Cabinet de réseautage Réseaux Ubiquiti Inc. a révélé cette semaine que des cyber-voleurs ont récemment volé 46,7 millions de dollars en utilisant une escroquerie de plus en plus courante dans laquelle des escrocs usurpent les communications des dirigeants de l’entreprise victime dans le but d’initier des virements électroniques internationaux non autorisés.
Ubiquiti, un fabricant de technologies de réseautage basé à San Jose pour les fournisseurs de services et les entreprises, a révélé l’attaque en un rapport financier trimestriel déposée cette semaine auprès du Commission américaine des valeurs mobilières et des échanges (SEC). La société a déclaré avoir découvert la fraude le 5 juin 2015 et que l’incident impliquait l’usurpation d’identité d’un employé et des demandes frauduleuses d’une entité extérieure ciblant le service financier de la société.
« Cette fraude a entraîné des transferts de fonds totalisant 46,7 millions de dollars détenus par une filiale de la société constituée à Hong Kong vers d’autres comptes à l’étranger détenus par des tiers », a écrit Ubiquiti. « Dès que la Société a eu connaissance de cette activité frauduleuse, elle a pris contact avec la banque de sa filiale de Hong Kong et a rapidement engagé des poursuites judiciaires dans diverses juridictions étrangères. Grâce à ces efforts, la Société a récupéré 8,1 millions de dollars sur les montants transférés.
Connue sous le nom de «fraude au PDG» et de «compromis par courrier électronique professionnel», l’escroquerie qui a frappé Ubiquiti est une escroquerie sophistiquée et de plus en plus courante ciblant les entreprises travaillant avec des fournisseurs étrangers et / ou des entreprises qui effectuent régulièrement des paiements par virement bancaire. En janvier 2015, le FBI a averti que des cybervoleurs avaient volé près de 215 millions de dollars à des entreprises au cours des 14 mois précédents par le biais de telles escroqueries, qui commencent lorsque des escrocs usurpent ou détournent les comptes de messagerie de dirigeants ou d’employés.
En février, des escrocs emporté 17,2 millions de dollars de l’une des plus anciennes entreprises d’Omaha, Nebraska — La société Scoular., un négociant en matières premières appartenant à ses employés. Selon Omaha.com, un dirigeant de l’entreprise de 800 employés a viré l’argent par versements l’été dernier à une banque en Chine après avoir reçu des courriels lui ordonnant de le faire.
En mars 2015, j’ai publié l’histoire Spoofing the Boss Turns Thieves a Tidy Profit, qui racontait l’expérience cauchemardesque d’une entreprise manufacturière de l’Ohio qui a failli perdre 315 000 $ après qu’une employée a reçu un e-mail qu’elle pensait provenir de son patron lui demandant de transférer l’argent en Chine pour payer certaines matières premières.
Ubiquiti n’a pas révélé précisément comment il a été victime d’une arnaque, mais la fraude du PDG commence généralement par le fait que les voleurs hameçonnent un dirigeant et accèdent à la boîte de réception de cet individu, ou envoient des e-mails aux employés à partir d’un nom de domaine ressemblant à une ou deux lettres du véritable nom de domaine de la société cible. Par exemple, si le domaine de l’entreprise cible était « example.com », les voleurs pourraient enregistrer « examp1e.com » (en remplaçant la lettre « L » par le chiffre 1) ou « example.co » et envoyer des messages à partir de ce domaine.
Dans ces cas, les fraudeurs falsifieront l’adresse e-mail de l’expéditeur affichée au destinataire, de sorte que l’e-mail semble provenir de example.com. Dans tous les cas, cependant, l’adresse de « réponse à » est le domaine falsifié (par exemple, examp1e.com), ce qui garantit que toutes les réponses sont envoyées au fraudeur.
Dans le cas de l’entreprise de fabrication de l’Ohio mentionnée ci-dessus, qui a failli perdre 315 000 $, cette société a déterminé que les fraudeurs avaient enregistré quelques heures seulement avant l’attaque le faux domaine et le compte de messagerie associé avec Vistaprintqui offre un essai gratuit d’un mois aux entreprises qui souhaitent créer rapidement un site Web.
Ubiquiti a déclaré qu’en plus des 8,1 millions de dollars déjà récupérés, quelque 6,8 millions de dollars des montants transférés font actuellement l’objet d’une injonction légale et devraient raisonnablement être récupérés. Il a ajouté qu’une enquête interne achevée le mois dernier n’a révélé aucune preuve que ses systèmes ont été pénétrés ou que des informations sur l’entreprise, y compris nos informations financières et de compte, ont été consultées. De même, l’enquête n’a rapporté aucune preuve d’implication criminelle des employés dans la fraude.
« La société continue de poursuivre le recouvrement des 31,8 millions de dollars restants et coopère avec les autorités fédérales américaines et de nombreuses autorités chargées de l’application des lois à l’étranger qui mènent activement une enquête criminelle multi-agences », indique le dossier 10-K. « La société peut être limitée dans les informations qu’elle peut divulguer en raison de l’enquête en cours. La société pense actuellement qu’il s’agit d’un événement isolé et ne pense pas que ses systèmes technologiques aient été compromis ou que les données de la société aient été exposées.
L’avis du FBI sur ces escroqueries exhorte les entreprises à adopter authentification en deux étapes ou à deux facteurs pour les e-mails, le cas échéant, et/ou pour établir d’autres canaux de communication, tels que les appels téléphoniques, afin de vérifier les transactions importantes. Il est également conseillé aux entreprises de faire preuve de retenue lorsqu’elles publient des informations sur les activités des employés sur leurs sites Web ou via les médias sociaux, car les attaquants qui commettent ces stratagèmes essaieront souvent de découvrir des informations sur le moment où les dirigeants de l’organisation ciblée seront en voyage ou absents du bureau.
Ubiquiti a noté qu’à la suite de son enquête, la société et son comité d’audit et ses conseillers ont conclu que son contrôle interne sur l’information financière était inefficace en raison d’une ou plusieurs faiblesses importantes, bien qu’il n’ait pas divulgué les mesures qu’il avait prises pour fermer ces sécurité lacunes.
« La société a mis en place des contrôles internes renforcés sur les rapports financiers depuis le 5 juin 2015 et est en train de mettre en place des procédures et des contrôles supplémentaires conformément aux recommandations de l’enquête », a-t-il déclaré.
Il existe probablement des scénarios dans lesquels des e-mails légitimes entre deux parties portent des adresses d’affichage et de « réponse » différentes. Mais si le message implique également un domaine « répondre à » qui n’a pratiquement aucune réputation (il a été enregistré dans les heures ou les jours suivant l’envoi du message), les chances que l’e-mail soit frauduleux augmentent considérablement.
Contrairement aux escroqueries par hameçonnage traditionnelles, les e-mails usurpés utilisés dans les stratagèmes frauduleux des PDG sont peu susceptibles de déclencher des pièges à spam, car il s’agit d’escroqueries par hameçonnage ciblées qui ne sont pas envoyées en masse par e-mail. De plus, les escrocs derrière eux prennent le temps de comprendre les relations, les activités, les intérêts et les projets de voyage et/ou d’achat de l’organisation cible.
Pour ce faire, ils extraient les adresses e-mail des employés et d’autres informations du site Web de la cible pour aider à rendre les missives plus convaincantes. Dans le cas où des cadres ou des employés voient leur boîte de réception compromise par les voleurs, les escrocs parcourront la correspondance électronique de la victime à la recherche de certains mots qui pourraient révéler si l’entreprise traite régulièrement des virements électroniques – en recherchant des messages avec des mots clés comme « facture », » dépôt » et « président ».
À première vue, les escroqueries par compromission des e-mails professionnels peuvent sembler peu sophistiquées par rapport aux stratagèmes lucratifs qui impliquent des logiciels malveillants complexes, tels que Dyre et ZeuS. Mais à bien des égards, l’attaque BEC est plus polyvalente et apte à contourner les stratégies de sécurité de base utilisées par les banques et leurs clients pour minimiser les risques associés aux prises de contrôle de compte. Dans les escroqueries par hameçonnage traditionnelles, les attaquants interagissent directement avec la banque de la victime, mais dans l’escroquerie BEC, les escrocs trompent la victime pour qu’elle le fasse à sa place.
Coup de chapeau à Brian Honan de CSO Online, qui a repéré ce dossier jeudi. Mise à jour, 04h20 ET : Correction de l’orthographe dans plusieurs cas du nom de la société de mise en réseau.