le Bureau fédéral d’enquête des États-Unis (FBI) a mis en garde cette semaine contre une augmentation «spectaculaire» de la soi-disant «fraude au PDG», des escroqueries par courrier électronique dans lesquelles l’attaquant usurpe un message du patron et trompe quelqu’un de l’organisation pour qu’il transfère des fonds aux fraudeurs. Le FBI estime que ces escroqueries ont coûté aux organisations plus de 2,3 milliards de dollars de pertes au cours des trois dernières années.
Dans une alerte publié sur son site, le FBI a déclaré que depuis janvier 2015, l’agence a constaté une augmentation de 270% des victimes identifiées et des pertes exposées à la suite d’escroqueries au PDG. L’alerte a noté que les forces de l’ordre dans le monde ont reçu des plaintes de victimes dans tous les États américains et dans au moins 79 pays.
Une attaque de fraude typique du PDG. Image : Phishmé
La fraude au PDG commence généralement lorsque les voleurs hameçonnent un dirigeant et accèdent à la boîte de réception de cet individu, ou envoient des e-mails aux employés à partir d’un nom de domaine ressemblant à une ou deux lettres du véritable nom de domaine de l’entreprise cible. Par exemple, si le domaine de l’entreprise cible était « example.com », les voleurs pourraient enregistrer « examp1e.com » (en remplaçant la lettre « L » par le chiffre 1) ou « example.co » et envoyer des messages à partir de ce domaine.
Contrairement aux escroqueries par hameçonnage traditionnelles, les e-mails usurpés utilisés dans les stratagèmes frauduleux des PDG déclenchent rarement des pièges à spam, car il s’agit d’escroqueries par hameçonnage ciblées qui ne sont pas envoyées en masse par e-mail. De plus, les escrocs derrière eux prennent le temps de comprendre les relations, les activités, les intérêts et les projets de voyage et/ou d’achat de l’organisation cible.
Pour ce faire, ils extraient les adresses e-mail des employés et d’autres informations du site Web de la cible pour aider à rendre les missives plus convaincantes. Dans le cas où des cadres ou des employés voient leur boîte de réception compromise par les voleurs, les escrocs parcourront la correspondance électronique de la victime à la recherche de certains mots qui pourraient révéler si l’entreprise traite régulièrement des virements électroniques – en recherchant des messages avec des mots clés comme « facture », » dépôt » et « président ».
À première vue, les escroqueries par compromission des e-mails professionnels peuvent sembler peu sophistiquées par rapport aux stratagèmes lucratifs qui impliquent des logiciels malveillants complexes, tels que Dyre et ZeuS. Mais à bien des égards, la fraude au PDG est plus polyvalente et apte à contourner les stratégies de sécurité de base utilisées par les banques et leurs clients pour minimiser les risques associés aux prises de contrôle de compte. Dans les escroqueries par hameçonnage traditionnelles, les attaquants interagissent directement avec la banque de la victime, mais dans l’arnaque du PDG, les escrocs trompent la victime pour qu’elle le fasse à sa place.
Le FBI estime que les organisations victimes d’attaques frauduleuses de PDG perdent en moyenne entre 25 000 et 75 000 dollars. Mais certains incidents de fraude de PDG au cours de l’année écoulée ont coûté aux entreprises victimes des millions, voire des dizaines de millions de dollars.
Le mois dernier, l’Associated Press a écrit ce fabricant de jouets Mattel a perdu 3 millions de dollars en 2015 grâce à une escroquerie par hameçonnage. En 2015, une entreprise technologique Ubiquiti a révélé dans un rapport financier trimestriel qu’il avait subi un énorme coup de 46,7 millions de dollars en raison d’une arnaque frauduleuse du PDG. En février 2015, des escrocs par e-mail ont empoché 17,2 millions de dollars grâce à La société Scoular., un négociant en matières premières appartenant à ses employés. Plus récemment, j’ai écrit sur un stratagème légèrement plus complexe de fraude au PDG qui incorporait un faux appel téléphonique d’un hameçonneur se faisant passer pour un comptable chez KPMG.
Le FBI exhorte les entreprises à adopter une authentification en deux étapes ou à deux facteurs pour le courrier électronique, le cas échéant, et à établir d’autres canaux de communication, tels que les appels téléphoniques, pour vérifier les transactions importantes. Il est également conseillé aux entreprises de faire preuve de retenue lorsqu’elles publient des informations sur les activités des employés sur leurs sites Web ou via les médias sociaux, car les attaquants qui commettent ces stratagèmes essaieront souvent de découvrir des informations sur le moment où les dirigeants de l’organisation ciblée seront en voyage ou absents du bureau.
Pour un exemple de ce à quoi ressemblent certaines de ces escroqueries de PDG, consultez ce post d’une entreprise d’éducation et de sensibilisation à la sécurité Phishmé sur les escrocs essayant de cibler la direction de l’entreprise.
Je suis toujours étonné d’entendre des professionnels de la sécurité que je connais et que je respecte faire des commentaires suggérant que le phishing et le spam sont des problèmes résolus. La bonne combinaison de régimes de liste noire et de validation des e-mails comme DKIM et FPS peut bloquer la grande majorité de ces déchets, affirment ces experts.
Mais les attaques frauduleuses des PDG réussissent parce qu’elles reposent presque entièrement sur le fait d’inciter les employés à ignorer ou à contourner certaines précautions de sécurité très élémentaires. Éduquer les employés afin qu’ils soient moins susceptibles de tomber dans ces escroqueries ne bloquera pas toutes les attaques d’ingénierie sociale, mais cela devrait aider. N’oubliez pas que les attaquants testent constamment la sensibilisation des utilisateurs à la sécurité. Les organisations pourraient tout aussi bien faire de même, en utilisant des tests périodiques pour identifier les utilisateurs problématiques et pour placer des contrôles de sécurité supplémentaires sur ces personnes.