le FBI a mis en garde aujourd’hui contre une augmentation importante du nombre de victimes et de pertes en dollars résultant d’une escroquerie de plus en plus courante dans laquelle des escrocs usurpent les communications des dirigeants de l’entreprise victime dans le but d’initier des virements électroniques internationaux non autorisés. Selon le FBI, les voleurs ont volé près de 750 millions de dollars dans de telles escroqueries à plus de 7 000 entreprises victimes aux États-Unis. entre octobre 2013 et août 2015.
En janvier 2015, le FBI a publié des statistiques montrant qu’entre le 1er octobre 2013 et le 1er décembre 2014, quelque 1 198 entreprises ont perdu un total de 179 millions de dollars en soi-disant compromis de messagerie professionnelle (BEC) escroqueries, également connues sous le nom de «fraude au PDG». le derniers chiffres montrent une augmentation marquée de 270 % des victimes identifiées et des pertes exposées. En tenant compte des victimes internationales, les pertes dues aux escroqueries BEC totalisent plus de 1,2 milliard de dollars, a déclaré le FBI.
« L’escroquerie a été signalée dans les 50 États et dans 79 pays », note l’alerte du FBI. « Des transferts frauduleux ont été signalés à destination de 72 pays ; cependant, la majorité des transferts sont destinés à des banques asiatiques situées en Chine et à Hong Kong.
La fraude au PDG commence généralement lorsque les voleurs hameçonnent un dirigeant et accèdent à la boîte de réception de cet individu, ou envoient des e-mails aux employés à partir d’un nom de domaine ressemblant qui est à une ou deux lettres du véritable nom de domaine de l’entreprise cible. Par exemple, si le domaine de l’entreprise cible était « example.com », les voleurs pourraient enregistrer « examp1e.com » (en remplaçant la lettre « L » par le chiffre 1) ou « example.co » et envoyer des messages à partir de ce domaine.
Contrairement aux escroqueries par hameçonnage traditionnelles, les e-mails usurpés utilisés dans les stratagèmes frauduleux des PDG sont peu susceptibles de déclencher des pièges à spam, car il s’agit d’escroqueries par hameçonnage ciblées qui ne sont pas envoyées en masse par e-mail. De plus, les escrocs derrière eux prennent le temps de comprendre les relations, les activités, les intérêts et les projets de voyage et/ou d’achat de l’organisation cible.
Pour ce faire, ils extraient les adresses e-mail des employés et d’autres informations du site Web de la cible pour aider à rendre les missives plus convaincantes. Dans le cas où des cadres ou des employés voient leur boîte de réception compromise par les voleurs, les escrocs parcourront la correspondance électronique de la victime à la recherche de certains mots qui pourraient révéler si l’entreprise traite régulièrement des virements électroniques – en recherchant des messages avec des mots clés comme « facture », » dépôt » et « président ».
À première vue, les escroqueries par compromission des e-mails professionnels peuvent sembler peu sophistiquées par rapport aux stratagèmes lucratifs qui impliquent des logiciels malveillants complexes, tels que Dyre et ZeuS. Mais à bien des égards, l’attaque BEC est plus polyvalente et apte à contourner les stratégies de sécurité de base utilisées par les banques et leurs clients pour minimiser les risques associés aux prises de contrôle de compte. Dans les escroqueries par hameçonnage traditionnelles, les attaquants interagissent directement avec la banque de la victime, mais dans l’escroquerie BEC, les escrocs trompent la victime pour qu’elle le fasse à sa place.
Les escroqueries Business Email Compromise (BEC) sont plus polyvalentes et adaptatives que les escroqueries plus traditionnelles basées sur des logiciels malveillants.
Dans ces cas, les fraudeurs falsifieront l’adresse e-mail de l’expéditeur affichée au destinataire, de sorte que l’e-mail semble provenir de example.com. Dans tous les cas, cependant, l’adresse de « réponse à » est le domaine falsifié (par exemple, examp1e.com), ce qui garantit que toutes les réponses sont envoyées au fraudeur.
Les chiffres du FBI semblent indiquer que la perte moyenne par victime est d’environ 100 000 $. C’est peut-être le cas, mais certaines des escroqueries au BEC sur lesquelles j’ai écrit jusqu’à présent ont impliqué des montants beaucoup plus élevés. Plus tôt ce mois-ci, la société technologique Ubiquiti Networks a révélé dans un rapport financier trimestriel qu’elle avait subi un énorme coup de 46,7 millions de dollars à cause d’une escroquerie BEC.
En février, des escrocs ont emporté 17,2 millions de dollars auprès de l’une des plus anciennes sociétés d’Omaha, dans le Nebraska, The Scoular Co., un négociant en matières premières appartenant à ses employés. Selon Omaha.com, un dirigeant de l’entreprise de 800 employés a viré l’argent par versements l’été dernier à une banque en Chine après avoir reçu des courriels lui ordonnant de le faire.
En mars 2015, j’ai publié l’histoire Spoofing the Boss Turns Thieves a Tidy Profit, qui racontait l’expérience cauchemardesque d’une entreprise de fabrication de l’Ohio qui a failli perdre 315 000 $ après qu’une employée a reçu un e-mail qu’elle pensait provenir de son patron lui demandant de transférer l’argent en Chine pour payer certaines matières premières.
Le FBI exhorte les entreprises à adopter une authentification en deux étapes ou à deux facteurs pour le courrier électronique, le cas échéant, et/ou à établir d’autres canaux de communication, tels que les appels téléphoniques, pour vérifier les transactions importantes. Il est également conseillé aux entreprises de faire preuve de retenue lorsqu’elles publient des informations sur les activités des employés sur leurs sites Web ou via les médias sociaux, car les attaquants qui commettent ces stratagèmes essaieront souvent de découvrir des informations sur le moment où les dirigeants de l’organisation ciblée seront en voyage ou absents du bureau.
Les consommateurs ne sont pas à l’abri de ces types d’arnaques. Selon un avis connexe a publié le FBI aujourd’hui, au cours des trois mois entre le 1er avril 2015 et le 30 juin 2015, l’agence a reçu 21 plaintes de consommateurs qui ont subi des pertes de près de 700 000 $ après avoir été piratés ou usurpés par des voleurs. Le FBI a déclaré avoir identifié environ 14 millions de dollars de tentatives de pertes associées à des enquêtes ouvertes du FBI sur de tels crimes contre les consommateurs.