Business Email Compromise (BEC) – Définition et prévention des attaques

Business Email Compromise (BEC) – Définition et prévention des attaques

  • Post author:
  • Post category:Publications

Le terme « Business E-mail Compromise » (BEC) ou « compromission de la messagerie en entreprise » est un type d’escroquerie ciblant les entreprises qui effectuent des virements électroniques et ont des fournisseurs à l’étranger. Il décrit un exploit dans lequel une personne malveillante obtient l’accès à un compte de messagerie d’entreprise et envoie des e-mails frauduleux sous l’identité du propriétaire du compte dans le but de voler de l’argent à l’entreprise ou à ses employés, partenaires ou clients. Dans une telle escroquerie, l’auteur de la menace utilise généralement l’identité usurpée pour inciter les victimes à envoyer de l’argent sur son compte. La compromission des e-mails professionnels peut impliquer soit de l’ingénierie sociale, soit des logiciels malveillants, soit une combinaison des deux. Les attaques BEC sont très répandues en raison de leur simplicité et de leur efficacité. Ces attaques peuvent avoir des conséquences dévastatrices pour les entreprises de toutes tailles dans tous les secteurs.
Au Bénin, le bjCSIRT a répertorié de 2020 à 2021 au moins 07 attaques, visant de grandes entreprises sur l’étendue du territoire national. Ces attaques auraient pu engendrer entre 600 et 700 millions de francs CFA de pertes. Notons que ces statistiques concernent uniquement les entreprises qui ont déclaré l’incident.

Comment ça marche ?

Les campagnes BEC utilisent une grande variété de techniques et d’attaques préliminaires afin de tromper les victimes et de voler de l’argent. Bien que les campagnes soient conçues de manière unique et en constante évolution, la majorité des attaques BEC utilisent une combinaison d’usurpation de courrier électronique, d’hameçonnage et de logiciels malveillants pour amener leurs cibles à partager des informations sensibles. Une compromission de la messagerie en entreprise comprend plusieurs étapes dont les plus communes sont détaillées ci-dessous.

Etape 1 : L’infiltration
L’infiltration consiste à compromettre en premier le compte email d’un haut cadre de l’entreprise cible. Cela se fait généralement par des techniques d’hameçonnage et d’ingénierie sociale pour récupérer les identifiants de connexion des victimes ou faire installer des enregistreurs de frappes sur les machines. Parmi ces techniques de compromission d’adresse nous pouvons citer :
l’usurpation de comptes de messagerie et de sites Web : les criminels utilisent de légères variations sur les adresses e-mail légitimes pour faire croire aux victimes que les faux comptes sont authentiques.
Exemple :
site de l’entreprise : entreprise[.]com et email contact@entreprise[.]com;
usurpateur : entreprises[.]com et email contact@entreprises[.]com.
l’hameçonnage : des e-mails frauduleux qui semblent provenir d’un expéditeur de confiance incitant les destinataires à remplir leur mot de passe pour pouvoir lire ou accéder à des documents;
logiciel malveillant : l’attaquant utilise  souvent des logiciels malveillants pour infiltrer les réseaux afin d’accéder aux données et systèmes internes.
D’autres compromissions sont également possible grâce à des attaques par force brute ou simplement des informations récupérées dans des fuites de données récentes( citer quelques fuites de données).

Etape 2 : La recherche d’informations
Après s’être introduit dans la boite email d’un cadre d’une entreprise cible, l’attaquant pourra ensuite prendre le temps de s’imprégner des différentes transactions financières en cours avec des partenaires ou clients de l’entreprise. L’étape suivante serait de s’introduire dans les conversations soit à partir du compte compromis ou en procédant par usurpation d’un autre compte en fonction du sens de la transaction.

Etape 3 : Les requêtes frauduleuses
En supposant que l’entreprise compromise s’attend à recevoir un payement d’un partenaire ou d’un client, l’attaquant s’introduit dans les conversations en utilisant le compte compromis dans le but de faire une requête de changement d’informations de paiement. La personne malveillante envoie un mail au partenaire de la victime et stipule que le compte bancaire de l’entreprise a changé et que le paiement doit être effectué vers une autre adresse bancaire. Cet acte lui permettra tout simplement de changer la destination des fonds. Dans les cas où l’entreprise compromise effectue un paiement vers un partenaire, l’attaquant exploite des failles qui lui permettent d’usurper l’adresse mail d’un partenaire pour faire une demande de modification d’informations de paiement.

D’autres escroqueries BEC se manifestent par la compromission de la boîte e-mail d’un haut cadre d’une entreprise dans le simple but de voler des informations confidentielles aux autres employés de l’entreprise ou les inciter à initier des transactions financières.

Comment éviter la compromission des e-mails professionnels ?

Les techniques avancées d’ingénierie sociale et d’hameçonnage impliquées dans la planification et la réalisation d’escroqueries BEC peuvent rendre les attaques très difficiles à identifier. La mise en place de ces meilleures pratiques de sécurité de la messagerie réduira considérablement les chances que votre entreprise subisse les conséquences d’une attaque BEC réussie :

  • Investissez dans la formation des employés sur les menaces liées à la messagerie électronique et les meilleures pratiques de sécurité de la messagerie.
  • Examinez attentivement l’adresse e-mail de l’expéditeur chaque fois que vous recevez un e-mail, les criminels créent parfois un compte avec une adresse e-mail très similaire à celle de votre réseau d’entreprise.
  • Examinez attentivement tous les e-mails. Méfiez-vous des e-mails irréguliers envoyés par les cadres supérieurs, car ils sont utilisés pour inciter les employés à agir de toute urgence.
  • Assurez-vous que l’URL dans les e-mails est associée à l’entreprise dont elle prétend appartenir.
  • Soyez à l’affût des hyperliens qui contiennent des fautes d’orthographe du nom de domaine réel.
  • N’ouvrez aucun e-mail provenant de parties inconnues. Si vous le faites, ne cliquez pas sur les liens ou n’ouvrez pas les pièces jointes car elles contiennent souvent des logiciels malveillants qui accèdent à votre système informatique.
  • Utilisez des mots de passe forts et une authentification à deux facteurs (2FA). Un processus de sécurité qui implique l’utilisation de deux facteurs d’authentification différents à des fins de vérification, aide à sécuriser les comptes de messagerie.
  • Vérifiez tout changement dans l’emplacement de paiement du fournisseur en utilisant une approbation secondaire par le personnel de l’entreprise par téléphone.
  • Surveillez régulièrement les fichiers de journalisations liés aux activités des comptes pour détecter les irrégularités, telles que les connexions depuis des lieux inhabituels.
  • Connaître les habitudes de vos clients et fournisseurs. S’il y a un changement soudain dans les pratiques commerciales, méfiez-vous.
  • Investir dans une solution de sécurité des e-mails qui empêche les e-mails malveillants d’atteindre la boîte de réception est le moyen le plus efficace d’atténuer le risque que BEC représente pour votre entreprise.
  • Implémenter les règles « SPF« , « DMARC » et « DKIM » pour le nom de domaine de votre entreprise afin de réduire le risque d’usurpation des adresses e-mails.
  • Si vous pensez avoir été ciblé par un e-mail du BEC, signalez immédiatement l’incident aux forces de l’ordre ou déposez une plainte auprès de l’OCRC.
Partagez sur vos réseaux.