Comment prévenir les attaques par compromission des e-mails professionnels (BEC) ?

Les organisations à but non lucratif sont confrontées à une augmentation des attaques par compromission des e-mails professionnels (BEC), qui ont atteint 35 %. Les cybercriminels n'ont aucune pitié et ciblent les données des donateurs, les transactions financières et les communications internes.

Les attaques BEC ne sont pas nouvelles. Il s'agit d'une tactique sophistiquée d'ingénierie sociale qui repose sur la naïveté de la victime. Des e-mails de phishing bien conçus peuvent contourner les filtres anti-spam et même les meilleures mesures de sécurité des e-mails. Il est indispensable d'apprendre à prévenir les attaques BEC pour rester protégé dans le contexte actuel où les menaces ne cessent de se multiplier.

Ce guide vous dira tout ce que vous devez savoir pour prévenir les attaques BEC et comment y faire face.

Qu'est-ce qu'une attaque par compromission des e-mails professionnels (BEC) ?

Une attaque par compromission des e-mails professionnels (BEC) est également connue sous le nom d'attaque par compromission des comptes de messagerie (EAC). L'attaquant vous envoie un message qui peut provenir d'une source légitime. Ce message n'est pas immédiatement identifiable, ce qui le rend particulièrement dangereux.

Imaginons, par exemple, que votre entreprise travaille avec un fournisseur qui vous envoie régulièrement des factures chaque mois. Un pirate BEC peut créer une fausse facture et vous l'envoyer à partir d'un domaine étrangement similaire. Si vous avez un assistant dans votre entreprise qui est un initié, il peut également lancer une attaque BEC. Vous pouvez lui demander d'acheter des cartes-cadeaux pour vos employés afin de les récompenser pour leur bon travail. La personne demande leurs numéros de série afin de pouvoir les envoyer par e-mail immédiatement après l'achat. Un acheteur immobilier peut également recevoir un message d'un agent immobilier par e-mail, lui expliquant comment virer l'acompte pour une maison qui l'intéresse, et lui envoyant un lien.

Comment fonctionnent les attaques BEC ?

Voici comment fonctionnent les attaques BEC :

• L'adresse e-mail de l'expéditeur présente généralement de légères variations qui passent souvent inaperçues. Par exemple, l'adresse elon.musk(at)paypal(.)com peut être usurpée par une adresse similaire telle que [email protected]. Les noms de domaine semblent trop authentiques et il est difficile de deviner qu'ils sont différents. Vous ne remarquez pas ces petits détails lorsque vous êtes occupé à travailler toute la journée.
• Les attaques BEC peuvent provenir d'e-mails de spear phishing et cibler des employés de confiance au sein de votre organisation. Ces messages peuvent provenir d'expéditeurs de confiance qui occupent des postes à haute responsabilité. Les nouveaux employés qui ne les connaissent pas bien peuvent facilement devenir des proies ou des victimes. Ils peuvent accidentellement partager leurs identifiants, données et autres informations sensibles lorsqu'ils interagissent avec eux. Lorsqu'ils réalisent ce qui se passe, il est déjà trop tard.
• Si un pirate informatique parvient à infiltrer les bases de données de votre entreprise, il peut accéder à vos listes d'e-mails, à vos menaces, à votre facturation et aux détails de vos factures. Il peut synchroniser ses attaques avec les cycles de paiement ou de transaction afin que les responsables financiers, les services comptables et les directeurs financiers ne se posent pas de questions. Votre équipe répondra à ses demandes de paiement et les approuvera sans le savoir. Ces pirates peuvent également intégrer des liens malveillants dans leurs e-mails afin de voler des informations supplémentaires, telles que des noms d'utilisateur et des mots de passe.

Un pirate informatique spécialisé dans les attaques par compromission des e-mails professionnels peut vous demander d'effectuer des virements bancaires, de travailler avec des fournisseurs étrangers ou d'utiliser les adresses e-mail publiques des cadres dirigeants. Vous tomberez alors automatiquement dans leur radar. Ils peuvent recueillir des informations vous concernant à partir de sources accessibles au public, consulter vos profils d'utilisateur en ligne et compromettre d'autres comptes de messagerie afin d'obtenir des informations sur vos activités commerciales et vos relations.

La plupart des attaques par compromission des e-mails professionnels sont motivées par des raisons financières. Il est courant que les pirates se fassent passer pour le PDG ou un fournisseur, ou demandent à des employés ayant accès aux comptes financiers de rediriger des virements bancaires vers des comptes frauduleux. Parfois, ils peuvent utiliser ces attaques pour récupérer des données sensibles afin de lancer une autre attaque.

Ils peuvent vendre vos informations personnelles sur le dark web et ne viser que vos identifiants de connexion. Ceux-ci peuvent être utilisés pour prendre le contrôle de comptes et les utiliser pour des attaques ultérieures. Vous pouvez utiliser un vérificateur de domaine pour analyser si votre domaine est vulnérable ou exposé à ce type de menaces.

Le coût énorme d'une compromission des e-mails professionnels réside dans la façon dont elle peut détruire la réputation de votre organisation. Non seulement les adversaires ralentiront vos opérations, mais ils pourront également prendre le contrôle de vos ressources et les supprimer.

Vous devez vous concentrer sur le chiffrement de vos données, empêcher les usurpations d'identité et mettre en place une authentification multifactorielle pour garder une longueur d'avance sur eux. La sécurité des e-mails ne dispose pas de protocoles d'authentification intégrés par défaut. Vous devrez donc vérifier auprès de votre fournisseur de services de messagerie électronique s'il a mis en place des cadres de politiques de sécurité. Les pirates peuvent facilement falsifier les noms d'affichage et les adresses d'expéditeur des e-mails entrants. Les domaines similaires sont très courants et notoires.

Comment détecter une attaque par compromission des e-mails professionnels ?

Voici quelques moyens de repérer les attaques par compromission des e-mails professionnels :

• Examinez attentivement l'adresse e-mail de l'expéditeur. Parfois, le nom d'utilisateur ou le vrai nom de la personne est mentionné. Il peut s'agir de ses initiales ou de son nom complet. Vous pouvez également examiner sa photo de profil, mais les photos changent, ce n'est donc pas une méthode infaillible.
• Examinez le nom de domaine. S'il comporte des fautes d'orthographe ou des variations par rapport à celui auquel vous êtes habitué, c'est un indice révélateur.
• Certains mots de votre e-mail peuvent être surlignés ou soulignés. Ils peuvent susciter un sentiment d'urgence et vous inciter à cliquer dessus. Ils contiennent des liens malveillants, alors méfiez-vous. Voici quelques raisons que l'attaquant peut invoquer pour vous inciter à cliquer : consulter les conditions générales de votre compte, empêcher la fermeture de votre compte (renouveler), vous réabonner à vos services existants, etc. Vous devez partir du principe que ces liens sont suspects, alors ne vous laissez pas emporter par vos émotions et n'agissez pas. Attendez et vérifiez par vous-même. Ne paniquez pas et ne réagissez pas.
• Parfois, un pirate informatique peut détourner le compte d'un employé et en prendre le contrôle. Vous ne le verrez pas venir. Il peut pirater leurs comptes et envoyer des e-mails depuis l'intérieur de votre organisation. C'est difficile à gérer, mais pas impossible. Vérifiez auprès de vos employés en personne et par téléphone. Discutez avec eux par vidéo et signalez-leur ces e-mails. S'ils ont été piratés, ils vous le diront et vous pourrez alors prendre les mesures appropriées.

Meilleures pratiques pour prévenir les attaques BEC

Voici une liste des meilleures pratiques pour prévenir les attaques BEC :

• Sensibilisez vos employés et apprenez-leur à prévenir les attaques BEC. La sensibilisation et la formation à la sécurité sont parmi les mesures les plus importantes à prendre. Lorsqu'ils apprendront à reconnaître les signes avant-coureurs, tels que les adresses e-mail suspectes et les demandes inhabituelles, ils seront beaucoup plus en sécurité.
• Appliquez l'authentification multifactorielle pour réduire le risque qu'un acteur malveillant utilise des identifiants volés pour accéder à des comptes de messagerie et mener des escroqueries BEC. Appliquez des politiques et des procédures strictes de contrôle d'accès pour valider et autoriser les transactions financières et sécuriser l'accès aux informations confidentielles.
• Établissez des limites d'autorité, limitez les autorisations et vérifiez chaque modification apportée aux données de paiement.
• Vérifiez les URL des liens et n'ouvrez pas les pièces jointes des e-mails avant de les avoir vérifiées. Analysez les pièces jointes à la recherche de logiciels malveillants et évitez de télécharger des fichiers provenant de sources non fiables.
• Appliquez régulièrement les correctifs et mettez à jour vos systèmes. Maintenez vos logiciels à jour. Les équipes de sécurité doivent également mettre en place des solutions de surveillance continue et de détection des anomalies afin d'identifier les schémas inhabituels et les comportements suspects.
• Éliminez les lacunes en matière de visibilité en utilisant des outils fiables. Corrélation des données télémétriques provenant de plusieurs sources pour obtenir un meilleur contexte d'attaque et réduire les temps de détection et de réponse.
• Disposez de mesures de sauvegarde et de sécurité des données pour les rares cas où une violation se produit à votre insu.
• Mettez en place des mesures solides de gestion des identités et des accès. La plupart des attaques BEC n'incluent pas de contrôles CIS, pensez donc à les mettre en place. Pour ce faire, dressez l'inventaire des comptes actifs et inactifs, y compris ceux qui ont été désactivés. Vérifiez vos processus d'accès, y compris les processus de révocation d'accès, et établissez-les.

Exemples concrets d'attaques BEC

Voici quelques exemples concrets d'attaques BEC :

1. Une entreprise de fabrication de produits chimiques a perdu 60 millions de dollars américains à la suite d'une attaque par e-mail de type " business compromise ". Un employé non cadre de l'entreprise a été trompé et a accidentellement transféré des fonds vers des comptes tiers. Aucune autre preuve d'activité frauduleuse n'a été trouvée par la suite et les adversaires ont disparu comme des fantômes. Orion mène toujours l'enquête et collabore avec les forces de l'ordre pour obtenir des pistes. Les attaquants n'ont même pas tenté d'accéder sans autorisation à leurs systèmes ni laissé de traces.
2. Les entreprises de la région APAC ont constaté une augmentation des attaques BEC. Les attaques par e-mail avancées ont augmenté de près de 27 %, passant de 472 à 600 attaques pour 1 000 boîtes e-mail. Les campagnes de phishing ont été utilisées pour mener à bien des cybercrimes complexes et ont servi de passerelle à ces infiltrations. Les attaques BEC ont connu une augmentation de 6 % d'une année sur l'autre et ont contourné les mesures de sécurité traditionnelles.

Les deepfakes et les doublages générés par l'IA rendent les escroqueries BEC plus faciles que jamais. Selon le FBI, les attaques BEC ont entraîné une perte de 2,9 milliards de dollars, contre 59,6 millions de dollars pour les ransomwares. Les messages semblaient provenir de sous-traitants, de partenaires commerciaux et de PDG. Les escrocs ont trompé leurs victimes et les ont amenées à fournir des détails transactionnels afin d'extorquer et d'exploiter l'argent des organisations.

Conclusion

Vous savez désormais comment prévenir les attaques BEC. Il vous suffit de mettre en œuvre les mesures de sécurité adaptées à votre organisation et d'auditer tous vos comptes, workflows et contrôles.

Vérifiez vos politiques de sécurité et assurez-vous que tout est en ordre. Vous devez également vérifier le statut de conformité de votre organisation afin de vous assurer qu'aucun acteur malveillant ne puisse en tirer parti.

Consultez dès aujourd'hui les experts en sécurité de SentinelOne pour obtenir une assistance supplémentaire.

"

FAQs