Business Email Compromise (BEC) : le jeu de la confiance

Microsoft a récemment publié la quatrième édition de sa revue Cyber Signals, mettant en évidence une augmentation du nombre de tentatives de fraude par courrier électronique en entreprise.  

Ce rapport comprend des informations sur les tactiques employées par les attaquants, mais aussi des recommandations sur la manière dont les entreprises peuvent se défendre contre ces attaques.  

Dans cet article, nous utiliserons le terme BEC (Business Email Compromise) pour désigner la compromission de la messagerie électronique en entreprise. 

Le phishing (hameçonnage) est une méthodologie courante pour parvenir à une BEC qui incite l’internaute à communiquer ses données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.  

La montée en puissances des attaques BEC

Contrairement aux attaques visant à exploiter les vulnérabilités des appareils ou des applications non corrigées, les attaques BEC cherchent à exploiter le trafic quotidien de courriers électroniques et d’autres messages pour inciter les victimes à fournir des informations financières ou à prendre des mesures directes comme envoyer des fonds sans le savoir sur des sites frauduleux.  

Contrairement à une attaque de ransomware « bruyante » avec des messages d’extorsion perturbateurs, les opérateurs de BEC jouent un jeu de confiance discret en utilisant des délais et une urgence artificiels pour inciter les destinataires, qui peuvent être distraits ou habitués à ce type de demandes urgentes. Au lieu d’utiliser de nouveaux logiciels malveillants, les attaquants BEC alignent leurs tactiques sur des outils améliorant l’échelle, la crédibilité et le taux de réussite des messages malveillants dans les boîtes de réception. 

Microsoft observe une augmentation de 38 % de la cybercriminalité en tant que service ciblant les e-mails professionnels entre 2019 et 2022. 

L’un de ces services est BulletProftLink, une plateforme permettant de créer des campagnes de phishing à grande échelle grâce à des modèles et des services automatisés. Les attaquants achètent des adresses IP résidentielles, leur permettant de masquer leur origine géographique et d’échapper à la détection “Impossible Travel” (voyage impossible). Ce principe de sécurité permet de détecter la compromission d’un compte utilisateur. Si le même utilisateur se connecte à partir de deux pays différents et que la durée entre ces connexions ne peut être atteinte par un voyage aérien conventionnel, il s’agit d’un voyage impossible. 

Les attaques BEC réussies coûtent des centaines de millions de dollars par an aux entreprises. Bien que les implications financières soient importantes, les dommages à plus long terme peuvent inclure le vol d’identité si des informations personnelles identifiables (PII) sont compromises, ou la perte de données confidentielles si des informations sensibles ou relevant de la propriété intellectuelle sont exposées. 

Les principales cibles des tentatives d’attaques BEC sont : 

  • Les cadres et autres dirigeants, 
  • Les responsables financiers, 
  • Le personnel des ressources humaines ayant accès aux dossiers des employés tels que les numéros de sécurité sociale, les déclarations d’impôts ou d’autres informations personnelles…. 

…En commençant bien souvent par le bas de l’échelle pour remonter progressivement, créer un organigramme de la société avec les informations recueillis, et par ce biais, crédibiliser encore plus les attaques sur les cibles finales. 

Presque toutes les formes d’attaques BEC sont en augmentation. Les principales tendances en matière d’attaques BEC ciblées sont le leurre (des faux mails d’organismes connus), les fiches de paie, les factures, les cartes cadeaux et les informations commerciales. 

tendances des attaques bec phishing
Les tendances en matière d’attaques BEC

Chiffres clés

  • Entre avril 2022 et avril 2023, Microsoft Defender a détecté et enquêté sur 35 millions de tentatives BEC avec une moyenne de 156 000 tentatives par jour. 
     
  • 416 678, ce sont le nombre de tentatives d’hameçonnage par URL qui ont été démantelées entre mai 2022 et avril 2023 par la Microsoft Digital Crimes Unit (DCU). 

“Pour s’introduire dans une boîte aux lettres, un peu d’hameçonnage, d’ingénierie sociale et de la détermination suffisent.” 

Simeon Kakpovi , Threat Intelligence Analyst 

Action, réaction !

Maintenant que vous êtes incollables sur les attaques BEC, nous vous proposons quelques bonnes pratiques faciles à mettre en place dans votre entreprise pour vous protéger. 

Utiliser une solution de messagerie sécurisée 

Les solutions de messagerie professionnelles basées sur le Cloud, comme Microsoft Exchange Online, vous offrent une protection avancée contre le phishing et une analyse des virus et des logiciels malveillants pour empêcher tout accès non autorisé à vos données.  

Pour aller plus loin, Microsoft Defender pour Office 365 analyse les emails entrants et sortants pour détecter les menaces potentielles, telles que les liens malveillants, les pièces jointes dangereuses et les noms de domaines douteux. Les fichiers entrants et sortants sont automatiquement analysés pour détecter les logiciels malveillants, tels qu’un Cheval de Troie ou un virus. Les fichiers suspects sont bloqués pour réduire la surface d’attaque.   

Mettre en place l’authentification multifacteur (MFA) 

Avec le MFA, vous rendez votre messagerie électronique plus difficile à compromettre en exigeant un code PIN ou une empreinte digitale pour se connecter, en plus du mot de passe. 

Les comptes de messagerie dotés de l’authentification multifacteur sont plus résistants au risque de compromission des informations d’identification et aux tentatives de connexion par force brute (tester différentes combinaisons), quelle que soit la tactique utilisée par les attaquants.  

Nous insistons sur l’importance d’associer le MFA avec d’autres mesures de défense pour renforcer votre politique de sécurité. 

Sécuriser ses identités pour empêcher les déplacements latéraux 

La protection des identités est un pilier essentiel de la lutte contre le BEC. Vous devez contrôler l’accès aux applications et aux données en vous basant sur une approche Zero Trust : 

  • Vérifier explicitement : chaque connexion doit être authentifiée et autorisée en prenant en compte le contexte. 
  • Donner le minimum de privilège : l’accès est limité en attribuant les privilèges justes à temps (JIT) et justes suffisants (JEA). 
  • Supposer une violation : la généralisation de la supervision permet d’obtenir une visibilité transversale, de détecter précocement les menaces et d’améliorer les défenses.  

Former ses collaborateurs  

Vous devez apprendre à vos employés à repérer les emails frauduleux et les tentatives de phishing et les sensibiliser aux risques et aux coûts associés aux attaques BEC réussies. Il vaut mieux prendre le temps de passer un coup de téléphone pour vérifier qu’une information est légitime plutôt que de cliquer quelque part, ce qui pourrait avoir de graves conséquences.  

Quelques tips pour éviter le phishing : 

➡️ Vérifier que l’adresse email de l’expéditeur corresponde au nom de l’expéditeur 
➡️ Vérifier que les coordonnées présentes dans le mail correspondent à l’expéditeur (adresse, numéro de téléphone…) 
➡️ Ne pas ouvrir de pièce jointe de personnes inconnues si vous avez un doute 
➡️ Si le mail contient des c@ractEre*s inva/lides? Il y a de fortes chances que ce soit un spam ou même du phishing 

Pour aller plus loin, Microsoft Defender pour Office Plan 2 vous permet de lancer des scénarios d’attaques réalistes dans votre entreprise pour vous aider à détecter, hiérarchiser, et corriger les risques de cyberattaque en condition réelle. 

Contactez-nous 

Un projet ? Une question ? 

Si cet article a fait émerger dans votre entreprise un besoin ou une problématique métier, ou si vous avez simplement envie de nous parler, appelez nous pour discuter au 0251831839. 

Le rapport est disponible ici : https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW14o4H

Autres actualités