Comment la compromission de la messagerie en entreprise peut vous faire perdre des millions

23 Sep 2019

En général, les comptes piratés sont utilisés pour distribuer des spams et contourner les filtres. Cependant, une boîte e-mail piratée peut être utilisée pour des choses plus désagréables encore, comme une attaque BEC (compromission de la messagerie en entreprise). Le mois dernier, une filiale de Toyota Boshoku Corporation a été touchée par une arnaque de ce type, causant des dommages estimés à 4 milliards de yens, soit plus de 33 millions d’euros.

Que s’est-il passé ?

Selon le communiqué officiel publié le 6 septembre par l’entreprise, ainsi que des articles parus dans la presse, des cybercriminels inconnus ont lancé une attaque BEC. L’incident fait toujours l’objet d’une enquête et aucun détail n’a été divulgué. Il n’est donc pas évident de savoir s’ils ont utilisé une boîte e-mail piratée ou si les cybercriminels se sont tout simplement fait passer pour quelqu’un d’autre. Ce que nous savons, c’est que la perte financière a été causée par des instructions de virement bancaire frauduleuses qu’un employé de l’entreprise a prises pour légitime.

Peu de temps après le transfert, les experts en sécurité de Toyota se sont rendu compte que l’argent avait été envoyé sur des comptes externes, mais il était trop tard pour interrompre la procédure. En attendant, l’entreprise s’efforce de récupérer les fonds.

Qu’est-ce qu’une attaque BEC ?

Une attaque BEC n’implique pas forcément de détourner des boîtes e-mail. Parfois, les cybercriminels tentent d’usurper l’identité d’employés ou de partenaires de l’entreprise en utilisant des adresses de tiers. Cependant, utiliser le compte d’une personne interne rend l’attaque beaucoup plus facile. Après tout, un e-mail de quelqu’un avec qui vous correspondez vraiment éveille beaucoup moins de soupçons.

Pour mener à bien l’attaque, le cybercriminel doit bien évidemment avoir d’excellentes compétences en ingénierie sociale : se faire passer pour une autre personne et convaincre quelqu’un de faire quelque chose n’est pas si facile. Là encore, une boîte e-mail piratée leur simplifie la tâche. Après avoir étudié le contenu de la boîte de réception et des dossiers envoyés, ils seront en mesure d’imiter le style et le caractère de la personne de manière beaucoup plus convaincante.

Le but d’une attaque BEC n’est pas toujours de transférer des fonds. Convaincre quelqu’un d’envoyer des millions de dollars n’est pas tâche facile. Il est beaucoup plus courant que les cybercriminels essaient d’extraire des données confidentielles sur la victime.

Autres exemples d’attaques BEC

L’attaque de Toyota n’est pas du tout le premier cas de ce genre. Cette année, nous avons parlé à plusieurs reprises d’un stratagème que les cybercriminels utilisent pour s’emparer des comptes des employés d’une entreprise. En mai, nous vous racontions comment des cybercriminels ont amené un club de football à utiliser les mauvais détails de paiement pour payer les frais de transfert d’un joueur. Le mois dernier, des escrocs ont tenté d’extorquer 2,9 millions de dollars aux écoles publiques de Portland, Oregon. Et en juillet, les écoles du comté de Cabarrus, Caroline du Nord, ont perdu 1,7 million de dollars, après avoir reçu de fausses instructions par e-mail. Le personnel a d’abord transféré 2,5 millions de dollars, prétendument pour la construction d’une nouvelle école, mais a ensuite récupéré une partie des fonds.

Comment éviter de devenir une victime

Pour se protéger de l’ingénierie sociale, les moyens techniques seuls ne suffisent pas, surtout si les cybercriminels sont des professionnels ayant accès à la véritable boîte e-mail de la personne dont ils tentent d’usurper l’identité. Par conséquent, pour éviter d’être victime de ce type d’arnaque, nous vous conseillons de :

  • Définir clairement la procédure de transfert de fonds de votre entreprise pour qu’aucun employé ne puisse effectuer de virement sur un compte tiers sans surveillance. Assurez-vous que plusieurs gestionnaires doivent autoriser les transferts de sommes importantes.
  • Sensibiliser vos employés aux principes de base de la cybersécurité et apprenez-leur à être méfiants lorsqu’ils reçoivent un e-mail. Nos programmes de sensibilisation à la sécurité sont très utiles à cet égard.
  • Empêcher le piratage des comptes de messagerie d’entreprise grâce à une protection contre l’hameçonnage au niveau du serveur de messagerie. Par exemple, installez Kaspersky Endpoint Security pour Business Advanced.