Les techniques utilisées par les hackers pour l'arnaque au président

L’arnaque au président est une attaque de spear phishing qui consiste pour un hacker à se faire passer pour le PDG d’une entreprise et à persuader par email un employé de réaliser une transaction, généralement d’ordre financier. Ce type d’arnaque relève des attaques Business Email Compromise (BEC), qui comptent parmi les attaques les plus ruineuses : elles ont ainsi coûté la modique somme de 1,7 milliard de dollars aux entreprises américaines en 2019.

L’arnaque au président prend différentes formes, de l’achat factice de cartes cadeaux en passant par la fraude au virement bancaire. Cette dernière technique permet au hacker de récupérer des millions de dollars sur son compte bien avant que l’entreprise ne se rende compte du problème. Pour doper leurs chances de succès, les hackers ont recours à diverses stratégies. Certaines sont techniques, mais la plupart relèvent de la manipulation psychologique.

Mise sous pression

L’arnaque aux cartes cadeaux figure parmi les techniques les plus simples à mettre en œuvre et les plus difficiles à tracer. Ces qualités en font la coqueluche des hackers. De plus, elle a le bon goût d’offrir un ROI immédiat.

Elle se déroule comme suit : un hacker se fait passer pour un PDG et explique généralement être en réunion et avoir besoin de toute urgence d’acheter des cartes cadeaux pour un client. Le hacker peut aussi affirmer que les cartes cadeaux seront un secret pour les employés, poussant ainsi sa victime à faire preuve de discrétion. Ne pas répondre à cette requête serait gênant pour l’employé, qui risquerait en plus de décevoir son PDG. Il subit ainsi une forte pression.

Les attaques BEC les plus sophistiquées s’appuient sur des emails de spear phishing rédigés avec soin. Mais ce qui assure véritablement leur succès, c’est avant tout l’identité et l’influence de l’expéditeur présumé. En effet, l’utilisateur lambda réfléchira à deux fois avant d’acheter des cartes cadeaux pour « Josiane de la compta », mais il accédera probablement sans délai à cette demande si elle vient du PDG.

Par ailleurs, de nombreuses victimes de cette arnaque n’ont jamais échangé avec leur PDG au préalable. Il est ainsi facile de leur jeter le blâme en affirmant qu’elles auraient pu faire preuve de prudence. En réalité, le destinataire de l’email est d’autant plus susceptible de tomber dans le panneau qu’il est pris par surprise. Lorsqu’une demande financière constitue la première communication entre la victime et son PDG, celle-ci est à la fois sous pression, mais aussi désireuse de faire plaisir.

Pretexting et ingénierie sociale

De nombreuses victimes n’ont pas l’habitude d’échanger avec leur PDG. Elles ne connaissent donc pas son style et ses habitudes de communication, à savoir ce qu’il pourrait ou ne pourrait pas dire ou faire. Le véritable PDG pourrait ne jamais engager une telle conversation ou formuler une telle demande. Malheureusement, la victime l’ignore, ce qui offre un véritable avantage au hacker.

Une stratégie commune d’ingénierie sociale, le pretexting, ouvre un canal de communication entre le hacker et sa victime, pour préparer cette dernière à accéder à la demande de l’attaquant. Elle permet également au hacker de présenter ses attentes (N’en parlez à personne, c’est une surprise) et de recueillir des informations qui augmentent ses chances de succès.

Dans certains cas d’arnaque au président, le hacker envoie à sa victime plusieurs emails pour vérifier ses progrès, s’assurer que personne n’est au courant de la transaction et mettre toujours plus de pression jusqu’à la réalisation de la demande.

Envoi d’emails depuis des appareils mobiles

Les PDG sont des personnes très occupées. Il n’est pas rare de recevoir un email d’un cadre en déplacement à un événement, chez un client ou même à l’étranger. L’envoi d’emails de spear phishing depuis un appareil mobile aide le hacker à donner l’impression que le PDG est absent. Ce contexte lui offre plusieurs avantages.

Tout d’abord, il permet de donner l’impression que le PDG n’est pas dans son environnement habituel, peut-être sans son ordinateur portable, et qu’il a besoin d’aide. Ensuite, cela rend excusables (dans certaines limites) ses erreurs de grammaire et d’orthographe, plus courantes sur les appareils mobiles.

Enfin, cela augmente ses chances que l’usurpation de l’adresse email passe inaperçue. Si le hacker usurpe le nom du PDG, mais pas le domaine de l’entreprise, la victime peut raisonnablement penser que le PDG s’est trompé et a envoyé son email depuis son compte personnel.

Deep fakes

Les deep fakes ont rejoint le monde du BEC il y a relativement peu de temps, mais se sont avérés à la fois redoutablement efficaces et coûteux. Mieux encore (pour le hacker), divers outils basés sur l’intelligence artificielle permettent d’imiter des voix.

D’après le Wall Street Journal, le PDG d’un fournisseur d’énergie basé au Royaume-Uni a reçu en 2019 un appel du président de la filiale allemande du groupe. En réalité, un hacker a utilisé un logiciel de deep fakes pour imiter la voix de cette personne et demander à effectuer un virement à un fournisseur. Résultat de l’opération ? 243 000 $ versés sur le compte du hacker. Celui-ci a malheureusement voulu se montrer trop gourmand en renouvelant sa demande, ce qui a mis la puce à l’oreille du PDG.

Ces logiciels sont nombreux, efficaces et peu coûteux, et les entreprises n’ont aucun moyen de s’en protéger. D’après Computer Weekly, 77 % des décideurs en matière de cybersécurité s’inquiètent de l’avènement des deep fakes, mais seulement 28 % ont mis en place un plan permettant de s’en protéger.

Se prémunir contre l’arnaque au président

La technologie de lutte contre le spear phishing a beaucoup évolué, mais la nature psychologique de ce type de fraude impose de combiner plusieurs mesures de prévention.

Formation des utilisateurs : formez vos utilisateurs à repérer les différents types d’attaques BEC, ainsi que les techniques d’ingénierie sociale. Ne vous contentez pas d’une formation périodique et adoptez une formation à la volée, activée lorsqu’un utilisateur clique sur un email malveillant ou y répond.

Processus de validation : mettez en place un processus de validation des demandes de transactions financières. Par exemple, demandez à ce qu’une confirmation en personne ou par téléphone soit effectuée après réception d’un email formulant une demande d’ordre financier.

Technologie: mettez à niveau votre solution de lutte contre le phishing pour adopter un produit qui ne se limite pas à la mise en œuvre de DMARC et à une détection classique. Votre nouvelle solution doit pouvoir repérer les techniques d’usurpation pourtant difficiles à détecter qui contournent notamment DMARC, comme les domaines voisins et l’usurpation du nom affiché.

Que vous l’appeliez spear phishing, arnaque au président ou Business Email Compromise, toutes les attaques ciblées par email présentent des caractéristiques, comportements et formulations similaires. C’est dans ce contexte que brillent les capacités hors norme de détection de l’intelligence artificielle.

Les algorithmes d’IA peuvent rechercher des anomalies dans le trafic d’emails et les comportements malveillants dans les emails afin de détecter ce que les solutions basées sur l’analyse statistique et les empreintes ne voient pas. Vade s’appuie sur deux techniques d’apprentissage automatique pour détecter les emails de spear phishing et la fraude au PDG :

  1. Détection d’anomalies : identifie les anomalies ou comportements anormaux dans un jeu de données, à savoir le flux des emails de l’entreprise dans le cas présent. Cette fonction apprend au fil du temps les comportements habituels et inhabituels d’envoi/de réception par l’entreprise et repère les anomalies, notamment les domaines voisins et l’usurpation du nom affiché.
  2. Traitement du langage naturel : détecte les termes et phrases couramment utilisés dans les emails de fraude au PDG et de spear phishing, en particulier les formulations qui génèrent un sentiment d’urgence ou sont liées à des transactions financières. 

Vade for Microsoft 365 alerte les utilisateurs des tentatives de spear phishing à l’aide d’une bannière d’avertissement qui s’affiche à l’ouverture d’un email suspect. Cette stratégie permet à l’utilisateur de prendre du recul et d’étudier les indices à côté desquels il serait autrement passé. Par ailleurs, si l’email contient des anomalies, mais est néanmoins légitime, il ne sera pas mal classé et bloqué. Ainsi, toutes les communications importantes pour l’entreprise sont remises comme attendu.