Compromission des courriels d’entreprise

Un cybercriminel hameçonne la victime en utilisant une adresse courriel qui ressemble à une adresse de confiance

Usurpation de domaine

Le cybercriminel crée un faux site Web ou un faux domaine de courriels pour se faire passer pour une entreprise ou une personne de confiance. Généralement, le domaine semble légitime à première vue, et les différences peuvent être subtiles et difficiles à déceler.

En utilisant des authentifiants de courriel volés, le cybercriminel peut voir toutes les conversations dans la boîte de réception, ce qui facilite l’usurpation d’identité.

Surveiller les communications

En accédant à une boîte de réception, le cybercriminel peut facilement rechercher d’autres employés et surveiller les conversations en cours, notamment en ce qui concerne les factures ou les paiements.

Dissimuler l’activité

Le cybercriminel peut également prendre des mesures pour dissimuler ses activités, par exemple en établissant des règles de transfert afin que l’utilisateur dont les authentifiants ont été volés ne voie jamais certaines conversations dans la boîte de réception. Le cybercriminel peut également déplacer la conversation vers une autre boîte de réception de courriels.

Une fois la confiance établie, le cybercriminel peut encourager l’utilisateur à contourner les procédures habituelles et la sécurité par le biais de diverses techniques d’ingénierie sociale.

Les employés visés par ces attaques sont souvent des employés des ressources humaines ou des services financiers, en particulier dans les petites entreprises.

Fraude au niveau de la direction générale

Se faisant passer pour le PDG, le cybercriminel demande à l’employé d’effectuer un paiement immédiat en raison d’une transaction confidentielle, telle qu’une acquisition, ou un achat de cartes-cadeaux.

Instructions frauduleuses

Se faisant passer pour un vendeur ou un fournisseur, le cybercriminel demande à l’employé de modifier les instructions de paiement pour un paiement électronique, afin que celui-ci soit versé sur un compte contrôlé par le cybercriminel.

Les sociétés de services professionnels sont particulièrement exposées aux incidents dans lesquels le cybercriminel se fait passer pour une partie d’une vente immobilière ou d’autre transaction afin de détourner des paiements.

Manipulation de factures

Le cybercriminel peut se faire passer pour un vendeur ou un fournisseur et envoyer des factures frauduleuses pour détourner les paiements.

Redirection de la paie

Le cybercriminel demande à un employé des ressources humaines de modifier les instructions de dépôt bancaire pour le salaire de l’employé.

Fraude au crédit

Le cybercriminel peut se faire passer pour plusieurs employés et contracter ensuite plusieurs prêts importants en leur nom, avec des pertes potentielles à six chiffres.

Les demandes urgentes d’envoi de données sensibles, telles que les déclarations fiscales des employés, sont d’autres formes courantes de BEC

Formez vos employés à reconnaître les tentatives de BEC et à y résister, examinez attentivement les demandes inhabituelles, utilisez la vérification hors bande et résistez aux méthodes utilisées par les cybercriminels pour contourner l’authentification multifactorielle (AMF).

Demandes de vérification

Formez les employés à vos procédures pour les demandes autorisées. Les demandes de modification des instructions de paiement ou d’envoi de données sensibles doivent faire l’objet d’une vérification hors bande : ne vous fiez pas aux informations de contact fournies par le cybercriminel.

Éviter le recyclage des mots de passe

Formez les employés aux bonnes pratiques en matière de mots de passe, notamment à ne pas réutiliser les mots de passe pour différents comptes.

Une l’AMF résistante à l’hameçonnage

Formez les employés à éviter les tentatives d’ingénierie sociale visant à contourner l’AMF, telles que les demandes multiples d’approbation d’accès (fatigue de l’AMF).

Reconnaître les courriels d’hameçonnage et les tentatives d’escroquerie

Formez les employés à détecter les noms de domaine usurpés et à ne pas se laisser abuser par les sous-domaines. Soyez attentif aux courriels qui formulent des demandes inhabituelles, en particulier celles qui ont un caractère urgent ou secret. 

Une sécurisation adéquate des comptes de courriels et une meilleure détection de l’hameçonnage contribueront à la protection contre les BEC

Une l’AMF résistante à l’hameçonnage

Toutes les formes d’AMF ne sont pas également sécurisées. L’AMF doit être configurée de manière à protéger contre les attaques d’ingénierie sociale. Si les codes de passe à usage unique et les notifications basées sur la technologie du pousser ne sont pas aussi résistants à ces attaques, les jetons matériels FIDO2 ont eu plus de succès. Bloquez les anciens protocoles de courriel qui ne prennent pas en charge l’authentification moderne.

Réduire l’exposition aux courriels d’hameçonnage

Mettez en place des mesures susceptibles de modifier la manière dont les courriels suspects sont traités (SPF, DKIM, DMARC). Envisagez de bloquer les courriels provenant de nouveaux domaines, qui peuvent avoir été créés par des cybercriminels à des fins d’hameçonnage.

Apportez des correctifs aux serveurs de messagerie sur site afin de priver les cybercriminels des fruits les plus faciles à cueillir.

Les paiements manqués peuvent ne pas être remarqués avant 45 ou 60 jours, c’est pourquoi il est important d’en détecter les signes plus tôt.

Limiter les tentatives de connexion

Définissez une alerte pour un certain nombre d’invites à l’AMF restées sans réponse afin d’éviter la lassitude de l’AMF. Vous pouvez définir une politique d’accès qui se verrouille après 5 ou 10 tentatives sans réponse.

Surveiller les modifications apportées à la journalisation et à la configuration

Des modifications inhabituelles des règles existantes (telles que celles concernant le dossier RSS) ou de nouvelles règles de transfert externe peuvent être des signes précurseurs d’une activité liée aux BEC. 

Placez une mise en suspens pour litige sur la boîte aux lettres ciblée afin de préserver le contenu de la boîte aux lettres. Assurez-vous que les options de journalisation et de conservation des journaux sont correctement configurées.

Activez l’AMF si elle n’était pas activée. Réinitialisez les mots de passe de tous les comptes utilisés par l’utilisateur ciblé sur son appareil professionnel, qu’ils soient personnels ou professionnels.

Vérifiez la liste des appareils enregistrés associés à l’utilisateur ciblé. Le cybercriminel peut avoir enregistré un appareil supplémentaire pour les accusés de réception de l’AMF. Examinez également les activités des clients de messagerie tels que Teams, Slack ou Gchat, où des informations sensibles supplémentaires ont pu être partagées.