Scam BEC : comment éviter de tomber dans le panneau

Imaginez que votre employé reçoive un email de votre part lui demandant de régler une facture fournisseur en retard. Vous-même en déplacement, vous n’avez pas le temps de passer par les canaux habituels, mais il s’agit d’un employé fiable dans une situation d’urgence. Dans l’email que vous avez envoyé sont communiquées des instructions de paiement par virement, accompagnées d’un numéro de compte.

L’employé, conscient de l’urgence, s’exécute diligemment. Seul bémol : vous n’avez jamais envoyé cet email. Avec une adresse email ressemblant à s’y méprendre à la vôtre (la fameuse technique du spoofing), un hacker a réussi à persuader votre employé d’effectuer un virement vers un compte frauduleux. Vous venez d’être victime d’une attaque Business Email Compromise (BEC). Loin de relever de la fiction, ce genre d’escroquerie menace des milliers d’entreprises telles que la vôtre à travers le monde.

D’après une étude réalisée par IBM et le Ponemon Institute, les attaques BEC ont coûté aux entreprises en moyenne 4,89 millions de dollars en 2021, ce qui en fait le deuxième type de cyberattaque le plus coûteux dans le monde. De fait, les attaques BEC, également connues sous le nom de spear phishing, représentaient 6 % des violations de données sur cette période.

Si elles visent des organisations sans distinction de secteur ni de taille, il est à noter toutefois que les PME et MSP (fournisseurs de services managés) y sont particulièrement vulnérables, ces derniers ne disposant pas des ressources et équipes de cybersécurité des grandes entreprises, ce qui n’aura pas échappé aux hackers attirés par l’appât du gain rapide. Près de huit PME sur dix s’appuient sur la sécurité de l’email basique proposée par leur fournisseur de messagerie électronique. C’est sans doute pourquoi, au cours des 12 derniers mois, 69 % des PME ont été victimes d’une violation grave des données qui a contourné leurs outils de sécurité de l’email.

Dans cet article, nous nous penchons sur la menace que représentent les attaques BEC, les techniques les plus fréquemment employées par les hackers et les solutions à même de préserver votre organisation.

Scam BEC : une menace bien réelle

Bien que différentes du phishing ou des malwares, les attaques BEC n’en constituent pas moins de dangereuses cybermenaces. Une attaque BEC se définit par une cybermenace qui s’appuie sur des techniques d’ingénierie sociale par email afin de pousser les victimes à entreprendre l’action désirée, l’objectif étant de leur extirper de l’argent.

À l’inverse des emails de phishing, les attaques BEC n’usurpent pas l’identité de marques, et ne contiennent pas non plus de liens malveillants ni de pièces jointes piégées. Ici, l’identité usurpée est celle d’un individu connu de la victime. L’attaque est orchestrée par message uniquement, et son niveau de personnalisation implique souvent de faire des recherches poussées.

Exemple d’email de spear phishing

Plusieurs facteurs concourent au coût et aux dégâts causés par une attaque BEC, notamment :

1. 1. La détection : une attaque BEC ne reposant sur aucun lien malveillant ni aucune pièce jointe piégée, elle est d’autant plus difficile à filtrer pour les outils de sécurité de l’email.
2. 2. Le contexte : une telle attaque tire parti des pressions professionnelles et sociales à l’œuvre sur le lieu de travail, le contexte étant particulièrement propice à l’exploitation des victimes. Par exemple, les employés sont souvent désireux de surpasser les attentes de leurs superviseurs et pairs. Face à une demande urgente émanant d’un supérieur hiérarchique, un employé consciencieux se fera sûrement le devoir d’y répondre sans en questionner la nature. Par ailleurs, la peur des représailles empêche souvent la victime d’émettre des doutes.
3. 3. La légitimité : d’une manière générale, une attaque BEC paraît plus légitime aux yeux des victimes que les autres menaces véhiculées par email. En cause, les techniques de spear phishing employées par les hackers, que nous examinerons plus loin dans cet article. De même, l’absence de lien ou de pièce jointe peut inspirer un faux sentiment de sécurité au destinataire. Enfin, les attaques BEC passent par des comptes compromis : les hackers se servent d’une adresse email légitime et accèdent aux précédentes conversations afin d’établir un contexte auprès de leurs cibles.

Types d’attaques BEC

Comme indiqué plus tôt, il existe plusieurs types d’attaques BEC, chacune basée sur une approche différente, mais visant toutes à tromper un individu ou une organisation. En voici quelques exemples :

1. 1. Fraude au virement bancaire : également connue sous le nom de fraude au président, cette attaque BEC consiste à usurper l’identité d’un donneur d’ordre et à demander l’exécution d’un virement vers un compte frauduleux. Le hacker invoquera alors le paiement d’un fournisseur ou la réalisation d’un achat important.
2. 2. Demandes de cartes cadeaux : en vue d’exécuter cette attaque, le hacker se fait passer pour un cadre ou un responsable de haut niveau et demande à sa victime d’acheter des cartes cadeaux pour l’expéditeur de l’email.
3. 3. Fraude au dépôt direct : cette attaque cible le service des ressources humaines dans le but de détourner le salaire d’un employé vers un compte frauduleux détenu par les hackers.
4. 4. Arnaque aux données fiscales : Cette attaque cible elle aussi les agents des ressources humaines afin d’obtenir les relevés fiscaux d’un employé. Dans ce cas, les hackers se font souvent passer pour des cadres ou des responsables de haut niveau.

Techniques d’attaques BEC

Si les attaques BEC peuvent prendre plusieurs formes, elles emploient toutes des techniques éprouvées d’ingénierie sociale pour exploiter leurs victimes, notamment :

1. 1. Pretexting : désigne le fait d’envoyer un email en apparence anodin pour gagner la confiance de la victime et l’amener à baisser sa garde. Les hackers posent souvent des questions ouvertes pour soutirer des informations à la victime. Lorsque la victime répond, l’adresse email du hacker est alors mise sur liste blanche (si tant est qu’il s’agisse d’un leurre et qu’elle émane de l’extérieur de l’organisation). La technique vise donc à établir une communication avec la victime, que les hackers pourront ensuite exploiter à leur avantage.
2. 2. Demandes urgentes : les hackers instaurent un sentiment d’urgence en faisant croire à leurs victimes qu’elles n’ont pas beaucoup de temps pour répondre à la demande, en général quelques minutes ou quelques heures. Cette pression accrue peut pousser les victimes à agir à la hâte sans s’interroger sur le bien-fondé de la demande.
3. 3. Envoi de messages depuis un mobile : les hackers prétendent avoir envoyé l’email depuis un appareil mobile, ce qui explique les fautes d’orthographe et de grammaire généralement commises par des hackers étrangers, tout en renforçant le caractère urgent de la requête. Pour cela, les hackers pourront prétendre être en déplacement ou inclure des signatures mobiles dans leurs emails, par exemple « Envoyé de mon iPhone ».

Prévenir une attaque BEC

Nous l’avons vu précédemment, il n’est pas facile de détecter une attaque BEC. Dans la pratique, les solutions de sécurité de l’email traditionnelles échouent généralement face aux attaques BEC, et ce pour trois raisons.

1. 1. Il s’agit de menaces dynamiques et inconnues. Pourtant, les solutions telles que les passerelles de messagerie sécurisées (SEG) s’appuient sur la réputation et la signature. Elles sont donc entièrement dépendantes des informations connues et de ce fait incapables d’identifier des menaces inédites.
2. 2. Ces menaces prennent la forme de texte uniquement. Les solutions traditionnelles ne sont pas en mesure d’identifier la démarche trompeuse d’une attaque BEC, qui recourt à un certain termes pour instaurer un sentiment d’urgence.
3. 3. Une protection interne. Par définition, les SEG se situent en dehors de l’environnement interne d’une organisation, et ne peuvent donc pas la protéger des attaques qui parviennent à contourner la détection initiale ou qui émanent de comptes internes.

Face aux attaques BEC, les organisations doivent adopter les mesures de prévention suivantes.

1. Renforcer la validation des demandes urgentes

Lors de la réception d’un email suspect, comme une demande urgente de virement bancaire, les victimes doivent contacter le destinataire par un autre moyen afin de vérifier la légitimité de l’email. Il suffit bien souvent d’un appel ou d’un SMS pour révéler la nature frauduleuse de la demande, et faire économiser à votre organisation, vos clients et vos partenaires des sommes considérables. Loin de se suffire à elle-même, cette mesure de prévention fournit une couche de protection supplémentaire et doit être appliquée à l’échelle de votre organisation à travers vos politiques et pratiques.

2. Formation des utilisateurs

Comme pour toutes les cybermenaces, le plus gros point faible de la surface d’attaque des entreprises reste ses utilisateurs. En outre, ils constituent la dernière ligne de défense face aux attaques BEC. C’est pourquoi il est indispensable d’investir dans une formation de sensibilisation des utilisateurs, qui outillera ces acteurs déterminants afin de repérer et de neutraliser les attaques BEC en temps réel.

Les programmes de sensibilisation à destination des utilisateurs ne manquent pas. Pour autant, et afin d’obtenir de meilleurs résultats d’apprentissage, mieux vaut dépasser les simulations génériques ou la formation en présentiel délivrée à intervalles prédéterminés. Bien que très répandues, ces formations sont assez éloignées des situations rencontrées dans la vraie vie, tant au niveau du contenu que du contexte, ou encore du moment auquel surviennent les cybermenaces.

Le mieux reste encore d’opter pour une formation personnalisée qui tient compte du contenu et du contexte de chaque interaction de l’utilisateur, et qui se déclenche automatiquement en présence d’une menace concrète. Cette formation interpelle les utilisateurs en temps réel et propose une formation propice à l’apprentissage, qui renforce leurs acquis et leur capacité à adopter de meilleures pratiques cybersécuritaires.

C’est notamment le cas de Threat Coach™, la solution de Vade qui assure des formations à la volée pour les utilisateurs, déclenchées automatiquement à chaque interaction avec une menace véhiculée par email, et dont le contenu reprend des communications reçues au quotidien par email.

3. Technologie de détection des menaces et de réponse basée sur l’IA

Les organisations ont besoin de solutions de sécurité de l’email offrant une défense prédictive contre les attaques BEC, et à même de détecter les techniques employées par les hackers. Pour cela, la technologie sélectionnée ne peut se contenter d’outils de sécurité basiques dont les filtres s’appuient sur la réputation et la signature. Une technologie de détection et de réponse alimentée par l’intelligence artificielle (IA) fournira aux organisations la solution de pointe dont elles ont besoin.

Les solutions de détection et de réponse basées sur l’IA concentrent plusieurs technologies et fonctions d’IA qui empêchent l’exploitation par attaque BEC, notamment les suivantes :

1. 1. Machine learning. Les algorithmes de machine learning (ML) analysent le contexte et le contenu des emails pour identifier les caractéristiques trompeuses du texte. Le ML établit en outre un profil anonyme qui définit les habitudes de communication normales des employés. À partir de là, il est en mesure d’identifier les anomalies, notamment les techniques de spoofing et les variations dans le trafic d’emails.
2. 2. Natural language processing. Les modèles de natural language processing détectent de subtils choix grammaticaux et stylistiques présents dans le texte afin d’identifier des menaces potentielles, dont des mots et formulations clés qui instaurent un sentiment d’urgence.
3. 3. Boucle de rétroaction. Un large ensemble de données actualisées et pertinentes, alimenté par la threat intelligence, alimente en continu les technologies d’IA afin d’accroître la précision et la justesse des algorithmes.
4. 4. Architecture de l’API. La technologie de détection et de réponse basée sur l’IA s’intègre à l’environnement interne et aux applications natives pour renforcer la protection contre les menaces et attaques venues de l’intérieur.

De tous les secteurs, l’IA s’est imposée comme le plus prometteur. En matière de cybersécurité, la notion est devenue incontournable pour faire la promotion de produits, peu importe leurs véritables capacités. Si vous voulez vous assurer de choisir une solution de cybersécurité véritablement alimentée par l’IA pour votre organisation, recherchez en premier lieu les capacités et fonctions précédemment évoquées.

Par exemple, Vade for M365 exploite le machine learning, le natural language processing et la computer vision pour détecter et neutraliser les menaces, connues ou inconnues, véhiculées par email. La solution basée sur API est continuellement alimentée par des informations sur les menaces prélevées en temps réel sur plus de 1,4 milliard de messageries dans le monde, pour une précision et une fiabilité accrues de ses capacités de détection et de réponse.

Ne vous laissez pas avoir par les attaques BEC

Du fait de leur motivation financière, les attaques BEC sont parmi les cybermenaces qui coûtent le plus cher aux organisations. Chaque année, un nombre incalculable (et incroyable) d’entreprises sont victimes de cette escroquerie hautement ciblée. Malgré des chiffres alarmants, cela ne veut pas pour autant dire qu’il est impossible pour votre organisation de se prémunir de telles attaques. En adoptant les mesures préventives passées en revue dans cet article, vous avez le pouvoir de protéger votre entreprise, vos collaborateurs, vos clients et vos partenaires.