Ils ont l'air innocent. Ils ressemblent à des courriels émanant d'un dirigeant destiné à un PDG ou d'un PDG destiné à un financier. En bref, les courriels sont plus de nature commerciale. Si votre PDG vous envoie un courrier électronique vous demandant de fournir des détails sur vos impôts, quelle est la probabilité que vous lui fournissiez tous les détails? Avez-vous une idée de la raison pour laquelle le PDG serait intéressé par vos détails fiscaux? Voyons comment Compromission des courriels professionnels se passe, comment les gens sont pris pour un tour et quelques points plus tard sur la façon de gérer la menace.
Compromission des courriels professionnels
Les arnaques de compromission de courrier électronique d’entreprise exploitent généralement les vulnérabilités de différents clients de messagerie et donnent l’impression qu’un courrier ressemble à un expéditeur de confiance de votre organisation ou de votre associé.
Perte estimée au cours des trois dernières années en raison d'une compromission dans le courrier électronique professionnel
Entre 2013 et 2015, les entreprises de 79 pays ont été dupées - les États-Unis, le Canada et l'Australie se situant au sommet. Les données de 2015 à 2016 ne sont pas encore disponibles mais pourraient avoir augmenté, à mon avis, car les cybercriminels sont plus actifs que jamais. Avec des choses telles que l'usurpation de courrier électronique et le ransomware IoT, ils peuvent gagner autant d'argent qu'ils le souhaitent. Je ne couvrirai pas les ransomwares dans cet article; va juste s'en tenir à BEC (Compromis Courriel Professionnel).
Si vous souhaitez savoir combien d'argent a été escroqué des 79 pays entre 2013 et 2015, le chiffre est…
$ 3,08,62,50,090
… De 22 000 entreprises dans 79 pays! La plupart de ces pays appartiennent au monde développé.
Comment ça marche?
Nous avons parlé de spoofing email plus tôt. C’est la méthode pour truquer l’adresse de l’expéditeur. En utilisant des vulnérabilités dans différents clients de messagerie, les cybercriminels donneront l’impression que le courrier provient d’un expéditeur de confiance - une personne de votre bureau ou une personne de vos clients.
Outre l'utilisation d'usurpation de courrier électronique, les cybercriminels compromettent parfois les identifiants de courrier électronique de différentes personnes de votre bureau et les utilisent pour vous envoyer un courrier qui semble provenir d'une autorité et qui nécessite une attention prioritaire.
L'ingénierie sociale aide également à extraire les identifiants de messagerie, puis les détails et l'argent de l'entreprise. Par exemple, si vous êtes caissier, vous pouvez recevoir un courrier électronique du fournisseur ou un appel vous demandant de modifier le mode de paiement et de créditer les montants futurs sur un nouveau compte bancaire (appartenant aux cybercriminels). Étant donné que le courrier électronique semble provenir du fournisseur, vous le croirez au lieu de procéder à une vérification croisée. De tels actes sont appelés gréement de facture ou Escroqueries de factures factices.
De même, vous pouvez recevoir un e-mail de votre supérieur vous demandant de lui envoyer vos coordonnées bancaires ou les informations de votre carte. Les criminels peuvent citer n'importe quelle raison, par exemple pour déposer de l'argent sur votre compte ou votre carte. Comme l’email provient ou semble provenir du chef, vous n’y réfléchirez pas et vous y répondriez dès que possible.
D'autres cas ont été détectés dans lesquels un PDG d'une entreprise vous envoie un courrier électronique vous demandant les coordonnées de vos collègues. L'idée est d'utiliser l'autorité des autres pour vous escroquer, vous et votre entreprise. Que ferez-vous si vous recevez un e-mail de votre PDG indiquant qu'il a besoin de transférer des fonds sur un compte donné? Ne suivriez-vous pas les protocoles associés? Alors pourquoi le PDG les at-il contournés? Comme je l'ai dit plus tôt, les cybercriminels utilisent l'autorité de quelqu'un dans votre entreprise pour vous inciter à donner des informations cruciales et de l'argent.
Business Email Compromise: Comment prévenir?
Il devrait exister un système capable de rechercher certains mots ou certaines phrases et, en fonction des résultats, de classer et de supprimer les faux courriels. Certains systèmes utilisent cette méthode pour détourner les spams et les pourriels.
Dans le cas d’escroqueries de compromission commerciale ou de fraudes de PDG, il devient difficile de scanner et d’identifier les faux courriers électroniques pour les raisons suivantes:
- Ils sont personnalisés et semblent originaux
- Ils proviennent d'un identifiant de messagerie approuvé
La meilleure méthode pour éviter toute compromission des e-mails professionnels consiste à informer les employés et à leur demander de s’assurer que les protocoles correspondants sont transférés. Si un caissier voit un courrier électronique de son chef lui demandant de transférer des fonds sur un compte donné, il doit appeler le chef pour savoir s'il souhaite réellement que les fonds soient transférés sur un compte bancaire apparemment étranger. Effectuer un appel de confirmation ou écrire un courrier électronique supplémentaire aide les employés à savoir si certaines tâches doivent être effectuées ou s'il s'agit d'un faux courrier électronique.
Étant donné que chaque entreprise a son propre ensemble de règles, les personnes concernées doivent vérifier si le protocole correspondant est suivi. Par exemple, il peut être nécessaire que le PDG envoie un courrier électronique au service des finances et au caissier s’il a besoin d’argent. Si vous voyez que le PDG a contacté directement le caissier et qu'il n'a envoyé aucun bon ou lettre au service de la comptabilité, il y a de fortes chances qu'il s'agisse d'un faux courrier électronique. Ou si rien ne dit pourquoi le PDG transfère de l'argent sur un compte, il y a quelque chose qui ne va pas. Un relevé aide le service de comptabilité à équilibrer les livres. En l'absence d'une telle déclaration, ils ne peuvent pas créer une entrée correcte dans le grand livre de bureau.
Vous pouvez également: éviter les comptes de messagerie gratuits sur le Web et faire attention à ce qui est publié sur les réseaux sociaux et les sites Web des entreprises. Créez des règles système de détection d'intrusion qui marquent les courriers électroniques avec des extensions similaires au courrier électronique de l'entreprise.
Ainsi, la méthode de base la plus efficace pour éviter toute compromission des e-mails professionnels consiste à rester vigilant. Cela se traduit par une formation du personnel sur les problèmes possibles et sur la manière de procéder à des vérifications croisées, etc.C'est également une bonne pratique de ne pas discuter des détails de l'entreprise avec des inconnus qui n'ont rien à voir avec l'entreprise.
Si vous êtes victime de ce type d’e-mail, vous voudrez peut-être déposer une plainte auprès de IC3.gov.
