Un ressortissant nigérian a été arrêté au Ghana et fait face à des accusations liées à des attaques de compromission de messagerie professionnelle (BEC) qui ont fait perdre plus de 7,5 millions de dollars à une organisation caritative aux États-Unis.

Olusegun Samson Adejorin a été arrêté le 29 décembre pour avoir fraudé deux organisations caritatives du Maryland et de New York, selon un acte d’accusation du grand jury fédéral de huit chefs d’accusation aux États-Unis.

Plus précisément, Adejorin fait face à des accusations de fraude électronique, de vol d’identité aggravé et d’accès non autorisé à un ordinateur protégé lié à des attaques visant deux organisations caritatives basées au Maryland, aboutissant au détournement de 7,5 millions de dollars.

Voler des millions
Dans une annonce cette semaine, le département américain de la Justice (DoJ) a déclaré que le stratagème de fraude d’Adejorin s’était produit entre juin et août 2020 et impliquait un accès non autorisé à des comptes de messagerie ainsi que l’usurpation d’identité d’employés..

Se faisant passer pour un employé d’un organisme de bienfaisance (Victime 2), Adejorin a demandé des retraits importants de fonds de l’autre organisme de bienfaisance (Victime 1), qui fournissait des services d’investissement à la victime 2.

Pour traiter avec succès les retraits de plus de 10 000$, Adejorin a utilisé des informations d’identification volées pour envoyer des courriels à partir des comptes des employés qui devaient approuver les transactions.

« Dans le cadre de ce stratagème, Adejorin aurait également acheté un outil de collecte d’informations d’identification conçu pour voler les identifiants de connexion aux e-mails, enregistré des noms de domaine usurpés et dissimulé les e-mails frauduleux à un employé légitime en faisant déplacer les e-mails frauduleux vers un emplacement discret dans la boîte aux lettres de l’employé 1. »- Département de la Justice des États-Unis
À la suite de ces actions, Adejorin a réussi à inciter la victime 1 à transférer 7,5 millions de dollars sur des comptes bancaires contrôlés par l’attaquant, alors que l’organisation pensait déposer les montants sur des comptes bancaires légitimes de la victime 2.

Adejorin encourt une peine maximale de 20 ans pour fraude électronique, cinq ans pour accès non autorisé à un ordinateur protégé et une peine obligatoire de deux ans pour vol d’identité aggravé.

L’annonce du DoJ américain note également que la peine peut être prolongée de sept ans pour enregistrement malveillant et utilisation d’un nom de domaine.

Les attaques BEC, également connues sous le nom de fraude au PDG, peuvent entraîner des dommages financiers importants. L’été dernier, un rapport du FBI a noté que la compromission du courrier électronique professionnel avait causé des milliards de dollars américains de pertes.

Certaines mesures de défense raisonnables à envisager incluent la mise en œuvre d’une authentification multifacteur pour réduire la probabilité d’accès non autorisé au compte, l’utilisation du filtrage des e-mails pour détecter et bloquer les tentatives d’hameçonnage, et l’établissement d’une procédure de vérification qui sous-tend les demandes de virement bancaire et implique l’utilisation d’un canal de communication secondaire.

En cas de demandes suspectes telles que la modification des coordonnées bancaires, il suffit d’appeler le partenaire sur un numéro prédéterminé pour confirmer l’action peut aider à économiser des millions.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *