Rassurez-vous, votre patron ou votre supérieure hiérarchique n’est probablement pas un hacker. Cependant, lorsque vous recevez un e-mail suspect, surtout lorsque cet e-mail demande un envoi de fonds, la vigilance est de mise.
En plus des attaques de type phishing qui visent à voler des mots de passe, vous devez également être attentif à une autre menace qui peut atterrir dans votre boîte de réception. Dans le jargon, on appelle cela “Business Email Compromise” ou BEC et cela consiste à envoyer des e-mails frauduleux à la cible, en faisant croire à celle-ci que le message provient d’un collègue ou d’un supérieur.
Dans un récent article, nos confrères de Zdnet relaient une récente découverte de la société Abnormal Security. Spécialisée, justement, dans la sécurité des e-mails, celle-ci évoque une nouvelle campagne BEC particulièrement bien ficelée.
Un faux e-mail du patron qui peut coûter cher
La cible reçoit un e-mail, prétendument de son supérieur, qui inclut celle-ci dans un faux échange avec un fournisseur réclamant un paiement (histoire d’être encore plus crédible), avec une fausse facture. Bien entendu, si la cible se fait avoir, l’argent n’est pas viré vers un fournisseur, mais sur le compte des arnaqueurs.
Selon les informations d’Abnormal Security, la campagne serait active depuis juillet 2022, et aurait été lancée par un groupe localisé en Turquie. Alors que certains hacks requièrent des compétences particulières et des moyens importants, celle-ci ne nécessite qu’une connexion internet et une adresse e-mail. En revanche, pour réussir son coup, l’arnaqueur doit bien se renseigner sur sa cible.
Pourtant, les arnaques de type BEC sont difficiles à détecter par les logiciels antivirus et autres protections disponibles dans nos boîtes e-mail. En effet, ces e-mails frauduleux ne contiennent pas de liens ou de code suspects qui déclencheraient les systèmes de protection. Comme l’explique Crane Hassold, directeur du renseignement sur les menaces chez Abnormal Security, “la plupart des attaques BEC ne sont rien de plus qu’une pure ingénierie sociale basée sur du texte.”
BEC : des milliards de dollars de pertes aux États-Unis
Pourtant, ces attaques de ce type, relativement simples à réaliser, font de gros ravages. Selon un document du FBI, aux États-Unis, les attaques BEC/EAC ont causé des pertes estimées à 2,4 milliards de dollars rien qu’en 2021.
Pour vous protéger, la première chose à faire est de vérifier que l’adresse qui vous a envoyé l’e-mail est correcte. Parfois, ces arnaques sont envoyées depuis des adresses légèrement différentes de celles de votre collègue ou de votre supérieur. Et si vous n’êtes pas vigilant, vous pouvez vous faire piéger.
Mais il est également à noter que parfois, pour demander ces envois de fonds, les arnaqueurs peuvent utiliser la véritable adresse e-mail d’un collègue, si celle-ci a été piratée.
“L’escroquerie est fréquemment réalisée lorsqu’un sujet compromet des comptes de messagerie professionnels légitimes par le biais de techniques d’ingénierie sociale ou d’intrusion informatique pour effectuer des transferts de fonds non autorisés”, indique même le FBI, à ce sujet.
Dans le doute, le mieux est toujours de vérifier par un autre moyen de communication, comme un texto ou un appel.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
