Le dernier Internet Crime Report révèle les victimes perdues en milliards par la BEC, les escroqueries liées au COVID

Version imprimable, PDF et e-mail

La semaine dernière, le FBI a publié son rapport Internet Crime Report 2020.  On y constate que le nombre total de plaintes déposées auprès du Bureau a augmenté de 69 % par rapport à 2019, avec un total des pertes en 2020 s'élevant à plus de 4,2 milliards de dollars.

Le rapport a porté sur plus de 30 types d'attaques signalés au FBI au cours de l'année passée. Voici quelques-unes des principales tendances qui en ont émergé :

Les attaques par Business Email Compromise (BEC) sont en hausse

Les attaques BEC sont une forme d'attaque par e-mail parmi les plus virulentes dont la pratique s'est largement répandue ces dernières années. De manière générale, les hackers assument l'identité d'un employé au sein de l'organisation ciblée afin d'inciter d'autres personnes à transférer de l'argent vers un compte frauduleux.

Il n'est pas surprenant que les attaques BEC demeurent le type d'attaques le plus coûteux signalé au FBI. Les entreprises ont déclaré des pertes d'environ 1,8 milliards de dollars. En moyenne, cela correspond à environ 90 000 dollars de pertes par plainte, mais certaines de ces attaques peuvent finir par coûter des millions. L'une des escroqueries BEC les plus efficaces de ces derniers mois est l'attaque contre Norfund, qui a coûté à l'entreprise la bagatelle de 10 millions de dollars.

Au cours des dernières années, le nombre d'attaques BEC n'a cessé d'augmenter. En mars 2019, nous avons estimé que 7 % de toutes les attaques de spear-phishing pourraient être qualifiées de BEC. Aujourd'hui, ce chiffre s'élève à 12 %. Cette rapide croissance reflète la mesure dans laquelle ce genre d'attaques peut être fructueux pour les cybercriminels. Ces attaques ont également évolué au fil du temps en devenant plus complexes et de plus en plus difficiles à détecter.

La COVID-19 comme toile de fond des escroqueries

En mars 2020, Barracuda a enregistré une augmentation de 667 % du nombre d'attaques de phishing liées à la COVID-19 ciblant les entreprises. De son côté, le FBI a reçu l'an dernier plus de 28 500 plaintes liées à la COVID-19.

Les hackers ciblaient alors le programme américain CARES Act établi pour venir en aide aux entreprises et aux particuliers touchés par le coronavirus. Les hackers incitaient leurs victimes à divulguer des informations à caractère personnel pour ensuite les utiliser dans le cadre de fraudes de prêt ou pour soumettre des demandes frauduleuses de prestations de chômage.

« Malheureusement, les criminels sont très opportunistes. Dès qu'une vulnérabilité se présente, ils sont là pour l'exploiter ». Steven Merrill, chef de section au sein de l'unité de criminalité financière, FBI. #BEC #EmailSecCliquez pour tweeter

L'an dernier, nous avons assisté à une deuxième vague de fraudes liées à la COVID-19, ciblant cette fois-ci les vaccins. Après que des entreprises pharmaceutiques telles que Pfizer et Moderna ont annoncé la disponibilité de vaccins en novembre 2020, le nombre d'attaques de spear-phishing liées au vaccin a augmenté de 12 %. Fin janvier, le constat était que la moyenne de ces attaques avait augmenté de 26 % depuis octobre.

Hélas, les hackers discernent très vite les opportunités qui se présentent à eux et orientent leur choix d'entreprises à cibler en fonction de celles-ci. Par exemple, les pertes liées aux fraudes ciblant le secteur de la santé, c'est-à-dire des attaques visant à escroquer les programmes publics ou privés de soins de santé, sont passées de 1,1 million de dollars en 2019 à 29 millions en 2020.

Comment protéger votre entreprise et vos salariés

  • Formez vos utilisateurs en investissant dans des séances de formation régulières sur la sécurité afin de les sensibiliser aux menaces les plus récentes. Assurez-vous que vos employés sachent non seulement identifier ces attaques, mais aussi comment les signaler. Testez régulièrement l'efficacité de votre formation en simulant des attaques, et faites les ajustements nécessaires en conséquence.
  • Investissez dans une technologie de protection dédiée pour lutter contre l'usurpation d'identité et les attaques BEC, qui ne repose pas uniquement sur la détection de liens ou de pièces jointes malveillants, et utilisez le machine learning pour analyser les schémas de communication classiques au sein de votre entreprise pour repérer toute anomalie indiquant potentiellement une attaque.
  • Instaurez des politiques internes afin d'éviter toute fraude. Toutes les entreprises doivent mettre en place des politiques et les réévaluer régulièrement afin de garantir la protection des informations personnelles et financières. Aidez vos employés à éviter des erreurs coûteuses en créant des instructions et des procédures pour confirmer toutes les demandes de virements et modifications de paiement reçues par e-mail. Exigez pour toute transaction financière une confirmation physique ou par téléphone, ainsi que l'approbation de plusieurs personnes.

Barracuda propose la meilleure solution de protection des e-mails.  Pour en savoir plus, rendez-vous sur www.barracuda.com.

Bénéficiez d'une protection contre les attaques BEC et de phishing basée sur l'IA

Remonter en haut de page
Tweeter
Partager
Partager