Qu'est-ce que la compromission des e-mails d'entreprise ?

Blog

Qu'est-ce que le Business Email Compromise ? Le BEC se produit lorsqu'un pirate prend l'identité du propriétaire d'un domaine pour commettre une fraude à l'encontre de l'entreprise.

par Ahona Rudra

Temps de lecture : 8 min
Qu'est-ce que la compromission des e-mails d'entreprise ?
Table des matières-

Passons directement à la définition de la compromission des courriels d'entreprise : la compromission des courriels d'entreprise (BEC) se produit lorsqu'un pirate informatique accède à un compte de messagerie d'entreprise ou en usurpe un d'apparence légitime et prend l'identité du titulaire du compte pour commettre une fraude à l'encontre de l'entreprise. Ciblant les organisations commerciales, gouvernementales et à but non lucratif, les attaques BEC peuvent entraîner d'énormes pertes de données, des failles de sécurité et la compromission d'actifs financiers. On croit souvent à tort que les cybercriminels se concentrent sur les multinationales et les grandes entreprises ; de nos jours, les PME sont tout autant la cible de la fraude par courriel que les grands acteurs de l'industrie. Le fait de prendre le compte de messagerie de la victime est digne de confiance. On peut également parler d'attaque par usurpation d'identité, dans laquelle un pirate cherche à escroquer une entreprise en se faisant passer pour une personne occupant une position d'autorité, comme le directeur financier ou le PDG, un partenaire commercial ou toute autre personne en qui la cible pourrait avoir implicitement confiance.

Un pirate crée souvent un compte avec une adresse électronique presque identique à celle du réseau de l'entreprise, en utilisant souvent des techniques telles que le typosquattage (par exemple, amaz0n.com au lieu d'amazon.com) ou des domaines similaires. Le BEC est également appelé "attaque de l'homme dans le courrier électronique". Les attaques BEC de base sont dangereuses car il est assez difficile de les détecter puisqu'elles peuvent sembler provenir de l'adresse électronique légitime d'une entreprise, ce qui rend difficile de retracer les liens intégrés vers des URL douteuses utilisées par les pirates.

Il n'est guère surprenant que le FBI ait classé le Business Email Compromise (BEC) comme une "escroquerie de 26 milliards de dollars", étant donné que le coût moyen pour les entreprises est de 5,01 millions de dollars par infractionLe coût moyen pour les entreprises est de 5,01 millions de dollars par infraction, et la menace ne fait que croître. Les attaques de type "Business Email Compromise" (BEC) visent les employés qui utilisent des adresses électroniques professionnelles fictives ou légitimes. Plus de 1,8 milliard de dollars ont été gagnés par les escrocs BEC en 2020, soit plus que toute autre forme de cybercriminalité, les États-Unis étant l'une des principales plaques tournantes de cet impact. Les attaques BEC touchent plus de 70 % des organisations dans le monde et entraînent la perte de milliards de dollars chaque année.

Points clés à retenir

  1. Business Email Compromise (BEC) est une attaque sophistiquée d'usurpation d'identité visant des organisations de toutes tailles, dans le but de frauder par le biais de courriels trompeurs se faisant passer pour des entités dignes de confiance.
  2. Les BEC s'appuient fortement sur l'ingénierie sociale, en utilisant des tactiques telles que la fraude au PDG, les fausses factures et les domaines fictifs pour manipuler les employés afin qu'ils transfèrent des fonds ou divulguent des données sensibles.
  3. La mise en œuvre et l'application de DMARC (avec SPF et DKIM) à une politique de `p=reject` est cruciale pour empêcher l'usurpation de domaine et bloquer les courriels non autorisés.
  4. Il est essentiel d'adopter une stratégie de défense à plusieurs niveaux, comprenant la formation des employés, des protocoles stricts de vérification des paiements, l'AMF et la vigilance à l'égard du typosquattage.
  5. L'utilisation de protocoles de sécurité supplémentaires pour le courrier électronique, tels que MTA-STS pour le cryptage TLS et BIMI pour la reconnaissance de la marque, permet d'améliorer encore la protection et la confiance.

Qu'est-ce que la compromission des e-mails d'entreprise et comment fonctionne-t-elle ?

Dans une attaque BEC, les auteurs de la menace se font passer pour des travailleurs ou des partenaires fiables. Ils persuadent la victime de faire une action, comme donner accès à des informations confidentielles ou envoyer de l'argent, souvent en utilisant des attaques d'ingénierie sociale sophistiquées comme le phishing, la fraude au PDG, les fausses factures et l'usurpation d'adresse électronique. Les acteurs de la menace continuent de réussir malgré une meilleure connaissance de la compromission des courriels d'entreprise. Par exemple, le cyber-gang russe Cosmic Lynx a mené de nombreuses campagnes sophistiquées de BEC en utilisant des courriels d'hameçonnage bien rédigés, ce qui rend la détection difficile. En outre, les cybercriminels exploitent des tendances telles que le travail à distance en envoyant des courriels frauduleux qui usurpent l'identité d'outils populaires tels que Zoom pour voler les identifiants de connexion.

La fréquence de ces agressions ciblant les consommateurs anormaux a augmenté de manière impressionnante (84 %) au cours des premier et deuxième semestres de 2021. Malgré cela, au cours du second semestre 2021, le taux d'attaque est passé à 0,82 pour mille boîtes aux lettres. Les acteurs de la menace suivent souvent des étapes spécifiques pour exécuter les escroqueries BEC :

  1. Ciblage de listes d'adresses électroniques : Les acteurs malveillants recueillent des courriels cibles à partir de LinkedIn, de bases de données ou de sites web.
  2. Lancer l'attaque : Ils envoient des courriels en utilisant des domaines usurpés ou ressemblants et de faux noms d'expéditeurs.
  3. Ingénierie sociale : Les attaquants se font passer pour des fonctionnaires de confiance, créant une situation d'urgence pour solliciter des transferts d'argent ou le partage de données.
  4. Gains financiers : L'étape finale où le vol financier ou la violation de données se produit.

Simplifiez la sécurité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Quels sont les principaux types d'attaques de compromission d'e-mails d'entreprises ?

Selon le FBI, les principaux types d'arnaques BEC sont les suivants :

Fausses organisations caritatives

Dans les attaques BEC, l'une des formes les plus courantes consiste à envoyer des courriels provenant de fausses organisations caritatives qui prétendent collecter des fonds pour une bonne cause. Ces courriels comportent souvent des pièces jointes contenant des logiciels malveillants conçus pour infecter les ordinateurs avec des virus et d'autres logiciels malveillants. Les organisations à but non lucratif sont également confrontées à des menaces de sécurité similaires par le biais de dons non sollicités et d'attaques par carte, qui peuvent compromettre la confiance des donateurs et l'intégrité des données. 

Problèmes de voyage

Une autre escroquerie BEC courante consiste à envoyer des courriels provenant de fausses agences de voyage qui prétendent qu'il y a eu un problème avec votre vol ou votre réservation d'hôtel - généralement parce que quelqu'un a annulé sa réservation à la dernière minute. L'e-mail vous demandera de mettre à jour votre brochure de voyage en cliquant sur une pièce jointe ou un lien inclus dans le message. Si vous le faites, vous risquez d'installer par inadvertance un logiciel malveillant sur votre ordinateur ou de permettre à des pirates d'accéder à des données sensibles stockées sur votre appareil.

Menaces fiscales

Cette attaque implique la menace d'une action légale ou officielle par une agence gouvernementale si les victimes ne paient pas de l'argent. Ces escroqueries impliquent souvent de fausses factures et des demandes de paiement pour éviter les conséquences juridiques.

Usurpation d'identité d'avocat

Ces courriels prétendent qu'un avocat a besoin de votre aide pour un problème juridique - qu'il ait été arrêté ou qu'il tente de recouvrer de l'argent dû par quelqu'un d'autre. Dans ces cas-là, les escrocs vous demandent vos informations personnelles afin de pouvoir vous "aider" dans l'affaire juridique en question (par exemple en vous renvoyant de l'argent).

Le système de la facture fictive

Dans cette escroquerie, une entreprise envoie une facture à une autre entreprise, généralement pour un montant important. La facture indique que le destinataire doit de l'argent pour des services ou des articles qu'il n'a pas reçus. Il peut lui être demandé de transférer de l'argent pour payer la fausse facture.

Vol de données

Cette escroquerie consiste à voler des données sensibles de votre entreprise et à les vendre à des concurrents ou à d'autres parties intéressées. Les voleurs peuvent également menacer de publier vos données si vous n'accédez pas à leurs demandes.

Comment fonctionnent les attaques BEC ?

Voici comment les attaques BEC fonctionnent :

  • Compte de messagerie ou site web usurpé - L'attaquant usurpe une adresse de messagerie ou un site web qui semble légitime, parfois en utilisant des techniques telles que le typosquattage ou les domaines similaires. Il envoie un ou plusieurs courriels d'hameçonnage à partir de ce compte pour demander des informations financières, telles que les numéros de compte bancaire et les codes PIN, ou pour demander des transferts de fonds. L'utilisation de protocoles d'authentification des courriels tels que DMARC, SPF et DKIM peut vous aider à empêcher les pirates d'usurper votre domaine.
  • Courriels de spear phishing - Les courriels de spear phishing sont des courriels très ciblés envoyés directement à des employés spécifiques, souvent des employés des services financiers ou des ressources humaines. Ils sont souvent déguisés en communications internes émanant d'une personne de l'entreprise (par exemple, un cadre) et contiennent des lignes d'objet telles que "virement bancaire urgent" ou "facture urgente" qui demandent des données sensibles ou une action immédiate.
  • Utilisation de logiciels malveillants - Les attaquants peuvent installer des logiciels malveillants (malwares) sur l'ordinateur d'une victime, souvent par le biais de liens malveillants ou de pièces jointes dans des courriels d'hameçonnage. Ils utilisent des logiciels malveillants pour suivre l'activité, capturer les frappes au clavier (keyloggers), faire des captures d'écran ou obtenir un accès permanent au système et au réseau.

Comment prévenir la compromission des e-mails d'entreprise ?

Une attaque BEC réussie peut coûter beaucoup d'argent à une entreprise et lui causer un préjudice important. Cependant, vous pouvez prévenir ces attaques en suivant quelques étapes simples, telles que :

1. Protégez votre domaine avec DMARC, SPF et DKIM

Les protocoles d'authentification du courrier électronique tels que Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy FrameworkSPF et DomainKeys Identified Mail (DKIM) sont essentiels. SPF vous permet de spécifier quels serveurs de messagerie sont autorisés à envoyer des courriels pour votre domaine. DKIM ajoute une signature numérique aux messages électroniques, ce qui permet aux destinataires de vérifier que le message n'a pas été altéré.
DMARC s'appuie sur SPF et DKIM. Une organisation peut identifier les sources qui envoient des courriels au nom de son domaine grâce à la vérification de l'expéditeur et à l'alignement du domaine en utilisant le protocole, ainsi qu'à une meilleure visibilité de ses canaux de messagerie. DMARC permet aux propriétaires de domaines de spécifier comment les destinataires doivent traiter les courriels qui échouent aux vérifications SPF ou DKIM.
Pour prévenir efficacement le BEC, vous devez mettre en œuvre le protocole DMARC avec une politique d'application. Les politiques sont les suivantes :

  • p=none: Surveille le trafic de courrier électronique sans en affecter la distribution. N'offre aucune protection contre les BEC.
  • p=quarantine: Envoie les courriels suspects dans le dossier spam ou junk du destinataire.
  • p=reject: Bloque entièrement les courriels qui échouent aux contrôles d'authentification. Il s'agit de la politique recommandée pour une protection maximale contre le BEC.

Mise en œuvre de DMARC nécessite la publication d'enregistrements SPF, DKIM et DMARC correctement formatés dans votre DNS. Il est recommandé d'utiliser les enregistrements SPF, DKIM et DMARC dans votre DNS. Enregistrement DMARC pour l'application de la loi pourrait ressembler à ce qui suit : v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; Cette politique rejette les courriels qui échouent et envoie des rapports agrégés (rua) et judiciaires (ruf) aux adresses spécifiées à des fins de surveillance. Seule une politique de rejet permet de minimiser efficacement le BEC en empêchant les courriels usurpés d'atteindre les boîtes de réception des destinataires. Alors que les filtres anti-spam protègent contre l'hameçonnage entrant, DMARC protège votre domaine contre l'utilisation dans des attaques d'hameçonnage et d'usurpation d'identité sortantes.
Un contrôle régulier via les rapports DMARC (agrégés et judiciaires) est essentiel pour suivre le flux de courrier électronique, identifier les problèmes d'authentification et repérer les tentatives potentielles d'usurpation d'identité.

2. Protections anti-hameçonnage

Utiliser des logiciels anti-phishing et des passerelles de sécurité pour le courrier électronique qui analysent les courriels entrants à la recherche de liens malveillants, de pièces jointes et de signes d'ingénierie sociale afin de bloquer les menaces avant qu'elles n'atteignent les utilisateurs.

3. Séparation des tâches et protocoles de paiement

Veillez à ce que les fonctions critiques, en particulier les transactions financières telles que les virements électroniques, ne soient pas exécutées par une seule personne. Élaborer des protocoles stricts pour l'approbation des paiements, en exigeant des autorisations multiples et une confirmation secondaire (par exemple, un appel téléphonique ou une vérification en personne) pour les demandes, en particulier les demandes urgentes ou celles qui impliquent des changements dans les détails du paiement.

4. Étiquetage des courriels externes

Configurez votre système de messagerie de manière à ce que les courriels provenant de l'extérieur de votre organisation soient clairement identifiés. Cela permet aux employés d'identifier rapidement les messages potentiellement suspects qui tentent d'usurper l'identité d'expéditeurs internes.

5. Examiner attentivement les adresses électroniques et les détails

Former les employés à examiner attentivement l'adresse électronique de l'expéditeur pour y déceler des différences subtiles, des fautes de frappe ou des domaines similaires. Vérifiez si l'adresse "reply-to" correspond à l'adresse "from". Méfiez-vous des courriels exigeant l'urgence ou le secret.

6. Sensibilisez vos employés

La meilleure défense contre les attaques BEC est l'éducation et la sensibilisation des employés. Les employés doivent être informés de la menace que représente le BEC, de son fonctionnement, des tactiques courantes (comme l'urgence, l'usurpation d'identité) et de la manière dont ils peuvent être ciblés. Ils doivent comprendre les politiques de l'entreprise en matière d'utilisation du courrier électronique, de partage des données et de transactions financières, y compris les procédures de vérification. Mettez en place des tests de simulation d'hameçonnage pour évaluer la sensibilisation et identifier les personnes qui ont besoin d'une formation plus poussée. Encourager les employés à signaler immédiatement tout courriel ou demande suspect sans crainte de représailles.

7. Activer l'authentification multifactorielle (MFA)

Mettez en œuvre le MFA pour tous les comptes de messagerie et autres systèmes critiques. L'AMF ajoute une couche de sécurité supplémentaire par rapport au simple mot de passe, ce qui réduit considérablement le risque de compromission du compte, même en cas de vol des informations d'identification. Pour une sécurité renforcée, il est possible d'envisager un MFA basé sur les risques ou sur la localisation.

8. Interdire le transfert automatique des courriels

Désactivez le transfert automatique des courriels vers des adresses externes dans les paramètres du système de messagerie de votre organisation. Les pirates peuvent abuser de cette fonction pour surveiller silencieusement les communications ou rediriger des informations sensibles après avoir compromis un compte.

9. Mise en œuvre de protocoles de sécurité supplémentaires

Envisagez de renforcer la sécurité de votre courrier électronique avec :

  • MTA-STS (Mail Transfer Agent Strict Transport Security) : Assure le cryptage TLS des courriels en transit, protégeant ainsi contre les écoutes et les attaques de type "man-in-the-middle". Utilisez TLS-RPT (TLS Reporting) pour obtenir des rapports sur les succès et les échecs des négociations TLS.
  • BIMI (indicateurs de marque pour l'identification des messages) : Attache le logo de votre marque vérifiée aux messages électroniques authentifiés, ce qui augmente la mémorisation de la marque et aide les destinataires à identifier visuellement les messages légitimes dans les clients de messagerie électronique pris en charge. BIMI nécessite l'application de DMARC.
  • Gestion des enregistrementsSPF : Veillez à ce que votre enregistrement SPF ne dépasse pas la limite de 10 consultations DNS afin d'éviter les erreurs de validation. Des outils tels que l'aplatissement SPF peuvent aider à gérer les enregistrements complexes.

10. Signaler la fraude

Si vous soupçonnez une escroquerie de type BEC ou en êtes victime, signalez-la immédiatement aux autorités compétentes (comme l'IC3 du FBI aux États-Unis) et à vos institutions financières. Le signalement aide les services de police à traquer ces délits et à récupérer éventuellement des fonds.

Conclusion

Les escroqueries de type "Business Email Compromise" échappent aux mesures de sécurité les plus avancées, ciblant souvent le personnel clé, comme le PDG ou le directeur financier, par le biais d'un seul courriel bien conçu. En fin de compte, le BEC est un vecteur d'attaque véritablement insidieux qui reste répandu dans le monde des affaires. Cela signifie que vous devez en être très conscient, quelle que soit la taille de votre organisation. Une combinaison de contrôles techniques tels que l'application de DMARC, de procédures internes robustes et de formation continue des employés est nécessaire pour construire une défense solide.

Utilisez l'analyseur analyseur DMARC de PowerDMARC pour vous assurer que les courriels de votre domaine sont livrés et éviter d'en envoyer de faux. Lorsque vous mettez fin à l'usurpation d'identité, vous faites plus que protéger votre marque. Vous assurez la survie de votre entreprise en mettant en œuvre un élément essentiel de la pile d'authentification des courriels, qui peut également inclure SPF, DKIM, BIMI, MTA-STS et TLS-RPT pour une protection complète.

Derniers messages de Ahona Rudra (voir tous)
DMARC et les listes de diffusionDMARC et les listes de diffusionQu'est-ce que le Smishing 01 01Qu'est-ce que le Smishing ?