Comment les entreprises peuvent maîtriser la « compromission des e-mails professionnels »

  • L’utilisation accrue des applications SaaS signifie que les comptes professionnels des employés sont ciblés par la « compromission des e-mails professionnels » (BEC). Le BEC est passé des escroqueries par hameçonnage par e-mail de base à des itérations plus sophistiquées, y compris les escroqueries sur les factures. Une approche de protection à multiples facettes pour lutter contre le BEC combine des la technologie, la formation des employés et des politiques strictes en matière de données et de paiement.

À une époque définie par la connectivité numérique et le travail hybride, les cybermenaces sont devenues un risque professionnel. Quelle que soit sa taille, chaque entreprise est vulnérable aux cyberattaques et aux violations de données. Alors que les menaces de violation de la sécurité des réseaux d’entreprise existent toujours, le travail à distance et le passage à des applications SaaS basées sur le cloud ont conduit à davantage d’attaques visant à compromettre les comptes professionnels des employés. Un compte compromis donne au pirate un accès à des données sensibles et un point d’appui pour de nouvelles attaques contre d’autres employés et partenaires commerciaux. Les méthodes de livraison varient, mais le vecteur le plus exploité est le courrier électronique en tant que véhicule pour une campagne de phishing de collecte d’informations d’identification. L’hameçonnage, en général, a gagné en ampleur et en sophistication ces dernières années, la forme d’hameçonnage la plus dommageable d’un point de vue financier étant « compromis de messagerie professionnelle» (BEC). Selon Check Point Research, la collecte d’informations d’identification représente environ 15 % de toutes les attaques par e-mail, mais il s’agit de la catégorie la plus dommageable sur le plan financier.

Qu’est-ce que la « compromission des e-mails professionnels » ?

Le BEC est une forme d’hameçonnage où les acteurs de la menace utilisent une adresse e-mail apparemment légitime pour inciter les employés à faire quelque chose qu’ils ne devraient pas. L’adresse e-mail ressemblera à la vraie avec peut-être une lettre de moins ou proviendra d’un compte Gmail gratuit au lieu du domaine de l’entreprise. soumettre une fausse facture à partir d’une adresse e-mail apparemment authentique. Le destinataire de cet e-mail – probablement quelqu’un travaillant dans le service des comptes – le verra comme une simple facture et la paiera souvent sans trop de contrôle. Une autre forme de BEC est la fraude au PDG, dans laquelle un attaquant se fait passer pour le PDG et demande à un employé effectuer un virement bancaire en leur nom ou partager des données sensibles de l’entreprise en dehors du réseau sécurisé. Les cybercriminels font de gros efforts pour rendre les escroqueries aussi convaincantes que possible. Ils exploitent souvent une adresse e-mail similaire et effectuent des recherches pour « ressembler » davantage au PDG dans les communications. En invoquant une demande urgente du PDG, les escrocs espèrent tirer parti urgence et la peur d’atteindre leurs objectifs.La fraude à la paie est une autre utilisation répandue du BEC, où les attaquants se font passer pour un employé et demandent à quelqu’un des RH de modifier leurs informations de dépôt direct, volant ainsi les salaires des employés.Selon le FBI, il y avait plus de 20 000 incidents de BEC en 2022 aux États-Unis, totalisant 2,7 milliards de dollars de pertes et c’est exactement ce qui a été signalé. Le nombre réel est probablement beaucoup plus élevé.

Le BEC est devenu plus sophistiqué au fil des ans et nous sommes actuellement dans le «BEC 3.0” génération, avec plus de 40 000 de ces attaques ayant eu lieu au cours des deux premiers mois de 2023 seulement. BEC 1.0 s’est produit pendant la pandémie alors que les criminels cherchaient à exploiter de nouveaux environnements de travail distribués. Les employés distants étaient plus vulnérables aux attaques de phishing et créaient davantage d’opportunités d’usurpation d’identité. Dans BEC 1.0, l’e-mail de l’expéditeur se fait passer pour un collègue, une organisation partenaire ou une marque connue. Dans l’une des formes d’attaque les plus courantes, les pirates se font passer pour un PDG, souvent avec une adresse Gmail générique, demandant aux employés d’acheter des cartes-cadeaux pour un fournisseur. . Beaucoup de ces e-mails ne contiennent que du texte, ce qui nécessite des utilisateurs aux yeux d’aigle et l’utilisation sophistiquée de l’intelligence artificielle (IA) et de l’apprentissage automatique pour les perturber. BEC 1.0 a continué, mais avec des utilisateurs finaux mieux formés et davantage de couches de sécurité de messagerie adaptées pour détecter et bloquer ces attaques, leur efficacité a diminué. Dans BEC 2.0, les e-mails proviennent d’un compte compromis. Le compte peut appartenir à la même entreprise ou à un partenaire compromis, les pirates prétendant être des représentants d’entreprise pour exécuter des escroqueries sur les factures ou accéder aux informations des employés et à d’autres données sensibles. Cette itération représentait une étape de complexité car elle provient d’un compte partenaire légitime compromis. Souvent, les attaquants peuvent utiliser des fils de discussion existants du partenaire ou attendre la bonne occasion dans une conversation légitime pour essayer de détourner la conversation et tenter de monétiser sur le compte compromis. Cette année, nous avons vu une troisième vague. Dans BEC 3.0, les pirates envoient de véritables notifications à partir de services SaaS légitimes et de sites Web tels que QuickBooks, Zoom ou SharePoint. En surface, il n’y a rien d’illégitime ou de suspect dans ces communications car elles sont envoyées directement depuis le site en question. Les pirates peuvent également obtenir une usurpation d’identité précise avec des noms identiques ou similaires à l’organisation attaquée. Pour mener à bien l’attaque, ils incluent un numéro de téléphone dans la facture qui dirige vers une fausse équipe d’assistance, ce qui conduit à un appel frauduleux convaincant. Check Point Research a détecté près de 40 000 de ces attaques au cours des deux premiers mois de 2023.

Découvrir

Que fait le Forum économique mondial sur la cybersécurité ?

Le Forum économique mondial Centre de cybersécurité stimule l’action mondiale pour relever les défis systémiques de la cybersécurité. Il s’agit d’une plateforme indépendante et impartiale favorisant la collaboration en matière de cybersécurité dans les secteurs public et privé. Voici quelques exemples de l’impact généré par le centre :Formation en cybersécurité: Salesforce, Fortinet et la Global Cyber ​​Alliance, en collaboration avec le Forum, offrir une formation gratuite et accessible à la prochaine génération d’experts en cybersécurité dans le monde entier.Cyber-résilience: En collaboration avec ses partenaires, le Centre joue un rôle central dans l’amélioration de la cyber-résilience dans de multiples secteurs : Pétrole et gaz, ÉlectricitéFabrication et Aviation.Sécurité IdO: Le Conseil du Monde Connecté, piloté par le Forum, a établi des exigences de sécurité IoT pour les appareils destinés aux consommateurs, les protégeant contre les cybermenaces. Cette initiative appelle les principaux fabricants et fournisseurs du monde entier à donner la priorité à de meilleures mesures de sécurité IoT.Appel de Paris pour la confiance et la sécurité dans le cyberespace: Le Forum est fier d’être signataire de l’Appel de Paris, qui vise à assurer la paix et la sécurité numériques mondiales, en soulignant l’importance de la confiance et de la collaboration dans le cyberespace.

Contactez-nous pour plus d’informations sur la façon de s’impliquer.

Se protéger contre le BEC

La protection contre le BEC nécessite une approche à multiples facettes qui combine une technologie de pointe, la formation des employés et des politiques strictes en matière de données et de paiement.

Éducation

Les organisations doivent investir dans des programmes complets de formation des employés permettant au personnel de reconnaître et de répondre efficacement aux menaces BEC. Les employés doivent faire une pause et réfléchir au contexte de l’e-mail et s’il leur convient. Si ce n’est pas le cas, ce n’est probablement pas le cas. En comprenant les tactiques employées par les cybercriminels, les employés peuvent minimiser le risque d’être victimes de stratagèmes BEC.

Avertissement automatisé

Les protections anti-hameçonnage constituent une ligne de défense cruciale, utilisant des algorithmes d’intelligence artificielle (IA) sophistiqués pour comprendre le langage, le contexte et la relation entre l’expéditeur et le destinataire des e-mails et pour comparer ses résultats avec les communications de base. L’IA peut détecter des signaux d’alarme tels que des adresses d’expéditeur non concordantes, des numéros de téléphone compromis et des modifications du style d’écriture. L’utilisation de plusieurs modèles d’IA peut identifier les signes d’une attaque.

Authentification multifacteur

Enfin, la mise en œuvre de politiques strictes en matière de données et de paiement qui nécessitent plusieurs étapes de vérification pour les transferts d’argent ou le partage de données est essentielle. En mettant en œuvre ces mesures, les entreprises peuvent renforcer leurs défenses, en veillant à ce que les factures et les informations sensibles parviennent à destination.