Compromission des e-mails professionnels

Un cybercriminel hameçonne la victime avec une adresse e-mail qui ressemble à une adresse e-mail de confiance

Usurpation de domaine

Le cybercriminel crée un faux site Web ou un faux domaine de messagerie pour usurper l’identité d’une entreprise ou d’une personne de confiance. Le domaine semble généralement légitime à première vue et les différences peuvent être subtiles et difficiles à déceler.

L’utilisation d’informations d’identification de messagerie volées permet au cybercriminel d’accéder à toutes les conversations présentes dans la boîte de réception et de faciliter ainsi l’usurpation d’identité.

Contrôle des communications

L’accès à une boîte de réception permet au cybercriminel de rechercher facilement d’autres employés et de surveiller les conversations en cours, notamment en ce qui concerne les factures ou les paiements.

Dissimulation d’activités

Le cybercriminel peut également prendre des mesures pour dissimuler ses activités, en définissant notamment des règles de transfert pour que l’utilisateur dont les informations d’identification ont été volées ne voit jamais certaines conversations dans la boîte de réception. Il peut également transférer la conversation vers une autre boîte de réception.

Une fois la confiance établie, le cybercriminel peut encourager l’utilisateur à contourner les procédures normales et la sécurité par le biais de diverses techniques d’ingénierie sociale.

Les employés visés par ces attaques travaillent souvent aux ressources humaines ou au service financier, notamment dans les petites entreprises.

Arnaque au PDG

Se faisant passer pour le PDG, le cybercriminel demande à l’employé d’effectuer un paiement immédiat au titre d’une transaction confidentielle : acquisition ou achat de cartes-cadeaux.

Instruction frauduleuse

Le cybercriminel se fait passer pour un vendeur ou un fournisseur et demande à l’employé de modifier les instructions d’un paiement électronique afin que ce dernier soit versé sur un compte qu’il contrôle.

Les entreprises de services professionnels sont particulièrement exposées aux incidents dans lesquels le cybercriminel se fait passer pour un tiers dans une vente immobilière ou une autre transaction dans le but de détourner des paiements.

Manipulation des factures

Le cybercriminel peut se faire passer pour un vendeur ou un fournisseur et envoyer des factures frauduleuses afin de détourner les paiements.

Redirection de la paie

Le cybercriminel demande à un employé des ressources humaines de modifier les instructions de dépôt bancaire du salaire des employés.

Fraude au prêt

Le cybercriminel peut se faire passer pour plusieurs employés et contracter ensuite plusieurs prêts importants en leur nom, avec des pertes potentielles à six chiffres.

Les demandes urgentes d’envoi de données sensibles, comme les déclarations fiscales des employés, constituent d’autres formes courantes de BEC 

Formez vos employés à reconnaître les tentatives de BEC et s’y opposer, examinez attentivement les demandes inhabituelles, utilisez la vérification hors bande et résistez aux méthodes utilisées par les cybercriminels pour contourner l’authentification multifacteur (AFM).

Vérification des demandes

Formez les employés à vos procédures concernant les demandes autorisées. Les demandes de modification des instructions de paiement ou d’envoi de données sensibles doivent faire l’objet d’une vérification hors bande : ne vous fiez pas aux coordonnées fournies par le cybercriminel.

Évitement du recyclage des mots de passe

Formez les employés aux bonnes pratiques en matière de mots de passe, notamment en ne réutilisant pas les mêmes mots de passe sur des comptes différents.

Une AMF résistante à l’hameçonnage

Formez les employés à éviter les tentatives d’ingénierie sociale visant à contourner l’AMF, comme les demandes multiples d’approbation d’accès (fatigue de l’AMF).

Reconnaissance des e-mails d’hameçonnage et des tentatives de BEC

Formez les employés à détecter les noms de domaine usurpés et à ne pas se laisser abuser par les sous-domaines. Soyez attentif aux e-mails contenant des demandes inhabituelles, en particulier des demandes urgentes ou confidentielles. 

Une sécurisation adéquate des comptes de messagerie et une meilleure détection de l’hameçonnage amélioreront la protection contre les BEC

Une AMF résistante à l’hameçonnage

Toutes les formes d’AMF n’offrent pas le même niveau de sécurité. L’AMF doit être configurée pour garantir la protection contre les attaques d’ingénierie sociale. Si les codes de passe à usage unique et les notifications basées sur la technologie « push » ne sont pas aussi résistants à ces attaques, les jetons matériels FIDO2 rencontrent plus de succès. Bloquez les anciens protocoles de messagerie qui ne prennent pas en charge l’authentification moderne.

Réduction de l’exposition aux e-mails d’hameçonnage

Mettez en œuvre des mesures susceptibles de modifier le traitement (SPF, DKIM, DMARC) des e-mails suspects. Envisagez de bloquer les e-mails provenant de nouveaux domaines et qui peuvent avoir été créés par des cybercriminels à des fins d’hameçonnage.

Appliquez les correctifs aux serveurs de messagerie sur site afin de compliquer la tâche des cybercriminels.

Comme les défauts de paiements peuvent passer inaperçus pendant 45 ou 60 jours, il est important de les repérer plus tôt.

Limitation des tentatives de connexion

Définissez une alerte pour un certain nombre d’invites AMF restées sans réponse afin d’éviter la fatigue de l’AMF. Vous pouvez définir une politique de blocage d’accès après 5 ou 10 tentatives sans réponse.

Contrôle des modifications apportées à l’enregistrement et à la configuration

Parmi les signes précurseurs d’une activité liée aux BEC figurent les modifications inhabituelles des règles existantes (telles que celles concernant le dossier RSS) ou de nouvelles règles de transfert externe.

Mettez la boîte aux lettres ciblée en suspens pour cause de litige afin d’en préserver le contenu. Assurez-vous que les options de journalisation et de conservation des journaux sont correctement configurées.

Activez l’AMF si ce n’est pas déjà fait. Réinitialisez les mots de passe de tous les comptes, personnels ou professionnels, utilisés par l’utilisateur ciblé sur son appareil professionnel.

Vérifiez la liste des appareils enregistrés associés à l’utilisateur ciblé. Le cybercriminel peut avoir enregistré un appareil supplémentaire pour les accusés de réception de l’AMF. Enfin, examinez les activités des clients de messagerie comme Teams, Slack ou Gchat, où d’autres informations sensibles ont pu être partagées.