons nos emails : si un employé reçoit soudainement un message qui ne correspond pas au ton, au style ou à la qualité habituels de son correspondant, il doit se méfier.

Si un employé remarque l'une de ces incohérences, il doit prendre le temps d'enquêter et peut-être de montrer les e-mails au service informatique ou à un collègue compétent. Ils doivent s’assurer de ne pas se précipiter dans des circonstances suspectes ni de céder à toute demande de transfert d’argent.

Mettre en œuvre une politique de sécurité adaptée

La politique de sécurité d’une organisation doit prendre en compte ses atouts et proposer un cadre global qui contribue à réduire les risques uniques auxquels il est confronté . Si la politique de sécurité de votre entreprise ne prend pas en compte les escroqueries liées aux e-mails professionnels, elle devra alors être revue et mise à jour avec un nouveau plan expliquant comment elle combinera technologie, procédure et organisation pour minimiser ces risques.

Suivez les procédures et soyez toujours un peu méfiant

Si les employés reçoivent un e-mail d’un niveau supérieur exigeant qu’ils enfreignent les règles, ils doivent refuser la demande. Les procédures sont généralement là pour une raison : éviter que des problèmes ne surviennent.

Les employés doivent en général être à l’affût des demandes étranges et toujours informer la partie appropriée lorsqu’ils reçoivent des demandes qui sortent de l’ordinaire. Si un e-mail étrange provient de leur patron direct, il peut être préférable de le contacter par téléphone ou en personne. , juste pour confirmer qu'il n'y a pas de jeu déloyal.

Alternativement, l'employé peut avoir la possibilité de faire part de ses préoccupations au service informatique ou à d'autres figures d'autorité. Il est préférable qu’un employé pose la question en cas de doute : cela ne prend que quelques minutes et peut éviter des erreurs extrêmement coûteuses.

Les entreprises doivent créer une culture qui encourage ce type de double contrôle – si les employés sont critiqués pour leurs questions, ils sont alors beaucoup moins susceptibles de prendre ces mesures simples qui peuvent sauver les organisations d'un désastre.

Liste de contrôle pour la défense contre la compromission de la messagerie professionnelle

• Révisez la politique de sécurité pour prendre en compte les risques de compromission de la messagerie professionnelle.
• Assurez-vous que tous les employés suivent la politique sans exception.
• Encouragez une culture consistant à poser des questions et à confirmer les demandes chaque fois que les employés rencontrent quelque chose d'inhabituel.
• Formation régulière sur le phishing et l’ingénierie sociale.
• Minimisez les points d’entrée des logiciels malveillants.
• Adoptez un système de filtrage des e-mails approprié.
• Signaler les tentatives d'usurpation de domaine.

Même avec toutes les procédures et outils ci-dessus en place, il n'est pas possible d'éliminer complètement les risques de compromission de la messagerie professionnelle . Si les attaquants sont suffisamment motivés, ils peuvent lancer des escroqueries incroyablement sophistiquées qui pourraient tromper les meilleurs d’entre nous.

Malgré cela, une organisation qui prend le temps de mettre en œuvre tout ce qui précède et de surveiller activement les derniers développements en matière de compromission de la messagerie professionnelle réduira les menaces auxquelles elle est confrontée à un niveau très gérable.

Avec la bonne procédure et les bons outils, il devient beaucoup plus difficile de réussir ces attaques. Dans la plupart des cas, les cybercriminels se tourneront simplement vers des cibles plus faciles lorsqu’ils découvriront les formidables défenses de votre organisation.