La compromission du système de messagerie d’entreprise via l’arnaque au Président, est à prendre très au sérieux. Cette technique de piratage par email est une version beaucoup plus complexe de ce que l’on connaissait autrefois sous le nom « d’arnaque nigériane ».
Les arnaques au président ciblent les PME et grandes entreprises qui ont une activité internationale. Selon le FBI, le hacker utilise une attaque de phishing qui « compromet des comptes de messagerie d’entreprise authentiques par le biais de l’ingénierie sociale ou de techniques d’intrusion informatique afin d’effectuer des transferts de fonds non autorisés ».
Les arnaques au président sont en plein essor. Ces attaques ont augmenté de 1 300 % depuis janvier 2015 et des plaintes ont été déposées dans 79 pays, dont un grand nombre en Europe. Dans l’un de ses articles, le site de CNBC explique que les autorités ont traité plus de 17 000 dossiers, pour une perte totale de plus de 2,3 milliards de dollars. La majorité des victimes se trouvent dans les pays occidentaux et les transferts de fonds passent en général par la Chine.
Une perte de 3 millions de dollars pour Mattel
Les victimes des arnaques au président visentdes marques célèbres comme Seagate ou Snapchat. Un autre nom bien connu des parents est Mattel, le fabricant des poupées Barbie et des petites voitures Hot Wheels. SC Magazine explique que Mattel a perdu trois millions de dollars en 2015 à cause d’une attaque de ce type. C’est un cadre du service financier qui a transféré trois millions vers une banque de Wenzhou, en Chine, alors qu’il pensait payer un fournisseur. On imagine le nombre de virements que peut faire une société comme Mattel à ses fournisseurs chinois. Même avec des contrôles stricts, il ne paraît pas inconcevable de persuader un responsable financier d’une grande société de transférer des fonds à l’étranger.
Dans ce type d’attaque, le hacker se fait passer pour un membre de la direction. Voilà comment cela fonctionne : imaginons que vous travailliez chez ACME et que votre PDG s’appelle John Doe. Vous recevez un email de JohnD@acme.co qui vous demande de payer une commande urgente de Chine. Il vous invite à contacter le service comptable (avec l’adresse email compta@acme.co dans son message), qui vous fournira les coordonnées bancaires du bénéficiaire. Vous écrivez sur-le-champ au service comptable sans remarquer que vous adressez en fait votre email à accounting@acme.co et pas accounting@acme.com (avec le suffixe de nom de domaine correct). La « comptabilité » vous répond aussitôt, en vous demandant de transférer l’argent à Wenzhou Industries, une entreprise que vous connaissez, à l’adresse www.vvenzhouindustries.com. Une fois encore, vous êtes trop occupé pour remarquer que dans l’URL, le « w » de Wenzhou a été remplacé par deux « v ». Après tout, ce que vous voulez c’est satisfaire votre patron.
Comment le hacker connaît-il vos fournisseurs ? Comment connaît-il le nom de votre PDG et son adresse email ? Les hackers utilisent l’ingénierie sociale et font des recherches, en particulier dans les médias sociaux, pour créer des emails crédibles qui pourraient provenir de collègues ou de fournisseurs.
Une crédibilité entachée
Lorsque la société Ubiquiti Networks (NASDAQ : UBNT) s’est fait dérober pas loin de 46,7 millions de dollars par des cybercriminels, cette entreprise cotée s’est vue obligée de le signaler aux autorités boursières. « Le 5 juin 2015, la société a déterminé qu’elle avait été victime d’une fraude », explique-t-elle dans sa déclaration. « L’incident a impliqué l’utilisation d’une fausse identité et des demandes frauduleuses de la part d’une entité extérieure ciblant le service financier. Cette fraude s’est traduite par des transferts de fonds à hauteur de 46,7 millions de dollars par une filiale établie à Hong Kong, vers d’autres comptes à l’étranger détenus par des tiers. » Bien qu’Ubiquiti ait pu récupérer huit millions de dollars, cet incident est embarrassant, en particulier pour une société du secteur des nouvelles technologies.
Pas d’assurance contre l’arnaque au président
De nombreuses victimes d’arnaques au président ont eu la mauvaise surprise d’apprendre qu’elles n’étaient pas couvertes par leur assurance pour ce type de fraude. Le groupe Ameriforge, une société basée à Houston, a poursuivi son assureur en justice, car il avait refusé de couvrir ses 480 000 dollars de pertes suite à une attaque de phishing par un hacker qui s’était fait passer pour le PDG. L’assureur avait décrété que sa politique en matière de cybersécurité ne couvrait pas les arnaques au président.
Pivotal Software : arnaque au président et phishing de données
Les arnaques au président n’impliquent pas toujours le vol d’argent. Les hackers peuvent également s’en prendre à vos données sensibles ou confidentielles, comme l’a appris Pivotal Software à ses dépens. Un article de SC Magazine révèle en effet que l’éditeur de logiciels a informé l’administration judiciaire californienne d’une brèche de données personnelles et fiscales via une attaque de phishing. Un employé s’est fait piéger par un email semblant provenir de son PDG et lui demandant de remplir des déclarations d’impôt. C’est ainsi que l’employé a transmis le nom, l’adresse, le numéro de sécurité sociale, etc. de ses collègues à un tiers non autorisé.
Comment le Spear Phishing favorise-t-il la compromission par email d’entreprise ?
Le phishing est un excellent vecteur pour les arnaques au président. Des études montrent en effet que 30 % des emails de phishing sont ouverts par les personnes ciblées, et que 12 % d’entre elles cliquent sur la pièce jointe. Étant donné l’ampleur de ces attaques, le phishing et sa variante plus ciblée, le spear phishing, pourraient bien constituer la menace de cybersécurité la plus sérieuse de notre époque.
Avec le spear phishing, le hacker personnalise l’attaque en se faisant passer pour une connaissance de la victime. Se défendre contre ce type d’attaque est un véritable défi, car la plupart des filtres de messagerie n’arrivent pas à les identifier. Les filtres antispam sont en effet conçus pour rechercher des signatures de malwares connus et des expressions clés du type « Vous avez gagné une croisière gratuite ». Un message générique comme « Veuillez procéder à la demande de virement » pourrait facilement passer inaperçu.
De nouveaux outils sont nécessaires pour protéger les entreprises contre les arnaques au président transmises par des emails de phishing ou de spear phishing. C’est là qu’intervient Vade. Notre solution utilise l’analyse heuristique pour identifier sur-le-champ les emails de spear phishing. Elle a été « formée » à détecter les messages suspects en analysant des centaines de millions d’emails pendant dix ans. Elle s’appuie sur tout un éventail de règles qui utilisent l’intelligence artificielle pour analyser les messages entrants. Nos processus exclusifs détectent les attaques de spear phishing ponctuelles, en comparant le style et les indicateurs techniques du soi-disant expéditeur de tout email donné, à des informations connues sur le véritable l’expéditeur.
Pour en savoir plus sur l'arnaque au Préseident, rendez-vous sur cette page.
