À quoi ressemble la compromission de la messagerie professionnelle ?

Le BEC, c’est lorsque les cybercriminels se font passer pour une personne de confiance (votre patron, votre avocat, votre fournisseur) pour vous inciter à lui remettre de l’argent ou des informations sensibles. Ils étudient vos habitudes, imitent vos contacts et attendent le moment idéal pour agir.

Vous voulez voir comment ces escroqueries se déroulent et comment garder une longueur d’avance ? Consultez notre analyse complète des tactiques et des tendances en matière de compromission des courriers électroniques professionnels.

Voici un bref résumé du fonctionnement de chaque stratégie d’attaque :

BEC est en constante évolution. Découvrez les dernières tendances en matière de compromission des e-mails professionnels :

• Clonage à la manière de l’IA : ils utilisent l’IA pour ressembler exactement à votre patron.
• Systèmes de fausses factures : les fausses factures semblent provenir de fournisseurs de confiance, mais elles sont directement payées sur un faux compte.
• Attaques par code QR : codes QR intégrés dans les e-mails pour envoyer les victimes vers des sites de phishing ou déclencher des téléchargements malveillants.
• Piratage de conversations : les attaquants s’emparent de fils de discussion légitimes pour voler des informations sensibles ou manipuler les employés pour qu’ils prennent certaines mesures.

Ce n’est pas l’arnaque du prince nigérian de votre grand-mère. C’est Ocean’s Eleven mais avec Gmail. Pour vous donner un avant-goût de la manière dont ces inconvénients aux enjeux élevés se manifestent, voici 10 exemples réels de compromission de courrier électronique professionnel.

1. Fournisseur Toyota : attaque BEC de 37 millions de dollars

En 2019, un fournisseur de Toyota a été victime d’une attaque BEC de 37 millions de dollars. Un pirate informatique tiers, se faisant passer pour un partenaire commercial de l’une des filiales de Toyota, a envoyé des e-mails aux équipes financières et comptables demandant que les fonds soient transférés sur un compte sous leur contrôle. Ce type d’attaque est communément appelé compromission de courrier électronique du fournisseur (VEC).

2. Ubiquiti : 46,7 millions de dollars de fraude auprès des fournisseurs

Ubiquiti, une société de réseautage, a subi en 2015 une perte massive de 46,7 millions de dollars due à de fausses usurpations d’identité de fournisseurs. L’attaque a usurpé l’identité d’e-mails et effectué des demandes frauduleuses provenant d’une source externe, incitant le service financier à approuver les transferts vers des comptes étrangers contrôlés par des tiers.

3. Facebook et Google : arnaque BEC de 121 millions de dollars

Difficile à croire, mais des géants de la technologie comme Facebook et Google ont été trompés par une attaque de phishing qui leur a coûté plus de 121 millions de dollars entre 2013 et 2015. Evaldas Rimasauskas s’est fait passer pour un fournisseur externe, envoyant des e-mails contenant des factures convaincantes aux employés de l’entreprise demandant le paiement. Une fois que les entreprises ont viré l’argent, il a rapidement transféré les fonds vers divers comptes bancaires à travers le monde.

4. Des fraudeurs volent 2,8 millions de dollars dans les écoles publiques de Grand Rapids, dans le Michigan.

Les écoles publiques de Grand Rapids, dans le Michigan, ont perdu 2,8 millions de dollars. Les fraudeurs ont accédé à l’e-mail du coordinateur des avantages sociaux du district, l’utilisant pour intercepter les communications et rediriger les paiements d’assurance du district vers un autre compte.

5. L’imitateur du CFO escroque le Children’s Healthcare d’Atlanta pour 3,6 millions de dollars

En 2018, le Children’s Healthcare d’Atlanta a été touché lorsqu’un fraudeur s’est fait passer pour le directeur financier. L’escroc a trompé le service des comptes créditeurs de l’hôpital pour qu’il mette à jour les coordonnées bancaires enregistrées, ce qui a entraîné un transfert de 3,6 millions de dollars vers un compte frauduleux.

6. Un promoteur immobilier escroqué pour 38 millions d’euros

Une société immobilière a été escroquée de 38 millions d’euros par un groupe international de fraudeurs utilisant des tactiques d’ingénierie sociale en 2021. Les escrocs se sont fait passer pour des avocats, gagnant la confiance de la société en faisant pression pour un virement électronique confidentiel et urgent.

7. Tromperie dans le bâtiment : 793 000 $ volés dans le fonds de construction de l’église

Un escroc a profité du nouveau projet de construction d’une église de Caroline du Nord et a volé 793 000 $ en 2022. Se faisant passer pour l’entrepreneur, le fraudeur a subtilement modifié une lettre de l’adresse e-mail pour rediriger les fonds entre ses propres mains.

8. Les cybercriminels volent 11,1 millions de dollars à Medicare et Medicaid

Lors d’une attaque ciblée BEC, les cybercriminels ont usurpé l’identité de personnalités de confiance pour cibler les programmes gouvernementaux de santé Medicare et Medicaid. En usurpant des courriels, ils ont réussi à détourner 11,1 millions de dollars vers des comptes bancaires frauduleux.

9. Sauver les enfants : 1 million de dollars

Save the Children a perdu 1 million de dollars en 2017 lorsque des fraudeurs ont accédé au compte de messagerie d’un employé et se sont fait passer pour un membre du personnel. À l’aide de fausses factures et de demandes par courrier électronique, ils ont convaincu l’association de transférer les fonds.

10. Guillermo Pérez : 2,2 millions de dollars

Entre 2018 et 2019, Guillermo Perez a orchestré une escroquerie BEC qui a escroqué plusieurs victimes pour un montant de 2,2 millions de dollars. Il se serait fait passer pour des particuliers et des entreprises lors de transactions financières courantes, convainquant les victimes de virer de l’argent sur des comptes qu’il contrôlait aux côtés de ses complices.

Arrêter le BEC, c’est une question d’intelligence et de systèmes de rue. Voici ce que vous pouvez faire :

• Vérifiez les demandes : appelez toujours ou utilisez des contacts connus pour vérifier les mouvements d’argent.
• Deux paires d’yeux : définissez des niveaux d’approbation pour les transferts, en particulier au-delà d’un certain montant.
• Formez vos collaborateurs : apprenez à votre équipe à détecter une arnaque avant qu’elle n’arrive. La formation de sensibilisation à la sécurité gérée Huntress peut vous aider.
• Investissez dans la sécurité de la messagerie : obtenez des outils qui signalent les usurpations d’identité et les expéditeurs douteux.

Ne faites pas confiance. Vérifier. Toujours.

Les escrocs BEC frappent, sourient et demandent poliment de vous voler. Ces attaques fonctionnent parce qu’elles s’attaquent à la confiance, au timing et à la familiarité. Votre meilleure défense contre eux n’est pas la peur, mais la stratégie. Créez des habitudes qui ralentissent les choses, nécessitent une vérification et éliminent les cibles faciles. Parce que lorsqu’un BEC survient, vous perdez confiance, réputation et temps. Et c’est un prix que personne ne veut payer.

Nous comprenons ce que les menaces telles que le vol d’identifiants et l’accès non autorisé signifient pour votre entreprise, et nous sommes là pour vous aider. Huntress vous propose une solution gérée de détection et de réponse aux menaces d’identité (ITDR), protégeant les identités dans toute votre organisation 24h/24 et 7j/7.