La compromission d’adresse email ou Business Email Compromise (BEC) est une attaque populaire visant à compromettre une boîte mail d’entreprise dans l’objectif de l’utiliser à des fins malveillantes. La monétisation la plus simple est généralement de demander un transfert de fonds depuis l’adresse corrompue ou un changement de coordonnées de paiement pour les factures à venir.
Les ransomwares, un des sujets les plus médiatisés, ne représentent que 1% des pertes financières en matière de cybercriminalité, a déclaré Crane Hassold, directeur principal de la recherche sur les menaces chez Agari. À titre de comparaison, les attaques BEC représentent 37% des pertes sur l’année passée. Ces données proviennent des attaques signalées au FBI via l’Internet Crime Complaint Center en 2020 (IC3).
Dans un rapport « State of the phish » réalisé par Proofpoint, les experts ont estimé que 65% des organisations ont été confrontées à une attaque de type BEC en 2020.
Selon le rapport Internet Crime Complaint Center (IC3) du FBI, le coût total des attaques de ce type équivaut à plus de 26 milliards de dollars entre juin 2016 et juillet 2019.
L’étude nous indique une augmentation de 100% des pertes mondiales liées aux attaques BEC entre mai 2018 et juillet 2019. De plus, le FBI a recensé 166 349 plaintes nationales et internationales.
Les différents types d’attaque BEC
Les arnaques BEC ne sont pas toutes identiques, il existe 5 types d’attaques :
- Vol de données : Le service RH ou comptabilité est attaqué afin d’obtenir des informations personnelles sur les employés de l’entreprise. Ces données seront ensuite utilisées dans le cadre de futures attaques ou revendues.
- Fausses factures : à partir de la boite mail compromise, les hackers contactent des clients de l’entreprise et demandent de régler des factures impayées à travers un virement bancaire sur un compte qui leur appartient.
- Arnaque au président : les employés du service financier ou ceux ayant les droits pour émettre des virements sont sollicités par le compte piraté du président ou d’une personne d’autorité dans l’entreprise afin d’effectuer un virement irrégulier.
- Supply chain attack : par exemple avec l’usurpation de l’identité d’un avocat. À partir du BEC d’un cabinet d’avocat, le hacker contacte un employé expliquant être en charge de dossiers confidentiels. La victime ne possède généralement pas les connaissances nécessaires pour contredire « l’avocat » et transmet des données susceptibles d’être exploitées ou revendues.
- Compromission de comptes : les hackers obtiennent un accès illégal à la boîte mail d’un employé. À partir de là, ils peuvent demander à d’autres membres de l’entreprise des actions potentiellement dangereuses, en bénéficiant de la crédibilité de l’adresse email compromise. Par exemple, le compte compromis d’un chargé d’affaire peut envoyer au service comptabilité une facture liée à un outil utilisé lors de sa prétendue mission. Cette fausse facture présentera les coordonnées de paiement du hacker. Étant donné que la demande est “interne” elle a beaucoup plus de chances de ne pas subir de vérification additionnelle.
Étapes d’un Business Email Compromise
Tout d’abord, le hacker va identifier les cibles de l’attaque puis récolter des informations sur l’entreprise et le contact potentiel. La plupart de ces données sont collectées par OSINT — Open Source Intelligence — via les réseaux sociaux, des moteurs de recherches spécifiques ou encore des sites spécialisés. Durant des semaines ou même des mois, l’individu peut étudier l’entreprise, les fournisseurs, les systèmes de facturation et même le type de communication utilisé dans l’entreprise par les employés ou le PDG.
Ensuite, l’attaquant va passer à l’action, il s’agit ici d’obtenir un accès à une boîte mail professionnelle. Ainsi, le hacker procédera souvent à une attaque de phishing ciblée afin de voler les identifiants de connexion (credential harvesting). Il est aussi possible qu’il utilise d’autres attaques dans des cas plus spécifiques.
Le compte compromis ne suffit pas toujours pour mener l’attaque à bien. Par exemple, dans le cas d’une fraude au président, la boîte mail du PDG est nécessaire. Dans ce cas, l’étape suivante consiste à récupérer un deuxième accès qui sera davantage pertinent et utile pour la suite de l’attaque : celui du PDG.
L’étape finale est l’exploitation : récupérer et vendre des données confidentielles, demander un changement d’IBAN pour un fournisseur, un transfert d’argent vers un compte pour le PDG, etc. Dans le cadre d’un virement, le hacker blanchira souvent l’argent très rapidement… Plus la découverte de l’attaque est tardive, plus il sera difficile de reprendre possession de ces fonds.
Comment se protéger du BEC ?
Afin de se protéger des attaques impliquant un transfert de fonds, il est nécessaire d’établir une procédure stricte pour toute opération de modification et d’exécution de paiement ou coordonnées de paiement.
De même, la compréhension du niveau de confidentialité de l’information présente dans certains systèmes (RH, CRM, …) et la sensibilisation à l’impact de la potentielle fuite de celle-ci est primordiale pour le respect des procédures de protection.
Une opération sensible mérite d’avoir des mesures de précautions afin d’éviter qu’elle s’exécute sans avoir subie de contrôle de sécurité. Le plus simple est d’instaurer une forme de vérification multi-facteurs, demandant une validation par téléphone en plus de l’email, avec une preuve d’identité.
Il est également important de vérifier les connexions suspectes qui pourraient affecter les systèmes de messagerie. Par exemple, si des connexions aux boîtes mails de collaborateurs viennent de pays où l’entreprise n’est pas présente, il est pertinent de s’inquiéter de la source de ces connexions. Des sondes doivent être placées sur le réseau afin d’identifier les potentielles menaces comme des comptes compromis, s’en protéger et les éradiquer le plus rapidement possible.
Une autre protection est d’établir une surveillance régulière des données publiquement accessibles sur l’entreprise. Ainsi, les informations accessibles pendant la phase d’OSINT seront limitées.
Enfin, n’oubliez pas que le vecteur d’attaque principal de ces attaques est le credential harvesting (la collecte d’informations d’identification). Il est donc primordial d’entraîner ses collaborateurs contre le phishing, une des sources de collecte d’identifiants les plus populaires.
Conclusion
Les attaques de type Business Email Compromise sont des arnaques courantes et efficaces.
Si l’on compare au coût de l’opération et au faible niveau de technicité qui est nécessaire pour mettre cette attaque en place, elles sont très rentables, ce qui les rends populaires. Ces arnaques sont encore trop présentes dans le monde numérique. Avec plus d’entraînements et de sensibilisation, le nombre d’attaques BEC visant les entreprises diminuerait avec le temps.
Le BEC est une véritable menace mais il est tout à fait possible de s’en prémunir avec des mesures simples telles qu’entraîner les collaborateurs d’une entreprise contre le phishing.