Qu’est-ce que la compromission de messagerie d’entreprise (BEC) ?
-
La compromission de messagerie d’entreprise (BEC, Business Email Compromise) est un type d’attaque par hameçonnage visant des organisations dans le but de voler de l’argent ou des informations critiques.
Définition de la compromission de messagerie d’entreprise (BEC)
La compromission de messagerie d’entreprise (BEC) est un type de cybercriminalité dans lequel l’escroc utilise un e-mail pour inciter une personne à envoyer de l’argent ou à divulguer des informations confidentielles sur l’entreprise. L’auteur de l’attaque se faisant passer pour une personne de confiance demande le paiement d’une facture fictive ou la communication de données sensibles exploitables pour orchestrer une autre escroquerie. Les escroqueries BEC sont en hausse en raison de l’augmentation du télétravail. L’année dernière, le FBI a reçu près de 20 000 plaintes de ce type.1
Types d’escroqueries BEC
Le courrier électronique est le point de départ de 91 % des cyberattaques.2 Découvrez les types les plus courants d’e-mails compromis.
Vol de données
Parfois, les escrocs commencent par cibler le service des ressources humaines afin de dérober des informations telles que l’emploi du temps ou le numéro de téléphone d’une personne. Ces informations permettent de renforcer la crédibilité d’une autre escroquerie BEC.
Système de fausse facture
Se faisant passer pour un fournisseur légitime de votre entreprise, l’escroc envoie par e-mail une fausse facture, souvent très ressemblante à une vraie. Le numéro du compte fallacieux ne diffère parfois du vrai numéro de compte que d’un seul chiffre. Ou la facture peut faire état d’un changement de banque, en prétendant que votre banque fait l’objet d’un audit.
Fraude au PDG
L’escroc usurpe l’identité ou pirate le compte e-mail d’un PDG, puis adresse aux employés des instructions pour effectuer un achat ou transférer de l’argent par virement bancaire. Il peut même demander à un employé d’acheter des cartes cadeaux ou de partager des photos de numéros de série.
Usurpation d’identité d’avocat
Cette escroquerie consiste pour l’attaquant à obtenir un accès non autorisé à un compte e-mail de cabinet d’avocats. Il envoie ensuite à un client une facture ou un lien pour effectuer un paiement en ligne. L’adresse e-mail est authentique, mais le compte bancaire ne l’est pas.
Compromission de compte
Via un hameçonnage ou un programme malveillant, l’escroc cherche à accéder au compte de courrier d’un employé de service financier, tel un responsable de comptes clients. Il adresse ensuite par e-mail aux fournisseurs de l’entreprise de fausses factures demandant un paiement sur un compte bancaire frauduleux.
Fonctionnement d’une escroquerie BEC
Voici comment se déroule une escroquerie BEC :
1. L’escroc effectue des recherches sur sa cible afin de trouver comment usurper son identité. Il va parfois jusqu’à créer un faux site web ou à enregistrer une société du même nom que la vôtre dans un autre pays.
2. Après avoir obtenu l’accès au courrier, l’escroc surveille les e-mails afin d’identifier qui pourrait envoyer ou recevoir de l’argent. Il observe également les usages en matière de conversation et les factures.
3. Au cours d’un échange par e-mail, l’escroc usurpe le domaine de courrier d’une partie (l’adresse e-mail peut différer d’une lettre ou deux de l’adresse authentique, ou il peut s’agir de l’adresse correcte via un domaine différent, comme, chris@contoso.com via fabrikam.com).
4. L’escroc tente ensuite de gagner la confiance de la cible, avant de lui demander de l’argent, des cartes cadeaux ou des informations.
Cibles d’escroqueries BEC
N’importe qui peut être ciblé par une escroquerie BEC. Les cibles peuvent être des entreprises, administrations, associations et autres écoles, en particulier les rôles suivants :
1. Cadres et dirigeants : les détails les concernant étant souvent accessibles au public sur le site web de l’organisation, des attaquants peuvent prétendre les connaître.
2. Employés de service financier : contrôleurs et employés chargés des comptes clients ayant accès aux informations bancaires, aux modes de paiement et aux numéros de compte.
3. Responsables des ressources humaines : ayant accès aux dossiers des employés, ils sont potentiellement en mesure de divulguer des informations telles que des numéros de sécurité sociale, des déclarations fiscales, des infos de contact et autres planifications.
4. Employés nouveaux ou débutants : à défaut d’expérience, ils ne seront généralement pas en mesure de vérifier la légitimité d’un e-mail auprès de l’expéditeur.
Dangers liés aux escroqueries BEC
Si une attaque par compromission de messagerie d’entreprise aboutit, votre organisation pourrait :
1. Perdre des centaines de milliers, voire des millions de dollars.
2. Être victime d’un vol d’identité à grande échelle si des informations d’identification personnelle sont dérobées.
3. Laisser fuiter accidentellement des données confidentielles, par exemple, de propriété intellectuelle.
Les stratégies de protection contre les menaces évoluent au même rythme que les stratagèmes des escroqueries BEC. En fait, l’année dernière, Microsoft a bloqué 32 milliards de menaces pesant sur les e-mails.3 En savoir plus sur les solutions de Microsoft en matière de protection contre les menaces pesant sur les e-mails.
Exemples d’escroqueries BEC
Exemple 1 : Payez cette facture urgente.
Supposons que vous travaillez au sein du service financier de votre organisation. Vous recevez un e-mail du directeur financier ayant trait à une demande urgente concernant une facture en souffrance, mais l’expéditeur n’est pas vraiment le directeur financier. Ou bien l’escroc se faisant passer pour votre entreprise de dépannage ou votre fournisseur d’accès Internet vous envoie par e-mail une facture trompeuse.
Exemple 2 : Quel est votre numéro de téléphone ?
Un cadre de l’organisation vous adresse un e-mail sollicitant votre aide pour une tâche rapide. Il vous demande de lui communiquer votre numéro de téléphone afin de pouvoir vous envoyer un SMS. Les SMS semblant plus sûrs et plus personnels que les e-mails, l’escroc espère que vous lui enverrez des informations de paiement ou d’autres données sensibles. Il s’agit de hameçonnage par SMS (ou « smishing »).
Exemple 3 : Votre bail arrive à échéance.
Un escroc accède à la messagerie d’une société immobilière, puis trouve des transactions en cours. Il vous envoie par e-mail une facture pour le renouvellement d’un bail de bureau ou un lien pour régler un dépôt de garantie. Des escrocs ont récemment extorqué de leur victime plus de 500 000 dollars US de cette manière.4
Exemple 4 : Acquisition ultra secrète
Votre patron vous demande un acompte pour l’acquisition d’une entreprise concurrente. Son e-mail vous demandant la plus grande discrétion, vous ne vérifiez pas la demande. Les détails des fusions et acquisitions étant souvent tenus secrets jusqu’à ce que tout soit finalisé, il se peut que cette escroquerie n’éveille aucun soupçon de prime abord.
Astuces pour prévenir les escroqueries BEC
Pour mettre fin à la compromission de messagerie d’entreprise, suivez les cinq meilleures pratiques ci-dessous :
Utilisez une solution de courrier sécurisée
Des applications de courrier comme Office 365 signalent et suppriment automatiquement les messages suspects, ou vous avertissent que l’expéditeur n’est pas vérifié. Vous pouvez alors bloquer certains expéditeurs et signaler des e-mails en tant que courrier indésirable. Defender pour Office 365 ajoute encore plus de fonctionnalités de prévention des escroqueries BEC, comme la protection avancée contre le hameçonnage et la détection des transferts suspects.
Configurez une authentification multifacteur (MFA)
Rendez votre messagerie plus difficile à compromettre en activant l’authentification multifacteur, qui exige un code, un code PIN ou une empreinte digitale en plus du mot de passe pour se connecter.
Apprenez aux employés à repérer les signes d’alerte
Veillez à ce que chacun sache comment repérer des liens de hameçonnage, une discordance de domaine et d’adresse électronique, et d’autres signaux alarmants. Simulez une escroquerie BEC de façon à ce que les utilisateurs sachent en reconnaître une quand elle se produira.
Définissez des paramètres de sécurité par défaut
Les administrateurs peuvent renforcer les exigences de sécurité dans l’ensemble de l’organisation en obligeant chacun à utiliser une authentification multifacteur, en exigeant une authentification pour les accès nouveaux ou risqués, et en forçant la réinitialisation des mots de passe en cas de fuite d’informations.
Servez-vous d’outils d’authentification des e-mails
Rendez vos e-mails plus difficiles à usurper en authentifiant les expéditeurs à l’aide des mécanismes Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting, and Conformance (DMARC).
Adoptez une plateforme de paiement sécurisé
Envisagez de passer des factures envoyées par e-mail à un système spécialement conçu pour authentifier les paiements.
Protection contre les escroqueries BEC
Contribuez à la protection de votre organisation grâce à des solutions permettant de détecter les e-mails suspects, comme Microsoft Defender for Office 365 qui peut :
1. Vérifier automatiquement les normes d’authentification des e-mails, détecter les usurpations d’identité et acheminer des e-mails vers des dossiers de quarantaine ou de courrier indésirable.
2. Utiliser l’IA pour modéliser les habitudes de messagerie de chaque personne et épingler des activités inhabituelles.
3. Configurer la protection des e-mails par utilisateur, domaine et boîte aux lettres.
4. Enquêter sur les menaces, découvrir qui est ciblé, détecter des faux positifs et identifier les escrocs dans l’Explorateur de menaces.
5. Vérifier les usages en matière de courrier à l’échelle du domaine et mettre en évidence des activités inhabituelles grâce aux algorithmes avancés de veille contre l’usurpation d’identité.
En savoir plus sur la Sécurité Microsoft
Six conseils pour rendre le courrier plus sûr
Suivez ces meilleures pratiques en matière de sécurité du courrier pour vous protéger contre les escroqueries BEC.
Comprendre l’escroquerie à la carte cadeau
Afin de vous préparer, lisez des messages réels envoyés par des escrocs tentant de monter une escroquerie BEC.
Les coulisses d’une attaque par escroquerie BEC
Découvrez le modus operandi des escrocs dans cette escroquerie réelle de compromission de messagerie d’entreprise.
Empêchez les attaques par pulvérisation de mots de passe
Découvrez comment bloquer cette attaque par e-mail et identifier les personnes vulnérables au sein votre organisation.
Ce que tout responsable de la sécurité informatique (CISO) devrait savoir
Découvrez l’état de formation à la sécurité de votre équipe et comment sensibiliser celle-ci au hameçonnage.
Comment l’authentification multifacteur empêche le hameçonnage
Prenez l’une des mesures les plus rapides et les plus simples pour contrecarrer les escroqueries BEC : activez l’authentification multifacteur.
DCU (Digital Crimes Unit)
Découvrez comment l’équipe de lutte contre la cybercriminalité de Microsoft contrecarre les escroqueries BEC grâce à l’innovation, à la recherche et à l’intelligence artificielle.
Foire aux questions
-
Déposez une plainte auprès de l’Internet Crime Complaint Center (IC3) du FBI. Signalez l’e-mail via votre fournisseur de services de messagerie en le marquant comme courrier indésirable ou spam. Si votre messagerie n’offre pas cette option, tournez-vous vers votre superviseur.
-
Le hameçonnage n’est qu’un aspect de la compromission de messagerie d’entreprise. BEC est le terme générique recouvrant un type d’attaque incluant souvent l’utilisation de hameçonnage, d’usurpation d’identité, d’emprunt d’identité et de fausses factures.
-
Protégez les e-mails d’entreprise en suivant les meilleures pratiques en matière de sécurité du courrier, comme l’utilisation d’un fournisseur de courrier sécurisé, l’activation de l’authentification multifacteur (MFA), le choix d’un mot de passe de courrier fort et la modification fréquente de celui-ci, et le non-partage de détails personnels en ligne. Si vous êtes administrateur, envisagez des solutions de sécurité du courrier telles que Defender pour Office 365, configurez les paramètres de sécurité et surveillez l’activité pour détecter d’éventuelles anomalies.
-
Détectez les escroqueries et fraudes BEC en étant attentif à tout ce qui est inhabituel, comme un e-mail envoyé en dehors des heures de bureau, un nom mal orthographié, une discordance entre l’adresse e-mail de l’expéditeur et l’adresse de réponse, un semblant d’urgence, des liens et pièces jointes étranges, ou des changements d’informations de paiement ou de facturation. Vous pouvez également détecter des escroqueries BEC en vérifiant les e-mails supprimés de votre compte de courrier et les règles de transfert pour voir si votre compte a été compromis. Si votre application de courrier signale des messages suspects ou non vérifiés, c’est un autre moyen de détecter des escroqueries BEC.
-
L’usurpation d’adresse e-mail consiste à falsifier une adresse pour faire croire qu’un message provient d’une personne autre que son expéditeur. Des e-mail usurpés peuvent ressembler à des e-mails authentiques, mais provenir d’un domaine différent qui n’apparaît que si vous l’inspectiez (chris@contoso.com via fabrikam.com), comporter des fautes de frappe subtiles (chris@cont0so.com), ou provenir d’un domaine complètement différent (chris@fabrikam.com).
1. FBI. « Internet Crime Report 2021. » Internet Crime Complaint Center. 2021.
2. Ganacharya, Tanmay. « Protecting against coronavirus themed phishing attacks. » Blog sur la Sécurité Microsoft. 20 mars 2020.
3. Microsoft. « Digital Defense Report. » Octobre 2021.
4. Département de la justice des États-Unis. « Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer. » 15 juillet 2020.
Suivez Microsoft 365