Les e-mails sont un moyen de communication génial dans notre environnement de plus en plus digital. Néanmoins, la vigilance est de mise lorsqu’on communique à travers des écrans plutôt qu’en face à face. Vous pourriez être en train de discuter avec une personne différente de celle que vous croyez !
Les criminels deviennent de plus en plus aptes à mettre en place des escroqueries toujours plus sophistiquées par e-mail. L’un de celles-ci est appelée « Business E-mail Compromise » (BEC) qui vise à tromper les cadres en transférant de l’argent vers des fraudeurs.
Ce genre d’attaque est un sous-ensemble de phishing et est connus sous de nombreux noms : CEO-fraude, hoax, ingénierie sociale, whaling,... Toutes ces techniques ont une chose en commun : elles sont basées sur le fait de prendre temporairement une fausse identité. Cette menace croissante pour les entreprises est comme un cheval de Troie de la vie réelle.
Les montants perdus à travers ces pratiques ne sont pas bien renseignés étant donné que ce genre d’événements sont souvent gardés sous silence dans l’intérêt de l’enquête ou pour éviter une perte d’image. Néanmoins, le FBI estime le coût international à plus de 2 milliards d’euro sur les 3 années écoulées. Ils estiment aussi que le BEC a été signalé dans au moins 79 pays et que la majorité de ces transferts frauduleux semble aller vers la Chine et Hong Kong. Un exemple proche de nous est la banque belge Crelan qui en a été victime début 2016 (montant communiqué pour la perte : 70 millions d’euro).
Technique / Comment fonctionne le BEC?
Les voleurs aiment tromper les employés et mettent en place une situation dans laquelle ils se font passer pour quelqu’un d’autre en falsifiant les e-mails. Ils interceptent les e-mails et étudient la structure de la société pour identifier les personnes haut placées, les comptables,… Pour obtenir ces informations, ils utilisent des sources publiques, les réseaux sociaux, les états financiers, (comptes annuels), etc.
Ils essayent d’obtenir l’adresse e-mail d’un employé pour reconstituer l’adresse mail similaire des managers. Les escrocs fénéants ouvrent même des comptes gratuits sur Hotmail ou Gmail (avec un nom d’emprunt) et font croire qu’ils utilisent leur adresse mail privée car ils ont besoin que ça soit rapide. En fait, cela nécessite très peu de connaissance technique ou d’expertise et c’est donc accessible aux escrocs amateurs. De plus, les faux e-mails ne contiennent pas de malware pour passer outre le filtre SPAM contournant ainsi les règles de sécurité de base.
Ils se font passer pour un cadre haut placé pour manipuler des cibles choisies. Les fausses identités prennent différentes formes comme par exemple le (vice) chairman, CEO ou CFO, un directeur, un actionnaire important, etc. mais on reporte aussi de faux employés de banques, des avocats, des auditeurs etc.
Les e-mails peuvent être accompagné du logo de la société, facilement saisi depuis le site de l’entreprise. Ils intègrent aussi ‘envoyé depuis un appareil mobile’ pour justifier l’absence de signature de la société ou même le style d’écriture ‘inhabituel’.
Le contenu de l’e-mail peut varier (un déficit inattendu dans une filiale, une acquisition, un contrôle fiscal, etc.) mais il y a toujours une demande explicite de transfert d’argent rapidement et discrètement. Le numéro de compte bancaire mentionné est souvent étranger ou provenant d’un paradis fiscal qui cache fermement l’identité du détenteur du compte.
Les requête sont habituellement signalées urgentes et sont caractérisées par un haut niveau de confidentialité dans le but de persuader les employés ne sachant pas qu'ils sont sur le point d'accorder un accès non autorisé à l'argent des entreprises.
Pour couronner le tout, ces attaques ont souvent lieu le vendredi ou les jours précédents un long weekend dans le but de diminuer le temps d’alerte. La récupération de l’argent transféré est impossible, l’argent disparait tout de suite.
Cette astuce est utilisée pour les petites sociétés mais aussi pour les grosses compagnies, mais on peut affirmer que plus le nombre d’intermédiaire est élevé, plus la vulnérabilité est grande étant donné que les contacts mutuels deviennent moins personnels. En fait, l’escroquerie est basée sur l’espoir que la distance entre l’employé comptable et le CEO est si grande que l’intégrité du mail n’est pas vérifiée et que le paiement sera effectué sans aucun problème. Après tout, qui aime décevoir le big boss ? Chez EASI, cette distance n’est pas bien grande, au contraire !
Signaux d’alerte
Une série de signaux devraient vous aider à identifier que quelque chose ne va pas :
1. Transactions inhabituelles en termes de montant, de raison, de circonstance,… surtout si ceci n’a rien à voir avec vos tâches
2. Un caractère secret, l’utilisation d’un code secret, l’utilisation d’une adresse e-mail privée ou d’un téléphone portable etc.
3. Vous ne connaissez pas personnellement l’expéditeur et personne en qui vous avez confiance ne s’en porte garant
4. L’e-mail a été envoyé à une heure inhabituelle (hors des heures de bureau) ou à un mix de personnes inhabituel.
5. Un besoin urgent d’argent
6. Pression inhabituelle de la part d’un cadre haut placé pour obtenir des informations sensibles ou faire un paiement
7. Transactions vers des comptes bancaires étrangers
8. Transfert d’argent un vendredi ou le jour avant un jour férié (pour rester sous le radar d’employés de banques critiques)
9. Changements dans les informations de paiement de fournisseurs réguliers
10. E-mails avec des hyper liens inclus ou des pièces jointes de la part de quelqu’un avec lequel vous n’avez pas l’habitude de communiquer.
Plus que jamais, suivez votre intuition. Vous ne devriez pas avoir un sentiment inconfortable par rapport à la demande de l’expéditeur. Apprenez quelles contremesures pourraient vous aider à vous protéger contre ces escroqueries dans mon prochain article de blog.
