Alors que les organisations du monde entier dépensent encore plus pour leurs outils de cybersécurité, les cybercriminels utilisent de plus en plus des moyens simples mais efficaces pour accéder aux données ou à l’argent des organisations par le biais de la compromission de la messagerie professionnelle (Business Email Compromise ou BEC en anglais) ou de la fraude au PDG.
Le BEC est, selon l’organisation internationale de sensibilisation à la sécurité KnowBe4, un type d’escroquerie dans lequel les cybercriminels accèdent à l’adresse électronique d’un membre du personnel de haut rang ou la reproduisent de manière convaincante. Ils envoient ensuite un e-mail à la personne concernée au sein de l’organisation, lui demandant de partager des informations ou de l’aider à effectuer un paiement. Comme ces messages ne requièrent pas du destinataire qu’il clique sur un lien ou qu’il ouvre une pièce jointe, ils semblent tout à fait inoffensifs à première vue et ne déclenchent pas de scanners de sécurité ou de signaux d’alerte. Cependant, ils sont à l’origine des pertes monétaires les plus importantes liées à la cybercriminalité.
La fraude par virement bancaire BEC consiste pour les criminels à profiter d’une transaction financière prévue, comme le paiement d’un fournisseur, et à demander au destinataire d’ajuster les informations relatives au compte bancaire sur un virement bancaire sortant. Dans de nombreux cas, l’instruction peut sembler provenir du responsable de la victime et peut même être rédigée dans un style similaire à celui utilisé par le responsable. Autre type de BEC, les arnaques à la carte-cadeau, dans lesquelles les escrocs se font passer pour un collègue de la victime et lui demandent d’acheter une carte-cadeau numérique.
Anna Collard, vice-présidente de la stratégie de contenu et évangéliste pour KnowBe4 Africa, déclare : « 35 % de tous les incidents de sécurité sont des attaques d’hameçonnage compromettant la messagerie professionnelle. Selon le rapport 2021 Business Email Compromise Report (https://apo-opa.info/47byw0a) de l’éditeur de solutions de sécurité GreatHorn, 71 % des attaques BEC utilisent un compte de messagerie ou un site Web usurpé pour renforcer leur crédibilité. 69% des attaques BEC utilisent le harponnage (spear phishing en anglais), ce qui accroît leurs chances d’atteindre les personnes qui, au sein d’une organisation, ont une influence sur l’argent. Selon le rapport, le secteur financier est visé dans 57 % des cas, suivi par les PDG (22 %) et le secteur des technologies de l’information (20 %).»
« La réduction du risque de telles attaques commence par une formation de sensibilisation à la sécurité. Parfois, les employés ne sont pas conscients de la valeur de leur compte de messagerie. Méfiez-vous des e-mails d’hameçonnage et veillez à utiliser des mots de passe complexes et uniques pour tous vos comptes de messagerie. Ajoutez une authentification à deux facteurs ou multifactorielle à votre mot de passe. Vérifiez toute demande de paiement ou tout changement de coordonnées bancaires avec le destinataire par le biais d’une méthode alternative, par exemple via WhatsApp ou un appel téléphonique », précise Mme Collard.
Le Test de sécurité anti-hameçonnage gratuit de KnowBe4 permet aux organisations de déterminer si leur personnel est susceptible de se laisser convaincre par des attaques d’hameçonnage. Inscrivez-vous au test ici : https://apo-opa.info/3FW1fuJ
Communiqué