Resources

BEC (Compromission de la Messagerie) : Stratégies de Prévention

En ce qui concerne les cyberattaques transmises par email, la Compromission de Compte Email Professionnel (Business Email Compromise ou BEC) est une menace très présente, coûtant des milliards de dollars de pertes aux entreprises du monde entier. Sur cette page, vous trouverez tout ce qu'il faut savoir sur le BEC, de sa définition à comment s'en protéger.

Arsen Team
7 minutes read
What is vishing?

Qu'est-ce qu'un BEC ?

La Compromission de Compte Email Professionnel (Business Email Compromise ou BEC) est un type de cybercriminalité impliquant la fraude par email pour attaquer des organisations.

Il consiste généralement à ce que des attaquants accèdent à un compte email professionnel et l'utilisent pour tromper l'entreprise, ses employés ou ses partenaires afin de transférer des fonds ou des informations sensibles.

Contrairement aux attaques de phishing de masse, le BEC est généralement très ciblé et implique une quantité significative de recherches sur l'organisation victime.

50%

Des pertes dues à la cybercriminalité

sont attribuables au BEC

6+

Mois

Temps moyen de récupération après une attaque BEC

65%

Augmentation

des attaques BEC au cours des cinq dernières années

Types de BEC

Il existe plusieurs types d'attaques BEC. Nous avons listé les plus courants ci-dessous.

Fraude au président

Dans la fraude au président, également connue sous le nom d'usurpation de dirigeant, les attaquants se font passer pour le CEO ou d'autres cadres supérieurs de l'entreprise. Ils envoient des emails aux employés, généralement du département financier, leur demandant de transférer de l'argent ou de fournir des informations sensibles de toute urgence. Ces emails exploitent souvent l'autorité et l'urgence associées aux communications des dirigeants.

Exemple : Un attaquant pourrait se faire passer pour le CEO et envoyer un email au CFO, demandant un virement immédiat vers un compte spécifié pour finaliser une affaire commerciale de grande envergure.

Compromission de Compte

Ce type de BEC implique la compromission d'un compte email légitime au sein de l'entreprise.

Les attaquants accèdent au compte email d'un employé par phishing ou d'autres méthodes, puis utilisent ce compte pour envoyer des emails frauduleux.

Comme les emails proviennent d'un compte de confiance, ils sont plus susceptibles de contourner les mesures de sécurité et d'être crédibles pour les destinataires.

Exemple : Un attaquant pourrait prendre le contrôle du compte email d'un employé et l'utiliser pour demander des paiements de factures aux clients, redirigeant les paiements vers le compte bancaire de l'attaquant.

Fausses Factures

Dans les escroqueries de factures, les attaquants se font passer pour des fournisseurs ou des fournisseurs de services et envoient de fausses factures au département de comptes payables de l'entreprise.

L'email peut provenir d'une adresse falsifiée ou d'un compte de fournisseur compromis, demandant à l'entreprise de faire des paiements vers un nouveau compte bancaire contrôlé par l'attaquant.

Exemple : Une entreprise reçoit un email semblant provenir d'un fournisseur de longue date, l'informant d'un changement des coordonnées bancaires pour les paiements futurs. L'entreprise met à jour ses dossiers et envoie le prochain paiement vers le compte de l'attaquant.

Usurpation d'Avocat

Les attaquants se font passer pour des avocats ou des représentants légaux, souvent en citant des affaires confidentielles ou urgentes. Ces emails ciblent généralement les cadres supérieurs ou le personnel financier et utilisent un jargon juridique pour créer un sentiment d'urgence et d'importance.

Exemple : Un attaquant se faisant passer pour un avocat pourrait envoyer un email au CFO, prétendant gérer une acquisition confidentielle et demandant un paiement immédiat pour sécuriser l'accord.

Vol de Données

Bien que de nombreuses attaques BEC visent à voler de l'argent, certaines se concentrent sur l'obtention d'informations sensibles telles que des données sur les employés, des dossiers financiers ou des propriétés intellectuelles. Ces informations peuvent être utilisées pour d'autres attaques ou vendues sur le marché noir.

Exemple : Un attaquant compromet le compte email du directeur des ressources humaines et envoie des emails demandant les formulaires fiscaux des employés et des informations personnelles, qui sont ensuite utilisées pour le vol d'identité ou vendues à d'autres criminels.

Comment Fonctionne le BEC ?

Les attaques par BEC se déroulent en plusieurs étapes qui construisent une attaque d'ingénierie sociale bien élaborée.

La plupart des attaques BEC suivent les étapes ci-dessous :

  1. Recherche : Les attaquants rassemblent des informations sur l'organisation cible et ses employés, souvent en utilisant des sources disponibles publiquement comme LinkedIn, les sites web des entreprises et les réseaux sociaux. Cela les aide à créer des emails convaincants et ciblés.

  2. Contact Initial : En utilisant le phishing, le spoofing ou d'autres techniques, les attaquants établissent un premier contact, visant à compromettre un compte email ou à établir des lignes de communication qui semblent légitimes.

  3. Compromission du Compte : Si l'attaque réussit, les attaquants accèdent à un compte email légitime, leur permettant d'envoyer des emails qui contournent les filtres de sécurité et suscitent moins de méfiance chez les destinataires.

  4. Exécution : Les attaquants envoient des emails frauduleux depuis le compte compromis ou des adresses falsifiées, demandant des virements, des informations sensibles ou des modifications des coordonnées de paiement. Ces emails exploitent souvent l'urgence et l'autorité pour inciter à une action rapide sans vérification approfondie.

  5. Monétisation : Une fois que la victime se conforme à la demande frauduleuse, les attaquants déplacent rapidement les fonds volés à travers divers comptes, rendant leur récupération difficile. Si des informations sensibles sont volées, elles peuvent être vendues sur le marché noir ou utilisées dans de nouvelles attaques.

  6. Dissimulation : Les attaquants peuvent supprimer les emails envoyés ou configurer des règles de transfert pour dissimuler leur activité et prolonger le temps avant que la compromission ne soit détectée.

Techniques de BEC

Le BEC repose sur différentes techniques combinables pour soit prendre le contrôle des comptes, soit usurper des personnes existantes — généralement des personnes d'autorité.

Attaques de Phishing pour Collecte de Identifiants

Le phishing est une tactique courante utilisée pour obtenir un accès initial au compte email d'un employé.

Les attaquants envoient des emails trompeurs semblant provenir de sources légitimes, incitant les destinataires à cliquer sur des liens ou des pièces jointes malveillants.

Ces liens dirigent vers de fausses pages de connexion où les victimes fournissent involontairement leurs identifiants email.

Spoofing

Le spoofing d'email consiste à falsifier l'adresse email de l'expéditeur pour faire apparaître l'email comme venant d'une source de confiance au sein ou associée à l'organisation cible.

Cette technique peut tromper les destinataires en leur faisant croire que l'email est légitime, les incitant à suivre les instructions sans méfiance.

De la modification des extensions de noms de domaine (appelée « domaine doppelganger ») à l'utilisation de domaines similaires et de typosquatting, de nombreuses techniques permettent aux attaquants de manipuler leur victime en lui faisant croire que leur email provient de l'adresse email légitime.

Malware

Le malware, tel que les keyloggers, les chevaux de Troie d'accès à distance (RAT) ou les infostealers, est une autre méthode utilisée par les attaquants pour compromettre les comptes email.

Ces programmes malveillants peuvent être livrés par des pièces jointes d'email ou des liens. Une fois installés sur l'ordinateur de la victime, les malwares peuvent capturer les frappes clavier, voler les identifiants de connexion et fournir aux attaquants un accès à distance au système.

Ingénierie Sociale

De manière générale, l'ingénierie sociale peut être utilisée de manière différente du phishing — qui est une application basée sur l'email de l'ingénierie sociale.

Elle consiste à manipuler des individus pour les amener à effectuer des actions ou à divulguer des informations confidentielles.

Les attaquants BEC recherchent souvent leurs cibles de manière approfondie pour créer des emails convaincants qui exploitent la confiance, l'autorité et l'urgence.

Signes Avant-Coureurs du BEC

Le BEC, surtout s'il repose sur une véritable prise de contrôle de compte, peut être très difficile à détecter. Cependant, il existe quelques signes avant-coureurs qui peuvent aider à détecter ces attaques.

Demandes Inhabituelles

Les emails BEC contiennent souvent des demandes qui dévient des opérations commerciales normales.

Cela peut inclure des demandes soudaines et inattendues de virements d'argent, des demandes d'informations confidentielles ou des instructions pour modifier les détails de paiement.

Anomalies dans les Emails

Les emails impliqués dans les attaques BEC présentent fréquemment des anomalies subtiles qui peuvent alerter les destinataires vigilants de leur nature frauduleuse.

Ces anomalies peuvent inclure des fautes d'orthographe légères dans l'adresse de l'expéditeur, un langage ou un ton inhabituel, et des pièces jointes ou des liens inattendus.

Urgence Inattendue

Les attaquants créent souvent un sentiment d'urgence pour pousser les destinataires à agir rapidement sans vérifier la légitimité de la demande.

Ces emails peuvent souligner la nécessité d'une action immédiate, prétendre à des opportunités sensibles au temps ou avertir de conséquences graves si la demande n'est pas remplie rapidement.

Échecs de Vérification

Les emails BEC peuvent contourner les processus de vérification standard que l'organisation suit généralement pour les transactions sensibles.

Cela inclut des demandes d'ignorer les protocoles établis ou de communiquer en dehors des canaux normaux.

Modèles de Communication Anormaux

Si un email dévie du style de communication habituel de l'expéditeur ou arrive à un moment inhabituel, cela pourrait être un signe de BEC.

Cela inclut les emails envoyés à des heures inhabituelles, une urgence non caractéristique ou un ton qui ne correspond pas au comportement habituel de l'expéditeur.

Exemples Concrets

Toyota Boshoku Corporation (2019)

Toyota Boshoku Corporation, une filiale du groupe Toyota, a été victime d'une escroquerie BEC où des attaquants se sont fait passer pour un cadre de l'entreprise et ont demandé à un employé de transférer une somme importante d'argent vers un compte frauduleux.

L'entreprise a perdu environ 37 millions de dollars dans cette escroquerie.

Les attaquants ont utilisé des techniques d'ingénierie sociale pour recueillir des informations sur les opérations financières de l'entreprise et l'équipe dirigeante, leur permettant de créer un email convaincant qui a contourné les procédures de vérification standard.

Facebook et Google (2013-2015)

Un hacker lituanien s'est fait passer pour un fournisseur de matériel et a envoyé de fausses factures à Facebook et Google pendant une période de deux ans. Les factures semblaient légitimes, amenant les deux entreprises à transférer des fonds vers le compte de l'attaquant.

L'escroquerie a entraîné des pertes combinées de plus de 100 millions de dollars.

L'attaquant a exploité la relation commerciale établie entre les entreprises et leur fournisseur, en utilisant des emails soigneusement élaborés et de fausses factures correspondant au format et aux détails des transactions légitimes.

Ubiquiti Networks (2015)

Ubiquiti Networks, une entreprise technologique, a été ciblée par des attaquants qui ont accédé au compte email d'un employé et l'ont utilisé pour initier des virements internationaux non autorisés.

L'entreprise a signalé une perte de 39 millions de dollars en raison de l'attaque.

Les attaquants ont compromis le compte email d'un employé par phishing, leur permettant d'envoyer des demandes de virements frauduleux semblant provenir de l'intérieur de l'entreprise. L'absence d'authentification à deux facteurs et des processus de vérification insuffisants ont contribué au succès de l'attaque.

Impact du BEC

Comme dans toute cyberattaque, il existe plusieurs niveaux d'impact après un compromis réussi de compte email professionnel.

Pertes Financières

L'impact le plus immédiat et quantifiable du BEC est la perte financière.

Les victimes subissent souvent des dommages monétaires importants en raison de virements frauduleux, de fausses factures et de modifications non autorisées de comptes.

Les coûts peuvent s'étendre au-delà du vol initial pour inclure des frais de récupération, des dépenses juridiques et une augmentation des primes d'assurance.

Dommages à la Réputation

Les incidents de BEC peuvent gravement endommager la réputation d'une organisation.

Lorsque les clients, les partenaires et les parties prenantes apprennent une violation de la sécurité, ils peuvent perdre confiance dans la capacité de l'entreprise à protéger les informations sensibles.

Cette perte de confiance peut entraîner une diminution des opportunités commerciales, une attrition des clients et une image de marque ternie.

Perturbation Opérationnelle

Les attaques BEC peuvent perturber les opérations commerciales de diverses manières.

Le temps et les ressources nécessaires pour répondre à un incident, enquêter sur la violation et mettre en œuvre des mesures correctives peuvent détourner l'attention des activités commerciales principales.

De plus, les systèmes compromis peuvent devoir être mis hors ligne pour réparation, interrompant ainsi davantage les opérations normales.

Conséquences Juridiques et Réglementaires

Les organisations victimes de BEC peuvent faire face à des répercussions juridiques et réglementaires.

En fonction de la nature de la violation et des données compromises, les entreprises peuvent être soumises à des amendes, des pénalités et des poursuites judiciaires. Le respect des réglementations sur la protection des données telles que le RGPD, la CCPA ou des directives spécifiques au secteur peut entraîner une surveillance accrue et des exigences de déclaration obligatoires.

Impact Psychologique et Émotionnel

Les employés impliqués dans un incident de BEC, en particulier ceux qui ont été manipulés par des tactiques d'ingénierie sociale, peuvent ressentir un stress et une anxiété significatifs.

La peur des répercussions, la culpabilité et l'embarras peuvent affecter leur moral et leur productivité.

Stratégies de Prévention et de Protection

Dans ces attaques, la défense en profondeur est essentielle. Vous avez besoin de plusieurs stratégies et couches de systèmes de défense pour mieux vous protéger contre les BEC.

Formation des Employés

Les employés sont souvent la première ligne de défense contre les attaques BEC.

Les programmes de formation doivent se concentrer sur l'éducation du personnel sur les tactiques courantes utilisées dans les escroqueries BEC, comment reconnaître les emails suspects et l'importance de vérifier les demandes d'informations sensibles ou de transactions financières.

  • Sessions de Formation Régulières : Organisez des sessions de formation régulières pour tenir les employés informés des dernières tactiques et stratégies de prévention BEC.

  • Simulations de Phishing : Mettez en place des exercices de simulation de phishing pour tester et renforcer la capacité des employés à identifier les emails de phishing, y compris les simulations BEC.

  • Campagnes de Sensibilisation : Utilisez des affiches, des bulletins d'information et des emails pour rappeler aux employés les meilleures pratiques et les signes avant-coureurs.

Mesures de Sécurité des Emails

Les défenses techniques peuvent réduire considérablement le risque d'attaques BEC en identifiant et en bloquant les emails suspects avant qu'ils n'atteignent les boîtes de réception des employés.

Outils et Technologies Clés :

  • Filtrage des Emails : Utilisez des solutions avancées de filtrage des emails pour détecter et bloquer les emails de phishing, les adresses falsifiées et les pièces jointes malveillantes.

  • Authentification Multi-Facteurs (MFA) : Exigez la MFA pour les comptes email afin d'ajouter une couche de sécurité supplémentaire, rendant plus difficile l'accès des attaquants même s'ils obtiennent les informations de connexion.

  • Authentification, Rapport et Conformité Basés sur le Domaine (DMARC) : Implémentez des politiques DMARC pour protéger contre le spoofing des emails en vérifiant l'authenticité des emails entrants.

Processus de Vérification

Établir et faire respecter des processus de vérification robustes pour les transactions financières et les demandes d'informations sensibles peut empêcher les attaques BEC de réussir.

Procédures Clés :

  • Autorisation Double : Exigez une double autorisation pour les transactions financières importantes, garantissant qu'au moins deux personnes examinent et approuvent la demande.

  • Vérification Hors-Bande : Vérifiez les demandes d'informations sensibles ou de virements financiers en utilisant un canal de communication distinct, tel qu'un appel téléphonique, pour confirmer la légitimité de la demande.

  • Gestion des Fournisseurs : Vérifiez et mettez régulièrement à jour les informations de contact des fournisseurs, et établissez des procédures pour confirmer les modifications des détails de paiement avec des contacts de confiance.

Plans de Réponse aux Incidents

Avoir un plan de réponse aux incidents bien défini permet aux organisations de réagir rapidement et efficacement à une attaque BEC, minimisant ainsi les dommages et le temps de récupération.

Composants Clés :

  • Détection et Signalement : Établissez des procédures claires pour détecter et signaler les incidents BEC suspects. Encouragez les employés à signaler immédiatement tout email ou activité suspecte.

  • Confinement et Éradication : Définissez les étapes pour contenir l'incident, telles que l'isolement des comptes et systèmes compromis, et l'éradication de tout logiciel malveillant ou accès non autorisé.

  • Enquête et Récupération : Menez une enquête approfondie pour comprendre l'ampleur de l'attaque, identifier les systèmes et données affectés, et mettre en œuvre des mesures pour récupérer de l'incident.

  • Communication : Développez un plan de communication pour informer les parties prenantes, y compris les employés, les clients, les partenaires et les autorités réglementaires, sur l'incident et les mesures prises pour y remédier

Book a demo

Learn what makes Arsen the go-to platform to help CISOs, cyber experts, and IT teams protect their organizations against social engineering.

Obtenir une démonstration

Questions fréquentes

Les attaques BEC se produisent généralement par le biais de courriels de phishing, de falsification d'e-mails ou de logiciels malveillants qui compromettent le compte e-mail d'un employé. Les attaquants utilisent ensuite cet accès pour envoyer des e-mails frauduleux qui semblent légitimes, demandant des transactions financières ou des informations sensibles.

Les cibles courantes des attaques BEC incluent les cadres, les employés du département financier et d'autres personnes ayant accès aux finances de l'entreprise ou à des informations sensibles. Cependant, tout employé peut être ciblé s'il est supposé avoir la capacité d'exécuter des transactions financières ou d'accéder à des données précieuses.

Les types courants d'escroqueries BEC incluent :

  • Fraude au président : Se faire passer pour des cadres pour demander des virements urgents.
  • Compromission de compte : Utiliser un compte e-mail compromis pour demander des paiements ou des données.
  • Escroqueries par facture : Envoyer de fausses factures qui semblent provenir de fournisseurs légitimes.
  • Usurpation d'identité d'avocat : Se faire passer pour des représentants légaux pour demander des informations confidentielles ou des paiements.
  • Vol de données : Chercher des informations sensibles telles que des données d'employés ou des dossiers financiers.

Les signes avant-coureurs d'une attaque BEC incluent :

  • Demandes inhabituelles ou urgentes de transferts d'argent ou d'informations sensibles.
  • E-mails avec de légères variations dans l'adresse ou le domaine de l'expéditeur.
  • Demandes de contourner les processus de vérification habituels.
  • Langage ou ton non caractéristique dans les e-mails de contacts connus.
  • E-mails envoyés à des heures inhabituelles ou depuis des lieux inconnus.

Les organisations peuvent se protéger contre les attaques BEC en :

  • Réalisant une formation régulière des employés sur la reconnaissance et le signalement des tentatives de phishing et de BEC.
  • Mettant en place des mesures de sécurité par e-mail avancées, telles que le filtrage des e-mails et l'authentification multi-facteurs.
  • Établissant des processus de vérification robustes pour les transactions financières et les demandes d'informations sensibles.
  • Développant et maintenant un plan de réponse aux incidents pour traiter les attaques BEC.

Si les employés suspectent une attaque BEC, ils doivent :

  1. Signaler immédiatement l'e-mail suspect à leur équipe informatique ou de sécurité. Éviter de cliquer sur les liens ou d'ouvrir les pièces jointes de l'e-mail suspect.
  2. Vérifier la demande par un canal de communication secondaire, tel qu'un appel téléphonique au prétendu expéditeur.

Les attaques BEC peuvent avoir plusieurs impacts sur les organisations, notamment :

  • Pertes financières dues à des transactions frauduleuses.
  • Dommages à la réputation et perte de confiance des clients.
  • Disruptions opérationnelles en raison de systèmes compromis et d'efforts d'enquête.
  • Conséquences juridiques et réglementaires, y compris amendes et poursuites judiciaires.
  • Stress psychologique et émotionnel pour les employés affectés.

Après une attaque BEC, une organisation devrait :

  • Contenir et éradiquer la menace en isolant les comptes et systèmes compromis.
  • Réaliser une enquête approfondie pour déterminer l'ampleur de l'attaque.
  • Mettre en œuvre des mesures pour se remettre de l'incident, y compris les efforts de récupération financière et la restauration des systèmes.
  • Communiquer avec les parties prenantes, y compris les employés, les clients et les organismes de réglementation, au sujet de l'incident et des efforts d'atténuation.
  • Revoir et renforcer les mesures de sécurité pour prévenir les attaques futures.

En savoir plus

Définition du BEC : comprendre le Business Email Compromise

Définition du BEC : comprendre le Business Email Compromise

Thomas Le Coz
Thomas Le Coz

La compromission d’adresse email ou Business Email Compromise (BEC) est une attaque populaire visant à compromettre une boîte mail d’entreprise dans l’objectif de l’utiliser à des fins malveillantes. La monétisation la plus simple est généralement de demander un transfert de...