Le piratage de la messagerie en entreprise (BEC, Business Email Compromise) est une stratégie de cyberattaque où des cyberadversaires imitent l'identité numérique d'un individu de confiance pour pousser des employés ou clients à réaliser une action précise, comme un paiement, un achat, la transmission de données ou la révélation d'informations délicates.
Selon le rapport 2022 du FBI au Congrès sur le BEC et la fraude électronique immobilière, le BEC est « l'un des crimes les plus rapides et les plus préjudiciables sur le plan financier que permet l'internet ». En 2021, les pertes revendiquées ont dépassé 2,4 milliards de dollars, soit une augmentation de 566 % par rapport à 2016, selon l'Internet Crime Complaint Center (IC3). L'augmentation du télétravail et, en conséquence, l'utilisation accrue des moyens de communication numériques comme l'e-mail, devraient entraîner une multiplication des incidents de piratage de la messagerie en entreprise.
Compromission des comptes de messagerie et piratage de la messagerie en entreprise
La compromission d'un compte de messagerie (EAC, Email Account Compromise) est une technique de cyberattaque dans laquelle les pirates utilisent diverses méthodes, notamment l'ingénierie sociale, les logiciels malveillants ou les outils de craquage de mot de passe, pour compromettre un compte de messagerie légitime.
Dans de nombreux cas, l'objectif d'un piratage BEC et d'un cyberattaquant EAC est le même : voler de l'argent, des données ou d'autres informations sensibles. Cependant, la différence essentielle d'une attaque BEC est que le cybercriminel se fait passer pour une personne de confiance, comme un dirigeant d'entreprise, un avocat ou un fournisseur important, souvent en usurpant une adresse e-mail. Cette personne tente ensuite d'ordonner à un employé ou à une autre personne d'effectuer une action donnée, par exemple virer des fonds sur le compte du cyberattaquant.
Dans les attaques de type EAC, le cyberattaquant s'introduit dans un compte de messagerie légitime et se fait passer pour le propriétaire de ce compte. En ayant accès à de vrais identifiants, l'acteur est en mesure de mener des activités frauduleuses et de contourner les outils d'authentification multifacteur.
5 types de piratages BEC
Selon le FBI, il existe cinq grands types de piratages BEC :
1. Compromission de compte
Dans le cas d'une compromission de compte, le compte de messagerie d'un employé est piraté et utilisé pour commettre des délits financiers ou liés à des données. Dans la plupart des cas, le cyberattaquant utilise le compte pour demander des paiements au nom des fournisseurs ; ces fonds sont ensuite transférés sur des comptes détenus ou contrôlés par les cyberattaquants.
2. Usurpation de l'identité d'un avocat
Une attaque par usurpation d'identité d'avocat vise généralement des employés nouvellement embauchés ou débutants. Dans cette attaque, le cybercriminel prétend être un avocat ou un membre de l'équipe juridique et influencera ou trompera l'employé afin qu'il prenne certaines mesures, comme transmettre des données ou effectuer un virement bancaire. Puisque la requête est souvent formulée comme étant urgente, confidentielle ou les deux, de nombreux employés, surtout s'ils sont nouveaux ou peu expérimentés, ignorent comment vérifier sa légitimité et préfèrent simplement s'y plier pour éviter des conséquences négatives.
3. Fraude au PDG
La fraude au PDG est similaire à une attaque par usurpation d'identité d'avocat, sauf que dans ce cas, le cyberattaquant se fait passer pour le PDG. Dans la plupart des cas, le cyberattaquant cible un membre de l'équipe financière, prétendant à nouveau avoir besoin d'une aide urgente sur une question sensible ou confidentielle. Dans ce cas, l'employé est incité à transférer de l'argent sur un compte contrôlé par le cyberattaquant.
4. Vol de données
Les auteurs d'attaques BEC peuvent également s'attaquer aux données d'une entreprise. Dans le cas d'une attaque par vol de données, le cyberattaquant s'en prend le plus souvent aux membres de l'équipe des ressources humaines ou de l'équipe financière et tente de voler des informations personnelles sur les employés ou les clients de l'entreprise. Ces informations peuvent ensuite être vendues sur le Dark Web ou utilisées pour lancer de futures cyberattaques.
5. Escroqueries aux fausses factures
Dans une escroquerie à la fausse facture, le cyberattaquant se fait passer pour un fournisseur et demande à un employé de le payer pour un service. Dans la plupart des cas, il se présente comme un véritable fournisseur et utilise un modèle de facture officielle. Cependant, le cybercriminel modifie les détails du compte de manière à ce que les fonds soient transférés sur un compte lui appartenant.
Comment fonctionne une escroquerie BEC ?
La plupart des escroqueries BEC suivent le même processus, bien que l'identité endossée par le cyberattaquant et ses cibles varient.
Phase | Description |
---|---|
1. Recherche d'identité | Un cyberattaquant BEC compétent effectue des recherches approfondies sur sa cible et détermine l'identité à prendre en fonction de l'action qu'il souhaite inspirer. Par exemple, si le fraudeur cherche à réaliser une arnaque rapide, il peut aisément créer une adresse e-mail ressemblant fortement à celle du PDG ou d'un autre dirigeant de l'entreprise. Il peut ensuite demander à un ou une employé(e) d'acquérir et de lui transmettre plusieurs cartes-cadeaux numériques, prétendument comme « bonus » pour une équipe interne ou en guise de remerciement pour un fournisseur. Les escroqueries BEC peuvent également être beaucoup plus élaborées. Par exemple, un fraudeur peut prétendre être un nouveau fournisseur, comme une entreprise de services de paie, et offrir un essai gratuit de ces services. Il utilise ensuite cet essai factice pour subtiliser les données personnelles des employés voire pour détourner les chèques de paie. |
2. Recherche sur les employé(e)s | Une fois que le hacker a identifié sa technique d'attaque et son identité supposée, il doit mener des recherches sur ses cibles. Il peut exploiter le site web de l'entreprise pour y trouver des coordonnées ou pour déterminer le format habituel d'une adresse e-mail. Le fraudeur peut aussi utiliser des réseaux sociaux comme LinkedIn pour trouver les noms, les titres professionnels et les responsabilités des différents membres de l'équipe. En effectuant des recherches approfondies, le cyberattaquant peut cibler une personne qui a traité des demandes légitimes similaires dans le passé, ou des salariés peu familiers avec les procédures et les protocoles de l'entreprise. |
3. Préparation de l'attaque | Une fois l'identité et la cible définies, le cyberattaquant prépare les autres éléments de l'attaque. Il peut s'agir de la création d'un compte e-mail usurpé, de la mise en ligne d'un faux site web d'entreprise, de l'ouverture de comptes bancaires, de la création de factures ou de tout autre actif dont le cyberattaquant aura besoin pour justifier son identité ou la demande. |
4. Lancement de l'attaque | À l'étape finale, le cybercriminel exécute son stratagème. Les escrocs BEC utilisent leur fausse identité pour pousser la cible à agir selon leurs souhaits. Ils insufflent souvent un faux sentiment d'urgence pour s'assurer que la personne agira sans consulter un collègue ou sans avoir mûrement réfléchi à la situation. S'il réussit, l'attaque se termine par un transfert d'argent, de données ou d'autres informations. |
3 techniques de piratage de la messagerie en entreprise (BEC)
Les cybercriminels ayant recours au piratage de la messagerie en entreprise utilisent diverses techniques pour mener à bien leurs attaques. Les trois méthodes les plus courantes sont les suivantes :
- Usurpation de domaine : l'usurpation de domaine est une forme d'attaque de phishing, dans le cadre de laquelle un cyberattaquant se fait passer pour une personne ou une entreprise connue en utilisant un site web ou domaine de messagerie factice pour inciter les internautes à lui faire confiance. De prime abord, le domaine semble légitime, mais un examen plus approfondi révèle de petites différences : par exemple, un W est remplacé par deux V ou un L minuscule par un I majuscule. Les utilisateurs qui répondent au message ou interagissent avec le site sont amenés à révéler des informations sensibles, à envoyer de l'argent ou à cliquer sur des liens malveillants.
- Ingénierie sociale : l'ingénierie sociale est l'acte de manipuler les gens pour qu'ils entreprennent une action souhaitée, comme la divulgation d'informations confidentielles. Le succès des attaques d'ingénierie sociale réside dans leur capacité à faire appel à de puissantes motivations, comme l'appât du gain, l'amour ou la peur, pour amener la victime à agir. Les cyberadversaires exploitent ces émotions ou désirs en faisant miroiter la possibilité de les satisfaire.
- Comptes compromis : Un compte compromis est un compte e-mail ou système qui a été violé par un cyberattaquant. Le pirate peut recourir à diverses méthodes, notamment l'ingénierie sociale, les logiciels malveillants ou les outils de craquage de mot de passe, pour compromettre le compte. Une fois qu'il a pris le contrôle, le cyberattaquant peut alors se faire passer pour l'utilisateur et effectuer toutes les activités que le propriétaire légitime est en mesure de faire.
Comment se protéger contre les escroqueries BEC ?
Les cyberattaques BEC s'appuient sur une connexion interhumaine, par opposition aux outils numériques tels que les logiciels malveillants ou les virus. Par conséquent, les piratages de la messagerie en entreprise (BEC) sont difficiles à détecter ou à prévenir avec les outils de sécurité traditionnels, tels que les solutions antivirus ou de détection et de réponse à incident (EDR) sur les endpoints.
Les cyberattaques BEC visant principalement les individus, les méthodes de protection et de prévention doivent elles aussi être centrées sur ces personnes. Voici quelques bonnes pratiques à prendre en compte pour se protéger contre ce type d'attaque :
1. Mettez en œuvre un solide programme de formation à la cybersécurité pour tous les collaborateurs.
Le personnel constitue la première barrière de protection de l'entreprise face aux cyberattaques de type BEC. L'entreprise se doit donc de créer un solide programme de formation à la cybersécurité comprenant des modules spécifiques sur les techniques d'ingénierie sociale. Dans le cadre du programme de formation, l'entreprise doit tester l'efficacité du cours au moyen de diverses simulations ou exercices.
Les points spécifiques à couvrir lors de la formation peuvent être les suivants :
- Éléments qui constituent une demande inhabituelle, atypique ou inappropriée de la part d'un cadre, telle qu'une demande d'informations personnelles sur un employé spécifique
- Les processus et procédures appropriés pour les transactions financières, y compris les personnes autorisées à effectuer de telles opérations et la manière d'informer cette personne d'une demande faite à un autre membre de l'équipe.
- Les processus et procédures adéquats pour la gestion des factures des fournisseurs, même en cas de demandes urgentes
- Exemples de la manière dont le cyberattaquant peut utiliser la peur, l'intimidation, la confidentialité ou l'urgence pour manipuler un collaborateur
- Méthode d'identification des adresses e-mail ou des domaines usurpés, ainsi que les adresses de réponse non concordantes
2. Adoptez une stratégie Zero Trust
Le Zero Trust est un concept de sécurité qui exige l'authentification et l'autorisation de tous les utilisateurs avant de leur accorder l'accès aux applications et aux données. Pour implémenter ce cadre, il vous faut combiner plusieurs technologies avancées, telles que l'authentification multifacteur basée sur le risque, la protection de l'identité, la sécurité des endpoints de nouvelle génération et une protection robuste des workloads cloud pour vérifier l'identité des utilisateurs et des systèmes, prendre en compte le moment précis de l'accès et gérer la sécurité du système. Ceci est particulièrement important pour prévenir les attaques de type EAC, où l'adversaire prend l'identité d'un utilisateur légitime du système et se fait passer pour lui.
3. Surveillez le Dark Web pour y déceler des signes de compromission.
Le Dark Web est la partie de l'internet où les utilisateurs peuvent accéder de manière anonyme à des contenus web non indexés grâce à des navigateurs web spéciaux tels que TOR. Les outils de surveillance du Dark Web s'apparentent à un moteur de recherche (tel Google) pour le Dark Web. Ils permettent de détecter les fuites ou les vols de données telles que des mots de passe compromis, des identifiants volés ou d'autres données de propriété intellectuelle ou sensibles qui sont partagées et vendues entre acteurs malveillants présents sur le Dark Web.
4. Dressez un inventaire des acteurs qui utilisent la BEC comme technique d'attaque.
Pour les grandes entreprises confrontées à un niveau de risque élevé, suivre et analyser les acteurs qui utilisent la BEC peut s'avérer judicieux. Pour renforcer leur sécurité, les grandes entreprises ont intérêt à collaborer avec un fournisseur fiable en solutions de cybersécurité. Ce partenariat les aidera à repérer les ennemis potentiels et à se focaliser sur les individus et méthodes qui posent le plus grand risque.
5. Mettez en œuvre un plan de réponse aux incidents.
La réponse à incident englobe la préparation face à une éventuelle fuite de données, sa détection, son confinement et le rétablissement du système à un état sécurisé. Les deux cadres de réponse à incident les plus réputés ont été développés par le NIST et le SANS. Ils offrent aux équipes informatiques les bases nécessaires à l'élaboration de leurs plans de réponse à incident.
Solutions BEC et EAC
Comme pour de nombreuses cyberattaques, la meilleure et la plus importante ligne de défense de l'entreprise contre les BEC et les EAC est une main-d'œuvre engagée, bien informée et vigilante.
Cependant, même si les attaques BEC ciblent les personnes, les entreprises peuvent prendre certaines mesures pour réduire les risques et renforcer leurs défenses contre de telles attaques.
CrowdStrike Falcon® Intelligence Recons est une solution de sécurité qui permet aux équipes de sécurité de suivre les cyberadversaires et leurs activités en dehors du périmètre du réseau. Grâce à cet outil, les entreprises peuvent :
- Surveiller la criminalité clandestine
- Identifier les données confidentielles exposées
- Découvrir les usurpations d'identité dans les domaines
- Attribuer, suivre et gérer les alertes
- Élaborer des profils de cyberadversaires
- Découvrir les vecteurs d'attaques externes
CrowdStrike Falcon® Identity Threat Detection est un outil de sécurité offrant une détection extrêmement précise des menaces liées à l'identité en temps réel. Il utilise l'intelligence artificielle et l'analyse comportementale pour apporter des informations précieuses et pratiques, permettant de mettre un terme aux cyberattaques contemporaines. Grâce à cet outil, les entreprises peuvent :
- Obtenir des informations et réaliser des analyses sur tous les identifiants
- Détecter les mouvements latéraux pour les comptes authentifiés
- Utiliser la sécurité AD sans utiliser les logs