Barracuda full logo

Une nouvelle vague d'attaques BEC va contraindre les équipes de sécurité à redoubler d'efforts pour s'adapter

Thèmes:
11 avr. 2023
|
Phil Muncaster

L'une des métaphores les plus utilisées dans le domaine de la cybersécurité est celle de la « course aux armements » perpétuelle entre les pirates et les défenseurs. Les uns innovent et les autres sont obligés de perfectionner leurs outils, leurs technologies et leurs processus pour rester dans la course. Cela oblige le camp adverse à innover à nouveau, et ainsi de suite, à l'infini. L'analogie est peut-être abusive, mais elle est toujours d'actualité dans le contexte actuel en termes de menaces. Le dernier exemple en date est une nouvelle vague d'attaques de type « business email compromise » (BEC) repérée par le FBI.

Plutôt que d'inciter les destinataires à virer de l'argent, les pirates achètent des biens de grande valeur à crédit avant de disparaître sans payer. Les équipes de sécurité des entreprises devront une fois de plus revoir leurs stratégies de lutte contre les menaces e-mail.

Ce que le FBI a découvert

Cette dernière évolution d'une tactique désormais bien connue opère de la manière suivante :

  1. Une entreprise ciblée reçoit un e-mail usurpé qui semble provenir d'une société américaine légitime et qui demande l'achat en gros de marchandises.
  2. Il peut s'agir de matériaux de construction, de fournitures agricoles, de matériel informatique ou de produits énergétiques solaires.
  3. Le domaine de l'e-mail de l'expéditeur est usurpé, et les noms affichés peuvent être falsifiés pour correspondre aux pseudonymes d'employés en poste ou passés.
  4. Les pirates fournissent de fausses coordonnées bancaires et des formulaires W-9 frauduleux au vendeur, afin de garantir des conditions de remboursement de type Net-30 ou Net-60. Cela leur permet d'acheter des produits sans les payer immédiatement.
  5. Une fois les marchandises reçues, les escrocs disparaissent sans payer. La victime ne s'aperçoit de l'escroquerie que lorsqu'elle essaie d'obtenir le paiement quelques jours plus tard, sans succès.

Cette dernière variante BEC est un excellent exemple de la recherche permanente par les pirates de nouveaux moyens de monétiser les attaques. Dans ce cas, ils combinent des techniques éprouvées (usurpation de domaine, usurpation d'identité, e-mail) avec des éléments nouveaux (achat de biens, garantie des conditions de remboursement). Ils maîtrisent le fonctionnement des processus de paiement et des relations au sein de la chaîne d'approvisionnement et possèdent les compétences nécessaires pour en tirer parti. 

Des variations qui s'inscrivent dans une continuité

Là où la métaphore de la course aux armements s'essouffle un peu, c'est que les attaques BEC en tant que catégorie de menace n'ont probablement pas encore besoin d'être repensées, tant les pirates parviennent à en tirer profit. Rien que l'année dernière, elles ont engrangé plus de 2,7 milliards de dollars, et ce uniquement grâce aux escroqueries signalées au FBI. Bien que les attaques de type BEC aient perdu leur place en tête de liste des catégories de cybercriminalité les plus lucratives, les pertes subies par les victimes ont tout de même augmenté de 14 % d'une année sur l'autre, selon les chiffres officiels. Une tentative récemment signalée visait à inciter une entreprise victime à transférer 36 millions de dollars de fonds. Si des attaques BEC aussi audacieuses portent leurs fruits, il n'est pas étonnant qu'elles soient devenues une menace qui se chiffre en milliards de dollars.

La multiplication des techniques utilisées par les escrocs exige une vigilance de tous les instants. Des e-mails peuvent être envoyés aux membres de l'équipe financière en se faisant passer pour des e-mails envoyés par leur PDG et demandant un transfert de fonds. Ils peuvent provenir de vendeurs ou de fournisseurs dont l'identité a été usurpée et qui sollicitent un paiement. La demande peut même provenir d'un compte légitime, détourné par une attaque par spear-phishing, ce qui la rend particulièrement difficile à détecter. 

Des tentatives ont également été faites pour intégrer des technologies plus avancées dans ce qui ressemble à une escroquerie numérique. Dans une affaire célèbre, un audio deepfake a été utilisé pour faire croire à un PDG britannique que son patron allemand avait demandé un transfert d'argent de 220 000 euros. Autre affaire : un directeur de banque des Émirats arabes unis a été amené à transférer 35 millions de dollars à la demande d'un « client ». Les escrocs utilisent même des deepfakes via des plateformes de vidéoconférence pour inciter les participants à répondre aux demandes de transfert d'argent de leur « patron ».

Comment y faire face

La bonne nouvelle, c'est que les meilleures pratiques en matière d'attaques BEC restent d'actualité, à quelques détails près. Cela signifie qu'il faut combiner une sécurité avancée des e-mails avec des politiques renforcées et une volonté d'actualiser en permanence les formations de sensibilisation des employés. Voici quelques suggestions :

  • Choisissez des solutions de sécurité des e-mails alimentées par l'IA pour reconnaître les modèles d'e-mails « normaux » et les styles d'écriture afin d'identifier les éléments qui ne semblent pas correspondre
  • Définissez des règles e-mail pour signaler les adresses e-mail « Répondre » diffèrent de l'adresse e-mail « Expéditeur » qui s'affiche.
  • Assurez-vous que les outils de détection d'intrusion alertent lorsque des e-mails d'entreprise légitimes sont usurpés avec des domaines similaires
  • Mettez à jour les programmes de sensibilisation et de formation du personnel en y intégrant les dernières tactiques de lutte contre les BEC, comme celles mentionnées ci-dessus
  • Actualisez les procédures relatives aux virements électroniques et aux ventes de grande valeur afin d'y inclure des éléments tels que :         
    • Appelez directement le fournisseur/PDG/client pour vérifier la légitimité d'une demande. Et utilisez un annuaire d'entreprise ou effectuez une recherche en ligne pour retrouver le numéro plutôt que d'utiliser celui qui figure dans l'e-mail
    • Exigez des personnes qu'elles obtiennent une signature ou effectuent une vérification supplémentaire avant d'approuver des demandes de vente ou de virement importantes
  • Envisagez un code couleur pour les e-mails afin de repérer les messages envoyés par des comptes externes.

Les attaques BEC ont encore de beaux jours devant elles. Mais en restant vigilantes et en se tenant au courant des dernières combines qui sévissent, les entreprises peuvent renforcer leur stratégie de gestion des cyberrisques, ce qui est plus que nécessaire. 

Bénéficiez d'une protection basée sur l'IA contre le phishing et le piratage de comptes professionnels.
Phil Muncaster

Phil Muncaster compte plus de 12 ans d'expérience en tant que rédacteur et éditeur dans le domaine de la technologie. Pendant sa carrière, il a contribué à quelques grands titres du secteur, notamment Computing, The Register, V3 et MIT Technology Review. Après une immersion d'un peu plus de deux ans au cœur de la scène technologique asiatique à Hong Kong, il est de retour à Londres, où il s'intéresse désormais de près à la sécurité de l'information.

Suivez Phil sur Twitter et connectez-vous avec lui sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.