Les comptes de messagerie piratés et hameçonnés servent de plus en plus de terrain de prédilection pour les stratagèmes de fraude bancaire ciblant les petites entreprises. Les escroqueries sont résolument low-tech et entraînent souvent des pertes de quelques milliers de dollars seulement, mais les attaques réussissent souvent car elles exploitent les relations de confiance existantes entre les banques et leurs clients.
Le mois dernier, des escrocs ont piraté des comptes de messagerie privés appartenant à trois clients différents de Banque nationale de l’Ouest, une petite institution financière avec sept succursales dans le centre et l’ouest du Texas. Dans chaque cas, les voleurs ont pu voir que la victime avait précédemment communiqué avec le personnel de la banque par e-mail.
Les attaquants ont ensuite créé l’e-mail suivant, l’envoyant au personnel de la succursale bancaire WNB locale respective de chaque victime.
Bonjour,
Pouvez-vous s’il vous plaît me mettre à jour avec le solde disponible sur mon compte et également les informations nécessaires pour effectuer un virement bancaire sortant pour moi aujourd’hui, je suis en route pour les funérailles de mon neveu, mais je vérifierai souvent mon courrier pour votre réponse.
Merci.
Wade Kühler, vice-président exécutif de WNB, a déclaré que le personnel de la banque avait donné suite à deux des demandes, ignorant la demande de ne pas contacter le client par téléphone. Dans les deux cas, les clients étaient reconnaissants du contact, affirmant qu’ils n’avaient pas envoyé une telle demande.
Mais les voleurs ont frappé à la troisième tentative, lorsqu’un associé sympathique de la banque a répondu au message avec les informations demandées sur le solde. L’e-mail de suivi des voleurs comprenait des instructions pour virer de l’argent sur un compte d’une autre banque, et l’assistant a traité le transfert de manière utile.
Kuehler a déclaré que WNB avait assumé la responsabilité de la perte, qu’il ne décrirait que comme « petite », et que l’employé avait fait l’objet de mesures disciplinaires. « Ce client particulier avait [an email history] avec un agent de compte qui faisait ce qu’elle croyait être son travail : prendre soin du client. »
Kuehler a ajouté qu’il avait entendu parler d’autres banques – en particulier d’autres petites institutions régionales – qui ont également fait l’objet de telles attaques récemment.
« Le fil conducteur est qu’il s’agit de comptes de messagerie légitimes qui ont été piratés », a-t-il déclaré. « Le pirate envoie ensuite un e-mail à toute personne du carnet d’adresses qui semble être associée à une banque. »
JB Snyderdirecteur et PDG de Bancsec une société spécialisée dans la sécurité des réseaux et les tests d’intrusion pour les banques, a déclaré que ces attaques – même celles exécutées avec autant de négligence que l’e-mail ci-dessus – fonctionnent parce qu’elles ciblent la vulnérabilité de sécurité la plus ancienne et la plus fiable au monde : l’exploitation des relations de confiance, alias « l’ingénierie sociale ». ”
« Ce qui est fou, c’est que même ce programme hokey fonctionne suffisamment pour être rentable », a déclaré Snyder. « Nous l’avons prouvé avec des vecteurs similaires. L’essentiel est qu’un pourcentage géant des affaires d’aujourd’hui est effectué uniquement par e-mail sans autre vérification, de sorte que les possibilités sont infinies.
Les comptes de messagerie sont généralement piratés de l’une des trois manières suivantes : par hameçonnage, logiciel malveillant ou via des attaques de devinette/réinitialisation de mot de passe par force brute. Pour contourner les attaques de phishing, évitez de cliquer sur les liens dans les e-mails (les liens piégés conduisent également fréquemment à des logiciels malveillants) et ne vous connectez aux comptes qu’après avoir chargé la page de connexion à partir d’un signet de navigateur local. Les 3 règles de base de breachtrace pour la sécurité en ligne évitent à la plupart des utilisateurs d’avoir des problèmes avec les logiciels malveillants. Pour obtenir des conseils sur la sélection de mots de passe forts, consultez cet abécédaire.