La compromission des e-mails professionnels (BEC) est un élément important pour les pirates informatiques. Selon le rapport 2019 du FBI sur la criminalité sur Internet, les BEC sont responsables de près de la moitié des 3,5 milliards de dollars de pertes liées à la cybercriminalité. Aujourd'hui, le FBI met également en garde contre de nouvelles attaques de BEC qui profitent de ces temps incertains.
D’après son nom, le BEC peut sembler être une attaque uniquement liée aux e-mails. Mais à la base, il s'agit d'une attaque par phishing. Avec l'essor des smartphones et des tablettes, les messages malveillants peuvent être diffusés par d'autres moyens, tels que les SMS, les applications de messagerie comme Signal et WhatsApp, et les applications de médias sociaux. La seule différence entre le BEC et une attaque plus traditionnelle par phishing de justificatifs d'identité est que le BEC exploite la confiance et l'autorité des relations personnelles au lieu d'une grande marque, et les pertes peuvent être beaucoup plus graves - le FBI estime que la perte moyenne liée à une attaque BEC est de 75 000 dollars. Les attaques de BEC et de phishing sont en général peu avancées techniquement, et il n'y a pas de réelle vulnérabilité ou d'exploit à proprement parler au-delà de l'ingénierie sociale.
En général, les groupes de phishing achètent, collectent et échangent des listes de contacts d'entreprises comprenant les noms, les adresses électroniques et les numéros de téléphone des directeurs financiers, des équipes financières et des comptes fournisseurs. Un message ciblé est envoyé, usurpant l'identité d'un dirigeant de haut rang (généralement le PDG ou le DAF) avec une demande urgente de paiement à effectuer, par exemple pour un projet urgent. Les attaquants utilisent souvent les mêmes stratégies pour créer des messages de phishing, de sorte que leur taux de réussite n'est que de 1 à 2% environ, mais sur des dizaines de milliers de messages par an, cela peut représenter des milliards d’euros de pertes.
Ces attaques étant devenues populaires et très rentables pour les cybercriminels, les professionnels de la cybersécurité ont commencé à donner la priorité à leur défense. Comme pour toute attaque de phishing, la sensibilisation et l'éducation constituent la première étape de la prévention. De nombreuses organisations ont alors mis en place des formations à la cybersécurité en mettant l'accent sur la messagerie électronique, la plupart des efforts se concentrent entièrement sur les systèmes de messagerie professionnelle, où les utilisateurs peuvent plus facilement vérifier les indicateurs d'attaque par phishing.
Les attaquants ciblent de plus en plus les utilisateurs de téléphones portables pour profiter de l'instantanéité des communications mobiles. Le mobile représente un plus grand défi pour les cibles d'attaques de phishing car la formation à la cybersécurité est rarement axée sur le mobile, mais ceci progresse. La formation à la cybersécurité se concentre souvent sur les indicateurs de phishing d’un navigateur PC qui sont masqués sur mobile, car de nombreuses applications de messagerie mobile n'affichent pas l'adresse électronique de l'expéditeur et limitent la possibilité de prévisualiser facilement les hyperliens vers des sites Web potentiellement faux. Les attaquants disposent également de beaucoup plus de canaux pour diffuser leurs arnaques. La plupart des gens ne s'attendent pas à ce que des liens de phishing soient transmis par des plateformes telles que les SMS, Facebook messenger, WhatsApp ou Signal.
Le problème est aggravé par la forte dépendance des organisations à l'égard de la communication mobile à toute heure de la journée, d'autant plus que la majorité des utilisateurs sont aujourd’hui en télétravail. Les chefs d'entreprise qui communiquent avec leurs équipes par le biais d'e-mails ou d'applications de messagerie mobile s'attendent à une attention immédiate, ce qui incite les employés à se laisser piéger par les tentatives de phishing lorsqu'ils réagissent de manière précipitée. De plus, les destinataires de messages de phishing sur des appareils mobiles ne peuvent pas facilement vérifier les demandes auprès d'un collègue à proximité quand ils travaillent à domicile. Dans le même temps, les chefs d'entreprise eux-mêmes peuvent être facilement influencés par des demandes bien formulées qui semblent provenir de leurs subordonnés directs, les amenant à divulguer par inadvertance des informations privées préjudiciables.
Il n'existe pas d'approche unique pour prévenir les BEC et le phishing, et il faut donc prendre conscience que les attaques de phishing ne se limitent pas aux e-mails. Toute stratégie axée uniquement sur l’e-mail passera à côté de la majorité des méthodes utilisées pour attaquer les utilisateurs mobiles. Pour s’en protéger, il faut désormais adopter une approche de défense en profondeur avec une protection contre le phishing sur tous les terminaux, y compris les appareils mobiles, associée à une formation à la cybersécurité. Ce n'est que de cette manière que les organisations peuvent protéger leurs employés contre cette menace croissante.
Auteur : Bastien Bobe, Lookout.