Barracuda full logo

La prochaine évolution de la BEC : conférence virtuelle et deepfake

Thèmes:
8 mars 2022
|
Phil Muncaster

Ce que de nombreux spécialistes affirment à propos du secteur de la cybersécurité, c'est le rythme effréné du changement et de l'innovation. En général, les premiers à agir sont les équipes offensives : les acteurs de la menace qui cherchent à perturber nos systèmes informatiques, à voler nos données et à monétiser leurs campagnes. Ils s'en sont plutôt bien sortis jusqu'à présent, notamment en trouvant un flux constant de nouvelles stratégies et techniques pour rendre les attaques de phishing par email plus efficaces. Jusqu'à présent, c'est le business email compromise (BEC) qui a rapporté le plus d'argent dans ce domaine.

Eh bien, les méchants sont de nouveau à l'œuvre. Selon le FBI, ils utilisent désormais les plateformes de réunion virtuelle comme nouveau canal pour leurs attaques, souvent en association avec une technologie deepfake alimentée par l'IA.

Pourquoi le BEC ?


Le phishing reste l'un des principaux vecteurs de menaces. Mais il existe de nombreux types d'attaques différentes. Certains impliquent une usurpation de nom de domaine. D'autres peuvent contenir des pièces jointes malicieuses. D'autres encore pourraient se focaliser sur le piratage de comptes ou le vol d'identifiants. Parmi les 13 types de menaces par e-mail répertoriés par Barracuda, le plus lucratif pour les cybercriminels est sans aucun doute le BEC. Selon le FBI, les cybercriminels ont gagné près de 1,9 milliards de dollars grâce à ces escroqueries en 2020, et 1,7 milliards de dollars l'année précédente. Pour illustrer ces chiffres, cela représente environ la moitié des pertes totales cumulées de toutes les catégories de cybercriminalité pour chacune de ces années.

Pourquoi cette technique est si populaire ? Parce que les victimes continuent de tomber dans le panneau et que le gain est important moyennant un investissement relativement faible en temps et en ressources. Cela ne se fait généralement pas par le biais de malwares mais plutôt via le social engineering classique. Un acteur de la menace incite un membre de l'équipe financière ou un autre employé à lui envoyer de l'argent, soit par transfert de fonds, soit en achetant des cartes-cadeaux. Ils peuvent se faire passer pour un PDG ou un cadre supérieur ou encore pour un fournisseur souhaitant être payé.

La prochaine étape


Les techniques sont devenues plus sophistiquées ces derniers mois. Bien que le BEC-as-a-service soit certainement une menace, ces attaques automatisées sans différenciation ont tendance à s'attaquer aux proies les plus faciles. Quiconque prenant le temps de vérifier l'adresse email de l'expéditeur et de lire attentivement la demande sera en mesure de constater qu'il s'agit d'une escroquerie.

Les attaques ciblées, qui commencent par une attaque de phishing classique visant à compromettre la boîte de réception d'un employé de l'entreprise, sont plus dangereuses. Le pirate surveillera les messages entrants et sortants jusqu'à ce qu'il trouve le moment opportun pour agir, détourner la boîte de réception de l'expéditeur et envoyer une demande de transfert de fonds à un partenaire. Dans d'autres cas, le pirate détournera la boîte de réception d'un PDG ou d'un cadre supérieur pour demander un transfert de fonds à un employé du service financier.

Toutefois, au début du mois, le FBI a prévenu que les plateformes de vidéoconférence étaient de plus en plus exploitées dans le cadre d'attaques. Il a répertorié trois manières de procéder :

  • La boîte de réception d'un PDG est compromise et utilisée pour envoyer une demande de réunion virtuelle aux employés. Cependant, lorsqu'ils se connectent, ils se retrouvent face à une image fixe du PDG, sans son, ou avec un son usurpé pour imiter le PDG. La personne prétendra que la vidéo/le son ne fonctionne pas correctement et demandera aux participants d'initier le transfert de fonds via le chat de la réunion virtuelle ou via un email de suivi.

  • Un escroc pirate la boîte de réception d'un employé et espionne les réunions virtuelles de l'entreprise afin de recueillir davantage d'informations sur les activités quotidiennes qui pourraient être utilisées dans des attaques BEC ultérieures.

  • Un escroc pirate le compte email d'un PDG et envoie des demandes de transfert de fonds aux destinataires en prétendant qu'il ne peut pas le faire lui-même car il est en réunion virtuelle.


L'ascension des deepfakes


Le premier scénario est particulièrement troublant en raison de ce qu'il laisse présager. Aujourd'hui déjà, le deepfake audio a permis d'inciter des victimes à effectuer des transferts de millions de dollars au profit de fraudeurs. Plus récemment, un directeur de banque des Émirats arabes unis a été amené à effectuer un transfert de 35 millions de dollars après que la voix du directeur d'un client anonyme ait été usurpée.

Si l'exemple ci-dessus peut être assez facile à déceler avec un peu de pratique, la technologie du « deepfake » ne cesse de s'améliorer et son prix chute à un point tel qu'elle devient un outil légitime pour les cybercriminels occasionnels. Le jour où les vidéos deepfake deviendront plus réalistes et plus abordables, cette stratégie pourrait devenir une menace sérieuse pour les organisations.

Comment bloquer les BEC


La bonne nouvelle, c'est que les équipes informatiques ne manquent pas de solutions pour lutter contre la menace des BEC, même si les pirates utilisent une technologie de type « deepfake ». Un ensemble de personnes, de processus et de technologies devrait offrir la bonne formule pour minimiser les risques.

Personnes : intégrer la sensibilisation aux BEC aux cours de formation du personnel. Effectuer des exercices de simulation à l'aide d'outils de sensibilisation au phishing. La sensibilisation au phishing contribuera également à mettre un terme aux tentatives de piratage de comptes.

Processus : assurez-vous qu'aucun employé ne puisse approuver seul les transferts de fonds importants. Cela permettra de procéder à un deuxième contrôle d'intégrité afin d'empêcher toute tentative de BEC.

Technologie : améliorer les défenses contre le phishing pour bloquer le processus des BEC : le piratage de comptes. Investir dans une solution de sécurité des e-mails qui exploite l'IA pour surveiller les modèles de communication par email en interne afin de mieux repérer les cas suspects. D'autres signes révélateurs, tels qu'une adresse email « répondre » différente de l'adresse email « de », peuvent également attirer votre attention.

Les attaques BEC seront présentes aussi longtemps qu'elles feront gagner de l'argent aux malfaiteurs. Mais cela ne signifie pas que votre organisation soit condamnée à être une victime.

Bénéficiez d'une protection basée sur l'IA contre le phishing et le piratage de comptes professionnels

Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 La rentrée scolaire marque aussi le retour des escroqueries
La rentrée scolaire marque aussi le retour des escroqueries
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.