Le Federal Bureau of Investigation met en garde les entreprises aux États-Unis contre les acteurs de la menace qui utilisent des tactiques similaires à la compromission des e-mails professionnels qui permettent à des acteurs moins techniques de voler divers biens aux fournisseurs.
Les attaques typiques de compromission des e-mails professionnels (BEC) se concentrent sur le vol d’argent en incitant la victime à détourner des fonds vers le compte du fraudeur.
En 2021, les pertes associées aux programmes BEC ont atteint près de 2,4 milliards de dollars rien qu’aux États-Unis. Le chiffre est basé uniquement sur les plaintes reçues par le FBI cette année-là, près de 20 000.
Dans le type de fraude observé par le FBI, l’auteur de la menace emploie de faux schémas d’acquisition pour obtenir divers produits auprès de fournisseurs à travers le pays.
Des fraudeurs qualifiés
Dans une alerte vendredi, le FBI note que des acteurs criminels usurpent l’identité des domaines de messagerie d’entreprises basées aux États-Unis pour initier des achats groupés.
Les fraudeurs sont assez diligents pour utiliser des e-mails usurpés avec les noms de vrais employés, actuels ou anciens, des entreprises qu’ils se font passer pour.
« Ainsi, les vendeurs victimes supposent qu’ils effectuent des transactions commerciales légitimes en remplissant les bons de commande pour la distribution », explique l’agence.
Selon le FBI, parmi les biens disponibles dans le commerce visés par ce type de fraude figurent les matériaux de construction, les fournitures agricoles, le matériel informatique et les produits d’énergie solaire.
Bien que les compétences techniques requises pour usurper une adresse e-mail soient très faibles, il semble que les acteurs soient des fraudeurs qualifiés connaissant bien les paiements commerciaux et la manière de dissimuler la tricherie.
Le FBI affirme que les acteurs criminels retarderaient également la découverte de l’escroquerie en demandant un crédit (conditions Net-30 et Net-60) au vendeur sur la base de fausses références et de formulaires W-9 contrefaits contenant des informations sur les revenus.
Après s’être vu accorder un délai de remboursement de crédit de 30 ou 60 jours, les fraudeurs peuvent lancer des commandes d’achat supplémentaires sans avoir à payer d’avance.
Le FBI recommande aux fournisseurs de vérifier la source d’un e-mail avant d’accepter une transaction. Ils peuvent extraire les coordonnées de l’acheteur d’une source fiable (par exemple, le site Web de l’entreprise, les médias sociaux ou les bases de données en ligne) et les appeler directement pour s’enquérir de l’intention d’achat.