S’ils sont omniprésents dans l’actualité, les rançongiciels ne représentent que 1% des pertes financières subies par les entreprises à la suite d’une cyberattaque, selon un rapport de Crane Hassold. Et notre homme sait de quoi il parle pour avoir été analyste au FBI durant plus de 11 ans et être aujourd’hui directeur de la Threat Intelligence chez Abnormal Security, spécialisée en protection des courriels. D’ailleurs, ce même FBI estime dans son rapport Internet Crime Complaint Center (IC3) que le coût total des attaques de type BEC représentait 26 milliards de dollars entre juin 2016 et juillet 2019. De son côté, le rapport State of the Phish réalisé par ProofPoint, autre spécialiste américain de la cybersécurité, a estimé que 65% des organisations ont été confrontées à un attaque BEC en 2020.

Types d’attaques

L’attaque BEC utilise un courriel visant à inciter une personne à verser de l’argent ou divulguer des informations confidentielles. Si les arnaques ne sont pas toutes identiques, il existe cinq types d’attaques:

1. Le vol de données pour obtenir des informations personnelles sur des employés de l’entreprise, données qui seront ensuite utilisées dans le cadre de futures attaques ou seront revendues ;
2. Les fausses factures : à partir d’une boîte mail compromise, les pirates contactent les clients de l’entreprise en demandant de réagir à des factures impayées à travers un virement bancaire sur un compte leur appartenant ;
3. L’arnaque au président : l’employé du service financier ou la personne autorisée à faire des virements est sollicitée par le compte piraté du président ou d’un dirigeant pour effectuer un virement irrégulier ;
4. L’attaque de la chaîne d’approvisionnement : en usurpant l’identité d’un avocat par exemple, le pirate contacte un employé expliquant être en charge de dossiers confidentiels. Celui-ci n’ayant généralement pas les connaissances nécessaires pour contredire l’avocat, il transmet des données susceptibles d’être exploitées ou revendues ;
5. La compromission de comptes : le pirate obtient un accès illégal à une boîte mail d’un employé, par exemple un responsable de comptes clients, pour demander ensuite d’effectuer des actions potentiellement dangereuses en bénéficiant de la crédibilité de l’adresse mail compromise. Par exemple, le compte compromis d’un chargé d’affaires peut envoyer au service comptabilité une facture liée à un outil utilisé dans une prétendue mission, la fausse facture présentant les coordonnées de paiement du pirate. Et comme il s’agit d’une demande interne, elle a plus de chances de ne pas subir de vérification additionnelle.

Cibles et protection

N’importe qui peut être cible par une attaque BCE, qu’il s’agisse d’une entreprise, d’une administration, d’une association ou d’une école. Cependant, les cadres et dirigeants, les employés du service financier ou des ressources humaines, ainsi que les collaborateurs nouveaux ou débutants sont particulièrement visés.

Pour se protéger au maximum, il importera de mettre en place différentes bonnes pratiques. Ainsi, utiliser une solution de courriel sécurisée est indispensable pour permettre de bloquer certains expéditeurs ou de signer des courriels indésirables, de même que de prévoir une protection avancée contre l’hameçonnage ou la détection de transferts suspects. Configurer une authentification multi facteur (MFA) est également nécessaire, en exigeant un code PIN ou une empreinte digitale en plus du mot de passe pour se connecter. De même, apprendre aux employés à repérer les signaux d’alerte se révèle judicieux afin que le collaborateur détecte des liens d’hameçonnage, une discordance de domaine ou d’adresse électronique ou tout autre signal alarmant. Définir des paramètres de sécurité par défaut permettra aussi de renforcer la sécurité, tandis que le recours aux outils d’authentification d’e-mails s’avérera important. Enfin, adopter une plateforme de paiement sécurisée permettra d’authentifier les paiements et donc d’éviter de payer une facture inappropriée.

Agir et réagir

Si les attaques BEC sont difficiles à identifier, c’est principalement parce qu’elles sont peu nombreuses et ne consistent souvent que d’un ou de deux courriels. Ce faible volume permet de changer régulièrement d’adresse IP, ce qui rend leur blocage difficile. De même, elles utilisent une source ou un domaine légitime (adresse IP ayant une réputation neutre ou bonne) ou recourent également à l’usurpation d’identité. Elles peuvent aussi provenir d’un compte de messagerie légitime, même si cela demande plus d’efforts de la part de l’attaquant. Enfin, elles passent les contrôles DMARC (domain-based message authentication, reporting and conformance), ce qui permet d’éviter l’usurpation d’identité d’un domaine.

Aprico ambitionne d’aider les entreprises à innover et à repenser leurs processus métier en mettant la sécurité au centre de leur réflexion stratégique. Nous pouvons partager les bonnes pratiques, technologies et modèles organisationnels qui permettront à l’organisation de s’ouvrir sur l’extérieur et de partager l’information en toute sécurité.