Le phishing, le smishing et d’autres tactiques aident le crime organisé à voler des chargements de marchandises.
Autrefois, les escrocs suivaient les camions de transport et les détournaient. Aujourd’hui, ils ont recours au phishing, au vishing et au vol d’identité pour retrouver et détourner des marchandises de valeur via des systèmes logistiques.
C’est un défi pour les responsables informatiques et de sécurité de l’information de suivre le rythme.
Le dernier exemple de ces tactiques est une nouvelle campagne menée par des cybercriminels utilisant des logiciels malveillants de spear phishing pour pirater les systèmes informatiques des entreprises de fret afin de voler des marchandises.
Proofpoint, qui a découvert la campagne, a averti cette semaine les responsables informatiques et de sécurité de l’information du secteur des transports de la nouvelle campagne de phishing, principalement destinée aux entreprises de fret nord-américaines, qui est active depuis au moins juin, mais peut-être dès janvier.
« L’acteur a fourni une gamme d’outils RMM (surveillance et gestion à distance) ou, dans certains cas, des logiciels d’accès à distance, notamment ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able et LogMeIn Resolve », indique le rapport.
« Ces RMM/RAS sont souvent utilisés en tandem ; par exemple, PDQ Connect a été observé en train de télécharger et d’installer à la fois ScreenConnect et SimpleHelp. Une fois l’accès initial établi, l’acteur malveillant effectue une reconnaissance du système et du réseau et déploie des outils de collecte d’informations d’identification tels que WebBrowserPassView. Cette activité indique un effort plus large pour compromettre les comptes et approfondir l’accès dans les environnements ciblés. «
Comment ça marche
Pour commencer, les escrocs tentent de compromettre un tableau de chargement des courtiers, un marché en ligne sur lequel les entreprises de camionnage peuvent enchérir sur les chargements. Ils peuvent publier une offre de faux chargement ou s’insérer au milieu d’une conversation par courrier électronique entre un transporteur et une entreprise à la recherche d’un camionneur pour livrer un chargement. Lorsqu’un opérateur répond par e-mail, les escrocs répondent avec un message contenant une pièce jointe infectée qui conduit à l’installation du logiciel malveillant d’accès à distance. Les escrocs peuvent alors enchérir sur de véritables chargements de marchandises, qu’ils tentent ensuite de voler.
Une autre stratégie consiste à se faire passer pour une entreprise de transport légitime et à demander à un client d’envoyer un paiement sur un compte bancaire contrôlé par l’escroc.
Une entreprise a décrit sur Reddit comment elle avait été compromise plus tôt cette année : un prétendu courtier a envoyé par courrier électronique un lien de « configuration » au répartiteur du transporteur. En cliquant dessus, leur courrier électronique était compromis, après quoi les réservations existantes étaient supprimées et les notifications du répartiteur étaient bloquées. L’escroc a ajouté son propre appareil au poste téléphonique du répartiteur, réservé des chargements sous le nom du transporteur compromis et coordonné le transport. Le gang a ensuite tenté, sans succès, de voler huit camions de marchandises en Californie après que l’entreprise victime ait réalisé ce qui se passait et que les conducteurs aient été alertés. Cependant, quelques semaines plus tard, une autre entreprise de transport a été touchée de la même manière, ce qui suggère que le gang s’est tourné vers d’autres entreprises.
Les attaques de phishing de ce type fonctionnent car la pièce jointe qu’une victime est invitée à télécharger peut apparaître comme un logiciel légitime qui trompera un vendeur ou un répartiteur. Il peut également échapper aux détections antivirus ou réseau car les installateurs sont souvent signés numériquement.
Dans une interview, Selena Larson, co-auteur du rapport Proofpoint, affirme que le système fonctionne également parce que l’industrie du camionnage a besoin de vendeurs et de répartiteurs pour agir rapidement sur les offres proposées. Pousser les cibles à agir rapidement est une stratégie essentielle pour de nombreuses campagnes de phishing.
La stratégie d’attaque décrite dans le rapport Proofpoint de cette semaine n’est pas nouvelle : les chercheurs de l’entreprise ont émis un avertissement similaire en septembre dernier concernant les campagnes par courrier électronique destinées aux entreprises de transport et de logistique qui utilisaient souvent des messages avec des URL de Google Drive menant à un fichier de raccourci Internet (.URL) ou à un fichier .URL joint directement au message. S’il est exécuté, il utilise le protocole de partage de fichiers SMB (Server Message Block) pour accéder à un exécutable sur un partage distant, qui installe le logiciel malveillant.
Dans la nouvelle campagne, un acteur malveillant a ajouté l’utilisation d’outils d’accès à distance. Proofpoint ne sait pas si le même acteur menaçant est à l’origine des deux campagnes.
Larson a reconnu que les deux campagnes sont similaires aux attaques de phishing ciblées contre un large éventail d’industries qui se déroulent depuis des années et consistent à tenter d’inciter un employé à cliquer sur un lien ou un document malveillant.
Proofpoint affirme avoir vu près de deux douzaines de campagnes depuis août ciblant les entreprises de logistique pour livrer des RMM. L’acteur menaçant ne semble pas s’attaquer à des entreprises de taille spécifique : les cibles vont des petites entreprises familiales aux grandes entreprises de transport.
La valeur des expéditions volées a doublé
Il est difficile de déterminer l’ampleur de ce problème de vol de marchandises lié à l’informatique. Le National Insurance Crime Bureau des États-Unis estime que les pertes liées aux vols de marchandises, toutes sources confondues, ont augmenté de 27 % l’année dernière par rapport à 2023, pour atteindre 35 milliards de dollars.
Versik CargoNet, une société qui suit la criminalité physique dans la chaîne d’approvisionnement pour les forces de l’ordre, les compagnies d’assurance et les distributeurs aux États-Unis et au Canada, a estimé dans son rapport du troisième trimestre que les pertes trimestrielles les plus récentes dues au vol s’élevaient à plus de 111 millions de dollars provenant de 772 événements de vol de marchandises. Puisqu’il n’y a pas de déclaration obligatoire des vols, le nombre réel serait plus élevé. Environ 40 % de ce total de 111 millions de dollars pourraient être dus à des fraudes informatiques, a déclaré Keith Lewis, vice-président des opérations de Versik CargoNet. Cela inclut le phishing, le smishing, le vol de domaines Internet, l’usurpation d’identité, l’achat d’entreprises légitimes pour abuser de leur nom, et bien plus encore.
Le piratage des systèmes ERP pour rediriger le fret n’est pas encore une réalité, a-t-il ajouté.
La valeur moyenne des expéditions volées a doublé pour atteindre 336 787 dollars, contre 168 448 dollars au troisième trimestre 2024, « une preuve évidente que les voleurs de marchandises deviennent plus stratégiques dans la sélection des cibles », indique le rapport Versik CargoNet.
« Les groupes du crime organisé se trouvent dans une phase de transition, s’adaptant aux outils antifraude déployés dans l’ensemble du secteur de la logistique », ajoute le rapport.
Une fois que les criminels savent où vont les camions, les endroits les plus courants pour le vol de marchandises sont les relais routiers et les parkings, les centres de distribution et les entrepôts, les ports et les gares de triage, les autoroutes et les aires de repos, indique le rapport.
« Phishing classique »
Robert Beggs, directeur de la société canadienne de réponse aux incidents DigitalDefence, qualifie le rapport Proofpoint de description de « stratagème de phishing classique, mais particulièrement efficace en raison de la nature des opérations logistiques ».
Bien qu’il s’agisse d’une nouvelle variante des campagnes précédentes, ces attaques ont également été couronnées de succès car le transport routier est une opération 24 heures sur 24 et en grande partie à distance, a-t-il expliqué, de sorte que les points finaux ne disposent pas toujours de connectivité et d’installations en place pour garantir la confiance. Le risque est accru car il s’agit d’un secteur sensible au facteur temps, a-t-il souligné. Un camionneur avec une charge doit obtenir l’autorisation de déménager, s’assurer que les papiers sont en règle et disposer de suffisamment de liquidités pour répondre aux demandes immédiates.
« Ensemble, ces facteurs sont conçus sur mesure pour soutenir les attaques d’ingénierie sociale », a-t-il déclaré.
Le camionnage peut sembler être une industrie à faible technologie, a noté Beggs, car il évite généralement de stricts contrôles de cybersécurité. Cependant, ses opérations exigent que de tels contrôles existent, notamment lorsqu’il s’agit d’avancer des fonds ou de contrôler des informations sur des chargements de grande valeur. Au minimum, les entreprises de ce secteur doivent utiliser l’authentification multifacteur pour les connexions et garantir que l’accès aux systèmes critiques est surveillé pour une utilisation correcte et la présence de toute anomalie. Certaines entreprises utilisent des mots de code ou des expressions dans les messages pour identifier les charges critiques afin d’obtenir un niveau de confidentialité supplémentaire, a-t-il ajouté.
« Les camionneurs ont toujours été perçus comme un maillon faible, notamment en raison de leur pratique limitée en matière de cybersécurité », a déclaré Beggs. Cependant, ils constituent un élément essentiel de l’infrastructure de tout pays et continueront probablement d’être la cible d’ingénierie sociale et d’autres types d’attaques.
Systèmes TMS vulnérables
Danielle Spinelli, ancienne courtier en transport et maintenant responsable de compte chez Descartes Systems Group, qui vend des solutions de courtage, de gestion du transport et de commerce électronique, s’adresse souvent à l’industrie sur la cybersécurité et le vol de marchandises.
Selon elle, l’un des problèmes réside dans le grand nombre de TMS (systèmes de gestion des transports) qui peuvent facilement être piratés. Les fournisseurs de TMS disposent d’informations sur les clients et les chargements de camions que les escrocs recherchent. Un autre point de vulnérabilité, a-t-elle ajouté, réside dans les fournisseurs d’ELD (dispositifs de journalisation électronique) mal sécurisés qui peuvent être piratés ou fournir un point d’entrée aux systèmes TMS. Les DCE sont des dispositifs installés dans les camions qui enregistrent automatiquement le temps de conduite, le statut de service et d’autres informations du conducteur.
Les entreprises de transport de marchandises d’une ou deux personnes qui font des affaires via des comptes de messagerie gratuits sont les plus à risque, a ajouté Spinelli.
La Federal Motor Carrier Safety Administration (FMCSA) des États-Unis met en œuvre des initiatives anti-fraude que les services informatiques peuvent exploiter, a-t-elle déclaré. Cela implique notamment d’exiger que les nouveaux candidats conducteurs commerciaux fassent correspondre leurs documents gouvernementaux avec un scan facial. Elle recommande également aux entreprises de logistique d’utiliser des plates-formes technologiques qui combinent les données d’autorité FMCSA avec les performances de suivi historique, la vérification du numéro d’identification du véhicule, la géolocalisation et la validation de l’assurance avant l’expédition d’un camion.
Le problème du vol de marchandises retient de plus en plus l’attention des hauts dirigeants, a déclaré Lewis de Versik CargoNet. Ils font désormais pression pour que leurs services de sécurité embauchent des informaticiens possédant les mêmes compétences que ceux qui travaillent pour les institutions financières pour traquer la fraude et le vol.
Quant à l’avenir, il craint que les escrocs n’utilisent de plus en plus l’IA pour mener leurs cyberattaques.
Besoin de cybersécurité 101
L’industrie adopte des solutions technologiques pour lutter contre le vol de marchandises ; par exemple, CargoNet vient de lancer l’API RouteScore, qui utilise un algorithme pour créer un score de risque d’itinéraire de vol de marchandises pour les États-Unis et le Canada.
Mais ce qui est également nécessaire, c’est Cybersécurité 101. Spinelli de Descartes affirme que la première chose que les responsables informatiques et de sécurité de l’information devraient faire est de sensibiliser davantage les employés à la sécurité sur la façon de reconnaître les attaques de phishing et la nécessité de résister à l’envie de cliquer sur chaque pièce jointe. Ils devraient exiger des administrateurs et des utilisateurs d’applications liées à la logistique qu’ils réinitialisent leurs mots de passe administrateur et utilisateur tous les trois à six mois. Et les entreprises doivent s’assurer qu’il existe de bonnes procédures de départ pour annuler l’accès informatique lorsqu’un employé quitte l’entreprise.
Proofpoint exhorte les entreprises du secteur du transport de marchandises à :
- restreindre le téléchargement et l’installation de tout outil RMM qui n’est pas approuvé et confirmé par les administrateurs informatiques d’une organisation ;
- mettre en place des détections de réseau – notamment en utilisant l’ensemble de règles contre les menaces émergentes – et utiliser la protection des points finaux. Cela peut alerter de toute activité réseau sur les serveurs RMM ;
- ne pas autoriser les employés à télécharger et installer des fichiers exécutables (.exe ou .msi) à partir de courriers électroniques ou de SMS provenant d’expéditeurs externes ;
- former les employés à identifier et signaler les activités suspectes à leurs équipes de sécurité. Cette formation peut facilement être intégrée à un programme de formation des utilisateurs existant.
