Choisir la cible avec soin et viser des rendements plus élevés, même si vous êtes un cybercriminel, constitue le principal motif d'une transaction. Ce phénomène a lancé une nouvelle tendance appelée BEC ou Arnaque aux compromis commerciaux. Cette arnaque soigneusement exécutée implique le pirate informatique qui utilise l'ingénierie sociale pour déterminer le PDG ou le directeur financier de l'entreprise cible. Les cybercriminels enverront ensuite des courriels frauduleux, adressés par ce haut responsable, à des employés chargés des finances. Cela incitera certains d'entre eux à initier des virements électroniques.
Arnaques aux compromis commerciaux
Au lieu de dépenser d'innombrables heures inutiles en phishing ou en spammant les comptes de la société et en ne disposant que de rien, cette technique semble bien fonctionner pour la communauté des hackers, car même un petit chiffre d'affaires génère des profits importants. Une attaque réussie de l'entreprise est une attaque qui aboutit à une intrusion réussie dans le système commercial de la victime, à un accès illimité aux informations d'identification des employés et à une perte financière importante pour l'entreprise.
Techniques de réalisation d'escroqueries BEC
- Utiliser un ton contraignant ou contraignant dans l'e-mail pour encourager un roulement plus élevé d'employés qui acceptent la commande sans enquête. Par exemple, "Je souhaite que vous transfériez ce montant à un client dès que possible", ce qui inclut les commandes et l'urgence financière.
- Courriel Usurpation d'adresses e-mail réelles en utilisant des noms de domaine proches de la réalité. Par exemple, l’utilisation de yah00 au lieu de yahoo est très efficace lorsque l’employé n’insiste pas trop pour vérifier l’adresse de l’expéditeur.
- Une autre technique majeure utilisée par les cybercriminels est le montant demandé pour les virements électroniques. Le montant demandé dans l'e-mail doit être synchronisé avec le montant d'autorité dont dispose le destinataire dans l'entreprise. Des montants plus élevés devraient susciter la suspicion et l'escalade du problème vers la cyber-cellule.
- Compromettre les courriels professionnels, puis utiliser les identifiants à mauvais escient.
- L’utilisation de signatures personnalisées telles que ‘Envoyé de mon iPad’ et ‘Envoyé de mon iPhone’ complète le fait que l’expéditeur n’a pas l’accès requis pour effectuer la transaction.
Raisons pour lesquelles BEC est efficace
Des escroqueries impliquant des compromis d’affaires visent les employés de niveau inférieur déguisés en employés de rang supérieur. Cela joue sur le sens de « peur «Dérivé de la subordination naturelle. Les employés des niveaux inférieurs auront donc tendance à être persistants, généralement sans se soucier des détails complexes au risque de perdre du temps. Donc, s’ils travaillent dans une organisation, ce ne serait probablement pas une bonne idée de rejeter ou de retarder un ordre du patron. Si la commande s'avère réellement vraie, la situation serait préjudiciable pour l'employé.
Une autre raison pour laquelle cela fonctionne est l’élément d’urgence utilisé par les pirates. L'ajout d'un calendrier à l'e-mail détournera l'attention de l'employé sur la réalisation de la tâche avant qu'il ne vérifie des détails tels que l'authenticité de l'expéditeur.
Statistiques sur les arnaques liées aux compromis commerciaux
- Le nombre de cas de BEC est en hausse depuis leur découverte il y a quelques années. Il a été constaté que tous les États des États-Unis et plus de 79 pays à travers le monde avaient des sociétés ciblées avec succès par des escroqueries par compromis.
- En fait, au cours des quatre dernières années, plus de 17 500 entreprises, en particulier leurs employés, ont été soumises aux objectifs de BEC et ont finalement entraîné des pertes importantes pour l'entreprise. La perte totale d'octobre 2013 à février 2016 s'élève à environ 2,3 milliards de dollars.
Prévention des arnaques aux compromis commerciaux
Bien qu’il ne semble pas y avoir de remède à l’ingénierie sociale et au piratage des systèmes de la société avec l’accès d’un employé, il existe certes plusieurs moyens de mettre les travailleurs en alerte. Tous les employés doivent être informés de ces attaques et de leur nature générale. Il devrait leur être conseillé de filtrer régulièrement les adresses électroniques frauduleuses dans leur boîte de réception. En dehors de cela, tous les ordres de gestion de haut niveau doivent être vérifiés auprès de l'autorité par téléphone ou par contact personnel. L'entreprise devrait encourager la double vérification des données.
