Fraude du PDG ou compromis sur les e-mails professionnels

Ne laissez pas ces attaquants vous ajouter à une liste croissante de victimes.

Des milliards fraudés par le crime organisé

Le compromis sur les e-mails professionnels (BEC) est un type sophistiqué de fraude électronique qui peut prendre diverses formes. Dans une variante, appelée fraude des PDG, les groupes du crime organisé se font passer pour un fonctionnaire ou un dirigeant d’une organisation dans l’intention de tromper les employés occupant des postes financiers afin d’initier un virement de fonds urgent. En recherchant des informations publiques sur la structure organisationnelle de leur victime, en utilisant l’ingénierie sociale et en pénétrant le réseau informatique interne de leur cible, ils collectent des informations sur les relations avec les employés et identifient les procédures de sécurité. À la recherche d’opportunités spécifiques, comme un voyage d’affaires par le PDG, ils usurpent des comptes de messagerie leur permettant de se faire passer pour le PDG itinérant, demandant un virement bancaire urgent pour finaliser un accord avec un nouveau fournisseur. Le taux de réussite relativement élevé associé aux faibles risques (pour l’auteur) associés à ce type de fraude a conduit à une croissance explosive des groupes criminels organisés essayant de mettre un terme à ce type d’escroquerie.

l’arnaque BEC continue de croître, d’évoluer et de cibler les entreprises de toutes tailles. Depuis janvier 2015, les pertes exposées identifiées ont augmenté de 1 300%, totalisant désormais plus de 3 milliards de dollars.

IC3, le Centre de traitement des plaintes concernant la criminalité sur Internet du FBI 1

Pouvez-vous être une cible?

Les groupes criminels qui utilisent des escroqueries frauduleuses pour transfert de fraude ciblent les grandes et petites organisations du monde entier. Les organisations à but non lucratif, bien connues, les organisations publiques et les entreprises locales sont toutes des cibles potentielles. Comme le montre la liste ci-dessous, même les multinationales dotées d’équipes de sécurité dédiées ont été victimes, car ce type de fraude ne repose pas sur la découverte d’une faille technique pour permettre aux attaquants de lancer eux-mêmes des virements électroniques frauduleux. La fraude est basée sur le fait de tromper des personnes de l’organisation victime pour initier le transfert, estimant qu’il s’agit d’une demande légitime.

Entreprises victimes de fraude à la compromission du courrier électronique d’entreprise (BEC)

Société Montant de la fraude
Facebook et Google plus de $100 million
Ubiquiti $46.7 million
Scoular $17.2 million
KPMG €7.6 million
Mattel $3 million

Les petites entreprises sont également concernées Les petites entreprises sont également confrontées à des menaces similaires. En fait, certaines petites entreprises ne survivraient pas si elles étaient victimes de cette arnaque. Il est imprudent de croire qu’il ne nous arrivera pas, quelle que soit la taille de votre organisation. Une grande société a les ressources nécessaires pour faire appel à des entreprises spécialisées pour effectuer des examens de sécurité et des vérifications judiciaires, radier la perte, puis faire demi-tour et déposer une réclamation auprès de son assureur. Malheureusement, au moment où une petite entreprise découvre qu’elle a été victime d’une escroquerie frauduleuse de transfert de fraude, il est peut-être trop tard. Les fonds perdus ne seront probablement jamais récupérés, plaçant la petite entreprise dans une situation financière très difficile dans un laps de temps relativement court.

la perte moyenne par arnaque se situe entre 25 000 $ et 75 000 $.

IC3, le Centre de traitement des plaintes concernant la criminalité sur Internet du FBI 2

Les groupes criminels derrière ces escroqueries

Les groupes criminels qui se livrent à des escroqueries par compromission de courrier électronique professionnel peuvent être extrêmement sophistiqués. Ces groupes criminels transnationaux peuvent employer des avocats, des linguistes, des pirates et des ingénieurs sociaux. Certains ont même des complices au sein des institutions financières pour les aider à transférer rapidement le produit avant qu’il ne soit gelé et restitué aux victimes. Ils emploient diverses méthodes pour blanchir le produit, ce qui garantit que les fonds seront difficiles à récupérer. Ils perfectionnent continuellement leurs techniques pour exploiter les victimes sans méfiance, tout en gardant une longueur d’avance sur les autorités.

Technologie utilisée pour tromper les victimes Les escroqueries par compromission des e-mails professionnels peuvent prendre diverses formes. Dans presque tous les cas, les escrocs ciblent les employés ayant accès aux finances de l’entreprise. Dans ses formes courantes, telles que la fraude des PDG, les techniques modernes utilisées pour lutter contre la tromperie incluent souvent des stratagèmes en ligne tels que le spear-phishing, l’ingénierie sociale, le vol d’identité, l’usurpation d’e-mails et l’utilisation de logiciels malveillants. Dans certains cas, les criminels utiliseront des logiciels malveillants pour surveiller les communications et intercepter les avertissements ou les messages des partenaires commerciaux ou des institutions financières de la victime immédiatement après le début du virement bancaire frauduleux. Cela donne aux criminels suffisamment de temps pour transférer le produit du crime et commencer le processus de blanchiment de leurs gains, laissant peu de chance de récupérer les fonds.

Étapes générales pour éviter d’être victime

Aussi sophistiquée que soit la fraude des PDG, il existe une solution simple pour la contrecarrer: les communications face à face ou voix à voix.

La meilleure façon d’éviter d’être exploité est de vérifier l’authenticité des demandes d’envoi d’argent en entrant dans le bureau du PDG ou en lui parlant directement par téléphone. Ne comptez pas uniquement sur le courrier électronique.

Martin Licciardo, agent spécial, Bureau extérieur du FBI à Washington 1

Parler à la personne qui demande le virement bancaire et vérifier son identité devrait toujours être une priorité. Demander aux employés de ne pas se fier aux numéros de téléphone présentés dans l’e-mail de la demande est également une bonne pratique. L’employé qui reçoit une demande urgente doit demander l’aide de collègues pour vérifier qu’elle est légitime. Plus les gens examinent les demandes exceptionnelles, plus la probabilité qu’une arnaque soit découverte avant qu’il ne soit trop tard est élevée. Les systèmes et procédures peuvent être adaptés pour aider les employés à identifier les situations à haut risque et leur permettre de détecter toute demande inhabituelle. Combiner la sensibilisation des employés à la technologie pour signaler les activités suspectes contribuera grandement à protéger une organisation contre la fraude.

Comme pour d’autres types d’attaques malveillantes, plusieurs couches de sécurité sont recommandées dans le cadre d’une prévention efficace de la fraude programme:

  • Identifier les risques - Identifier les employés à haut risque
  • Définir les politiques de sécurité et de confidentialité - Définir les objectifs de sécurité financière
  • Personnaliser les programmes de formation et de sensibilisation à la sécurité - Former les employés à être conscients des drapeaux rouges
  • Gardez les systèmes d’information à jour et à jour - Réduisez les vulnérabilités qui exposent les employés aux escroqueries
  • Installer des contrôles préventifs - Détecter et prévenir les escroqueries
  • Conservez des journaux complets et des pistes d’audit - Enregistrez toutes les activités suspectes
  • Évaluez l’assurance cyber-responsabilité - Protection contre les pertes dues à la fraude

L’essentiel est de former le personnel à reconnaître les e-mails suspects et autres communications, et de leur fournir des procédures claires lors des transferts de fonds en particulier.

Si vous ou votre entreprise avez été victime d’une arnaque à la compromission des e-mails professionnels, il est important d’agir rapidement. Contactez immédiatement votre institution financière et demandez-leur de contacter l’institution financière où le virement frauduleux a été envoyé. Ensuite, appelez les autorités locales compétentes et déposez une plainte.

Si vous souhaitez plus d’informations sur la façon de protéger votre organisation contre la fraude, contactez-nous. Contactez-nous

1: IC3: Cyber-Enabled Financial Fraud on the Rise Globally.

2: FBI: FBI Warns of Dramatic Increase in Business E-Mail Scams Globally.