Compromis de messagerie professionnelle (BEC)
On parle de compromission de la messagerie électronique professionnelle (Business-E-Mail-Compromise ou BEC) lorsque la messagerie électronique est infiltrée, compromise ou manipulée.
Le fait qu’une personne se fasse passer pour une personne de l’entreprise dans le but d’inciter le destinataire à partager des informations confidentielles, à effectuer des transactions financières ou à réaliser d’autres actions qui compromettent durablement la sécurité de l’entreprise fait également partie du BEC.
Les cybercriminels utilisent différentes méthodes pour mener à bien des attaques de compromissions d’e-mails professionnels. D’une part, des tactiques d’ingénierie sociale sont utilisées pour pouvoir exécuter la fraude et d’autre part, des compromissions concrètes et réelles de comptes de messagerie et de systèmes peuvent être effectuées.
Dans les cas où les attaquants incitent leurs victimes à effectuer certaines actions par le biais d’une ingénierie sociale ciblée, l’acteur de la menace n’a pas réellement accès aux systèmes internes. Les personnes concernées sont contactées à partir d’adresses électroniques externes. Afin d’augmenter les chances de succès de l’attaque, les pirates criminels investissent du temps et des efforts pour rendre leurs attaques trompeuses aussi réalistes que possible.
Ils tentent ainsi de découvrir comment l’entreprise est structurée et organisée, qui sont les personnes concernées et quelles sont les compétences et les responsabilités qui prévalent. Une fois les informations collectées, les criminels rédigent des e-mails au nom d’un employé, du PDG, d’un prestataire de services ou d’un partenaire commercial et contactent leurs cibles. Afin de mieux tromper les victimes potentielles, les adresses électroniques réelles sont imitées ou modifiées de manière minime, de sorte que les personnes concernées ne puissent pas facilement reconnaître la fraude. Un exemple typique serait ici la fraude au PDG.
Alors que dans le cas ci-dessus, l’attaquant prétend seulement faire partie de l’organisation, dans le deuxième type d’attaque BEC, il dispose d’un accès réel au serveur de messagerie ou au compte de messagerie de la victime ou de la personne qu’il prétend être. Cela signifie que l’attaquant a accès au compte de messagerie réellement existant et qu’il est capable, par exemple, d’envoyer des e-mails à partir de l’adresse e-mail compromise ou d’en prendre connaissance grâce à des règles de transfert.
Il est également possible pour le pirate criminel d’intercepter et de manipuler les e-mails. Les pirates criminels accèdent aux comptes de messagerie ou aux systèmes par des attaques de phishing, l’utilisation de logiciels malveillants ou des failles de sécurité dans les applications, entre autres.
Un cas pratique pour illustrer le propos :
De nouvelles fenêtres ont été installées dans une entreprise. Une fois les travaux terminés, la facture finale a été envoyée à l’entreprise. Le service comptable a répondu à la demande et a payé le montant dû. Quelque temps plus tard, l’entreprise a été contactée par l’installateur de fenêtres, qui lui a indiqué que la facture était toujours en suspens.
En clarifiant les faits, il s’est avéré que la facture que l’entreprise avait reçue avait été manipulée et que les informations de paiement avaient été modifiées. Soupçonnant une cyber-attaque, les cyber-experts ont examiné les systèmes, les e-mails, les serveurs de messagerie et le PDF de la facture. Il s’est avéré que le serveur de messagerie de l’entreprise avait été compromis, ce qui a permis à l’attaquant d’intercepter et de manipuler l’e-mail.
En ce qui concerne les modèles d’attaque mentionnés ci-dessus :
En ce qui concerne d’autres modèles d’attaques, y compris les attaques de phishing :
