Enfant, on nous a appris à ne jamais faire confiance à des inconnus. Une règle de bon sens et qui rendait sans aucun doute la vie plus facile parce que la menace ne pouvait pas venir d’une source proche et amie.
Cela n’est plus de mise aujourd’hui. Ou plutôt, les choses ont changé. Parce que s’il est bon de continuer à ne pas faire confiance aux inconnus, il faut aussi se préparer au pire avec ceux que nous connaissons très bien. Un principe qui devrait devenir un mantra pour tous ceux qui chaque jour viennent sur le Web et qui s’applique également aux rôles de plus grande responsabilité d’une entreprise ou d’une institution. Oui, parce que parmi les cyber-escroqueries les plus populaires de ces derniers temps, il y a le Business Email Compromise (BEC), également appelé plus familièrement « arnaque au président ».
Une arnaque en constante évolution qui continue de faire des victimes
Il s’agit d’attaques qui ont une cible particulière : les « C-levels », c’est-à-dire les gestionnaires qui, au sein d’une entreprise, sont capables de faire circuler de l’argent et d’autoriser le paiement de virements en ligne. L’appropriation de leur identité est fondamentale pour demander à la personne responsable dans l’entreprise d’effectuer un paiement urgent d’une importance fondamentale. Inutile de dire que la somme à verser sur le compte courant indiqué dans le courriel s’avérera ensuite appartenir à une organisation criminelle, mais il sera alors trop tard.
Ce qu’il y a de bien (pour ainsi dire), c’est qu’avec les dernières techniques de deep fake, qui s’affinent de plus en plus, les cybercriminels parviennent à reproduire la voix de n’importe qui, réussissant ainsi à tromper facilement ceux qui reçoivent la communication. L’arnaque au président continue ainsi à se perfectionner, et quand c’est le chef lui-même qui fait la demande vocale, la tromperie est « presque » parfaite.
À tout cela, il faut ajouter les techniques d’ingénierie sociale de plus en plus sophistiquées grâce auxquelles les pirates obtiennent les informations sur les victimes potentielles, nécessaires pour optimiser et finaliser leurs activités criminelles.
Le succès des escroqueries BEC exige, en effet, en plus du vol de l’identité du C-level, également la connaissance détaillée de l’identité des fonctionnaires à impliquer, du ton, du phrasé et du jargon de communication utilisés. Tout pour rendre absolument crédible la demande d’un bon de commande ou le paiement d’une facture.
Quels sont les risques ? Pertes de données importantes, violation des systèmes de cybersécurité et dommages économiques importants.
Selon le dernier rapport du FBI sur la criminalité sur Internet pour 2020, ce type de crime a coûté aux entreprises affectées plus de 1,8 milliard de dollars, soit 44 % de toutes les pertes signalées par les entreprises et les particuliers l’année dernière.
C’est le FBI lui-même qui a mis en garde contre l’évolution des attaques de type BEC. Ceux-ci peuvent aller de l’usurpation d’identité, à la violation des comptes de messagerie électronique des dirigeants, des demandes de virements bancaires vers des comptes frauduleux, au détournement de salaire, des demandes de cartes-cadeaux, au détournement de livraisons.
Last but not least, les fraudes liées aux factures fournisseurs, qui s’avèrent être la cause des pertes les plus importantes.
En bref, la dernière évolution de ce crime est qu’au lieu de cibler directement les entreprises, les attaques ciblent de plus en plus les clients, les départements RH, les fournisseurs, les comptables, les cabinets d’avocats et même les autorités fiscales. En plus de générer ou de détourner directement des transactions en devises, les escroqueries BEC ont été utilisées pour détourner les déclarations de revenus et même transférer du matériel et de l’équipement pour des millions de dollars sous le contrôle de cybercriminels.
Rares sont les structures qui y ont échappé jusqu’à présent. Ce type d’escroquerie a en effet touché dans le monde entier 70 % des entreprises et organismes dans tous les secteurs, publics et privés.
À ce stade, la question se pose spontanément : comment s’en protéger ?
Tout d’abord, ayant bien à l’esprit que de nos jours, il est préférable d’être très prudent et de réfléchir attentivement avant d’agir, même si c’est notre patron ou le plus fidèle de nos fournisseurs qui nous écrit. En outre, nous rappelons l’importance d’une formation efficace et continue sur les thèmes de la sensibilisation à la cybersécurité, sans jamais oublier de suivre quelques conseils utiles :
- ne jamais perdre de vue de ce que l’on fait et ne jamais agir avec précipitation et distraction ;
- toujours procéder aux vérifications nécessaires avant de lancer des actions qui pourraient avoir des conséquences irréversibles ;
- ne jamais cesser de pratiquer une formation de qualité, à la fois théorique et pratique.
Les cybercriminels se glissent astucieusement dans les fissures de la distraction et de l’inconscience. Ces fissures, avec autant de ruse, doivent être maintenues hermétiquement fermées.
En savoir plus sur les parcours de formation de Cyber Guru
