Les attaques de type BEC constituent une variante hautement sophistiquée de l’antique arnaque au « prince nigérian ». D’après le FBI, elles ont coûté 1,7 milliard de dollars aux entreprises américaines en 2019, mais ce chiffre ne tient compte que des cas portés à la connaissance des autorités, et le montant réel du préjudice subi est donc sans doute plus élevé. Bien qu’une part substantielle de ces pertes finisse par être récupérée, 21 % des victimes ne revoient jamais la couleur de leur argent.
Alors qu’ils se concentraient jusqu’ici sur les grandes entreprises, les hackers s’intéressent désormais souvent aux PME, bien moins préparées à ces attaques, que ce soit sur le plan financier ou technologique. De la réponse aux incidents à la remédiation, les grandes entreprises disposent en effet d’une vaste palette d’outils pour répondre rapidement aux menaces BEC. Les PME, en particulier les plus modestes, sont quant à elle totalement désarmées.
Avant de nous pencher sur les menaces de type BEC qui pèsent sur les PME, voyons quelques exemples d’attaques contre de grandes entreprises qui ont beaucoup fait parler d’elles.
Mattel : 3 millions de dollars
En 2015, Mattel a failli perdre 3 millions de dollars après qu’un hacker a profité d’un changement de personnel pour lancer avec succès une attaque BEC. Il s’est ainsi fait passer pour le nouveau PDG et a envoyé un email à un cadre du service financier pour lui demander d’effectuer un virement à un fournisseur basé en Chine. Mattel se développant de plus en plus dans ce pays, cette demande paraissait cohérente. De plus, l’email venait du nouveau PDG, et le cadre s’est donc empressé de s’exécuter.
Un rapport explique que le hacker avait effectué des recherches extrêmement approfondies en exploitant les réseaux sociaux et d’autres sources afin d’identifier une personne en capacité de procéder à des transactions financières. Par chance, le virement a été déclenché pendant un jour férié en Chine, ce qui a permis à Mattel de signaler l’attaque et de bloquer les fonds à temps.
Nikkea : 29 millions de dollars
En 2019, un employé américain du conglomérat japonais Nikkea a effectué un virement de pas moins de 29 millions de dollars à un hacker se faisant passer pour un fournisseur de la société. Cette nouvelle variante du Business Email Compromise est appelée Vendor Email Compromise. Elle consiste pour un hacker à compromettre l’adresse email d’un fournisseur et de l’utiliser pour contacter ses clients. Lorsqu’un hacker utilise une adresse compromise, sa victime n’a aucune raison de se méfier.
Le point commun des deux exemples ci-dessus réside dans l’importance des sommes détournées. En effet, ces transactions sont repérées rapidement en raison de leur montant. C’est d’ailleurs pour cette raison que le FBI parvient à récupérer une bonne partie de ces sommes : les signalements rapides permettent une réaction sans délai et améliorent donc les chances de récupérer l’argent.
Pour faire face à cette rapidité des autorités, les hackers ont commencé à s’intéresser à des cibles plus modestes, les PME, et à demander des sommes moins importantes, en plusieurs fois. Les transactions passent ainsi inaperçues plus longtemps, ce qui permet aux hackers de vider les comptes avant de passer à une autre cible.
Voici trois exemples d’attaques BEC dont les PME doivent se méfier.
Virements bancaires
La forme d’arnaque au virement bancaire la plus populaire est appelée fraude au président et consiste pour un hacker à usurper l’adresse email d’un cadre dirigeant, puis à demander à un employé d’effectuer un virement. Le hacker peut ainsi presser l’employé de régler un fournisseur, de verser un acompte pour une acquisition immobilière ou encore de réaliser un achat important.
Cette attaque est très utilisée, mais concerne souvent de petits montants lorsqu’elle touche une PME. Il s’agit en effet pour le hacker de mettre toutes les chances de son côté en s’appuyant sur deux facteurs : tout d’abord, un petit montant ne générera pas d’alerte et ne poussera pas la victime à douter ou à prévenir une autre personne. Ensuite, le virement d’un petit montant peut passer inaperçu plus longtemps.
Enfin, les demandes de virement provenant de comptes internes compromis montent en puissance. Les hackers gagnent accès à des plateformes comme Microsoft 365 par le biais d’emails de phishing, puis envoient des emails aux employés par l’intermédiaire de comptes compromis. L’attaque de 2019 contre la paroisse catholique de Saint Ambrose à Brunswick, dans l’Ohio, en constitue un bon exemple : un hacker a utilisé un compte Microsoft 365 pour se faire passer pour une entreprise de construction et demander le paiement d’une facture en souffrance relative à des travaux de restauration. L’employé a viré 1,7 million de dollars au hacker, qui a rapidement déplacé son butin sur un autre compte.
Arnaque aux déclarations fiscales
Les attaques BEC ne sont pas toujours liées à l’argent. En effet, les hackers s’intéressent également aux données sensibles qu’ils peuvent exploiter par la suite pour mener d’autres attaques. Les formulaires W-2, qui permettent de déclarer les salaires aux États-Unis, constituent ainsi des documents très recherchés, car ils renferment de nombreuses données personnelles que les hackers peuvent utiliser pour créer des comptes ou faire de fausses déclarations d’impôts et recevoir des trop-perçus factices.
Pour mettre la main sur ces fameux formulaires W-2 et d’autres formulaires fiscaux, les hackers se font passer pour des employés et envoient des emails de spear phishing aux membres du personnel des ressources humaines et de la comptabilité. Cette technique est particulièrement efficace pendant la période des déclarations fiscales : ces services sont très sollicités et moins concentrés, mais aussi habitués à recevoir de nombreuses questions de la part des employés au sujet des impôts. La demande des hackers paraît ainsi tout à fait normale.
Arnaques au dépôt direct/au détournement de salaire
D’après le FBI, les arnaques au dépôt direct et au détournement de salaire sont celles qui connaissent la plus forte croissance. Elles consistent à détourner les paies sur les comptes des hackers. Dans la plupart des cas, un hacker se fait passer pour un employé et demande aux ressources humaines de modifier le numéro de son compte bancaire pour le prochain virement de son salaire.
Les emails sont concis et directs, même si certains recourent au pretexting. Certains hackers multiplient les emails afin de mettre leur victime en confiance. Parfois, les hackers se font passer pour des employés haut placés, comme des cadres, pour mettre les ressources humaines sous pression. D’après le FBI, dans la plupart des cas, le salaire de la victime est détourné vers un compte bancaire prépayé.
Prévention des attaques Business Email Compromise
À la différence des emails de phishing, les emails de spear phishing ne se composent généralement que de texte. Ils ne contiennent pas de liens à analyser ni d’autres indices pouvant être détectés par un filtre de messagerie.
Les utilisateurs doivent donc être formés à l’identification des caractéristiques du spear phishing, comme le pretexting, l’ingénierie sociale, et les demandes de virements importants. Si un utilisateur répond à un email de spear phishing, vous devez renouveler sa formation sans délai pour corriger son comportement.
Même si vos employés sont bien formés, sachez que les hackers procèdent désormais à de nombreuses recherches avant de lancer leurs attaques, et qu’ils sont très doués pour mettre leurs victimes à l’aise et normaliser des demandes pourtant inhabituelles. Pour résoudre ce problème, vous devez mettre en place des processus de confirmation des demandes de transactions financières et virements bancaires :
- Établissez des procédures écrites de gestion des transactions financières, notamment des procédures de rappel ou de confirmation en personne.
- Contactez directement le fournisseur pour confirmer ses demandes de transactions financières formulées par email.
- Limitez le nombre d’employés autorisés à effectuer des transactions financières.
Enfin, si votre solution anti spear phishing laisse passer des menaces, envisagez d’opter pour une solution qui ne se limite pas à la détection des usurpations d’identité et qui recherche les comportements malveillants, demandes urgentes et d’ordre financier comprises. En effet, le protocole DMARC permet certes de détecter l’usurpation du domaine exact, mais il reste impuissant face aux techniques plus sophistiquées.
Vade for Microsoft 365 s’appuie sur la détection des anomalies pour identifier les schémas inhabituels dans le trafic d’emails d’une entreprise, mais aussi sur le traitement du langage naturel pour analyser le texte des emails. Ensemble, ces mécanismes détectent les techniques d’usurpation, comme l’usurpation du nom affiché et l’utilisation de domaines voisins, ainsi que les indicateurs textuels du spear phishing, comme le pretexting et les demandes de transactions financières. Lorsqu’une tentative de spear phishing est détectée, Vade for Microsoft 365 affiche une bannière d’avertissement afin d’alerter l’utilisateur, ce qui permet à celui-ci de prendre du recul avant de décider s’il souhaite ou non poursuivre.
