Les entreprises de divers secteurs dépendent aujourd’hui fortement de la communication par e-mail et des transactions en ligne pour leurs activités. Cependant, aussi efficace que soit cette façon de faire des affaires, elle ouvre aussi la porte à des menaces de cybersécurité, telles que les e-mails et la fraude électronique.
L’équipe de gestion de la réponse aux incidents de Perseus observe une augmentation des cas de fraude par e-mail dans l’industrie automobile. Les employés des concessionnaires automobiles ont été touchés. Pensant être en contact avec des entreprises réputées qui proposaient aux concessionnaires la possibilité d’acheter des véhicules à bas prix pour les revendre, les personnes concernées ont correspondu avec des acteurs malveillants plutôt qu’avec des vendeurs légitimes et ont été victimes de tentatives de tromperie avec de lourdes pertes financières.
Cet article analyse la nature sophistiquée de ces arnaques et tire des conclusions sur la sécurisation d’entreprises pertinentes à travers les secteurs et qui affectent toutes les entreprises de manière égale.
Tout a commencé apparemment de manière inoffensive : les employés des concessionnaires automobiles recevaient régulièrement des courriels d’une société de location bien connue qui proposait des voitures à vendre aux concessionnaires à bas prix – parfois même à des réductions très avantageuses. C’est une pratique courante dans l’industrie automobile. Les employés faisaient confiance à la légalité des e-mails, correspondaient avec les expéditeurs et ont finalement reçu des offres définitives d’achat des véhicules.
Au fil de la correspondance, tout s’est déroulé selon les processus commerciaux habituels. Les employés recevaient des e-mails et documents d’apparence authentique, y compris des factures dans le design de la location de voiture. Toutes les informations contenues dans les e-mails correspondaient aux données originales de la société de location de voitures, à l’exception d’un domaine légèrement modifié.
Convaincus de l’authenticité de la communication, les employés effectuaient les transactions et payaient des sommes importantes pour les véhicules comme demandé. Avec le temps, cependant, des doutes sont apparus parmi les employés. Malgré les paiements effectués, ils n’ont pas reçu les certificats d’immatriculation des véhicules, qui sont généralement remis immédiatement après l’achat. Inquiets, ils ont contacté le supposé vendeur, la société de location de voitures, pour découvrir qu’il n’y avait aucune trace de la transaction. Les concessionnaires automobiles étaient tombés dans une arnaque.
En y regardant de plus près, il s’est avéré que la communication venait d’un attaquant qui avait configuré un domaine et une adresse e-mail trompeurs imitant ceux de l’entreprise légitime. Ce qui semblait initialement être une transaction commerciale légitime s’est avéré être un cas sophistiqué de fraude par e-mail et électronique. On prétendait vendre des véhicules à partir des actions de la société de location automobile à un prix nettement inférieur. Particulièrement périlleux : les véhicules promis par les criminels étaient en réalité mis en vente en ligne par la société de location de voitures.
Dans ce cas, cependant, les personnes ciblées ne communiquaient avec des tiers que via un domaine tiers créé pour la fraude. Les assaillants ont soigneusement élaboré les e-mails et documents et ont imité le style et la marque de la société de location, rendant presque impossible pour les employés de reconnaître la nature frauduleuse de la communication.
Les acteurs malveillants ont également falsifié des factures convaincantes avec des informations bancaires pour le paiement. Ce n’est qu’à travers les détails bancaires qu’on a pu remarquer que le titulaire du compte était un tiers. Ici aussi, les fraudeurs auraient pu donner un autre nom, car les banques ne vérifient l’IBAN que depuis des années.
Les assaillants ont profité de la pratique courante consistant à acheter des véhicules par e-mail et ont abusé de la familiarité du processus pour mener à bien leur tentative de fraude.
L’enquête médico-légale menée par l’équipe d’intervention de Perseus a révélé que l’incident était une forme d’arnaque par e-mail et virement bancaire visant actuellement divers concessionnaires automobiles. Certains des e-mails en question n’étaient pas spécifiquement adressés aux entreprises, mais à plusieurs destinataires en même temps. C’est ce qu’on appelle les « destinataires non divulgués ». Cette méthode sert à dissimuler les véritables destinataires de l’email.
Après un examen approfondi du document de facture reçu, l’analyse médico-légale n’a révélé aucune information supplémentaire sur l’identité du coupable. La facture était étiquetée « Microsoft Word pour M365 ». Cela semble atypique pour ce processus.
Des enquêtes ultérieures ont révélé que le domaine Internet enregistré par l’attaquant avait également été supprimé au moment de la vérification – vraisemblablement à l’instigation de l’entreprise ou du fournisseur de domaine. L’équipe d’experts de Perseus n’a pas pu accéder aux données du titulaire en raison des réglementations du RGPD.
L’incident met en lumière la vulnérabilité des entreprises face à la fraude par e-mail et par électromagnétique et souligne la nécessité de renforcer les mesures de sécurité et d’un contrôle plus strict des communications par email. L’équipe d’experts de Perseus a recommandé que les concessionnaires concernés déposent des poursuites pénales afin de pouvoir engager d’autres poursuites judiciaires contre le coupable. Un point de contact approprié est le « Point de contact central pour la criminalité informatique ». C’est une agence spécialisée qui possède de l’expérience dans le traitement des affaires de cybercriminalité.
De plus, le client a été conseillé de sensibiliser spécifiquement ses employés aux cybermenaces, notamment sur la manière d’identifier et de réduire les risques liés à la fraude par e-mail et financière.
Le titulaire de la police a également été fortement conseillé de réviser le processus d’achat et la transaction commerciale. D’autres étapes de vérification, telles que la confirmation téléphonique directe auprès de la société mère du vendeur, devraient être mises en place pour confirmer la légitimité des transactions et prévenir des incidents similaires à l’avenir. En particulier, l’IBAN doit être vérifié pour détecter facilement la fraude.
En prenant des mesures actives telles que le signalement de l’incident, l’investissement dans la formation des employés et la simplification du processus d’achat, les entreprises peuvent renforcer leur protection contre la fraude par e-mail et les communications électroniques.
Le scénario actuel ne se limite en aucun cas à l’industrie automobile. Des tactiques similaires pourraient être utilisées dans d’autres industries avec des processus d’achat comparables. Des secteurs comme l’immobilier, la fabrication et la vente en gros sont souvent traités par e-mail ou virement bancaire. Les techniques frauduleuses utilisées dans ce cas servent de mise en garde aux entreprises de tous secteurs vulnérables à la fraude.
