Récemment, les nouveaux chiffres du FBI ont confirmé que les escroqueries aux compromis d’e-mails d’affaires étaient la principale cause de pertes en matière de cybercriminalité.
Une nouvelle cyberattaque massive contre une agence gouvernementale de Porto Rico a été révélée.
Les cybercriminels avaient obtenu l’accès au compte de messagerie électronique d’un employé, censé travailler dans le cadre du système de retraite des employés de Porto Rico.
Le compte de messagerie électronique compromis a été utilisé pour envoyer des demandes à d’autres agences gouvernementales afin que des changements soient apportés aux comptes bancaires standards pour les virements.
Comme le compte de messagerie utilisé était fiable, les modifications ont été apportées aux comptes bancaires. Les paiements ont alors été effectués normalement et des millions d’euros ont été transférés sur des comptes bancaires contrôlés par des pirates.
La société de développement industriel de Porto Rico – une société d’État qui stimule le développement économique du pays – a été l’une des plus touchées. Des e-mails ont été reçus pour demander des changements dans les comptes bancaires et deux paiements ont été effectués. Le premier paiement de plus de 54 000 euros a été effectué en décembre et un autre de plus de 2,2 millions d’euros en janvier.
D’autres ministères ont également été visés, notamment une société de tourisme. Cette dernière a effectué un paiement de plus de 1,3 million d’euros.
Au total, les pirates ont tenté de voler environ 4,13 millions d’euros.
L’escroquerie a été découverte lorsque ces paiements n’ont pas été reçus par les bons destinataires. Des mesures rapides ont alors été prises pour bloquer les transferts et certains des paiements ont été gelés, mais le gouvernement n’a pas été en mesure de récupérer environ 2,6 millions de dollars des fonds volés.
Une enquête approfondie a été lancée pour déterminer comment les attaquants ont eu accès au compte de messagerie électronique pour monter l’arnaque.
Bien que la méthode utilisée n’ait pas été confirmée, les attaques de BEC commencent généralement par un e-mail de spear phishing.
Un e-mail de phishing est envoyé à une personne d’intérêt pour lui demander de prendre des mesures urgentes afin de résoudre un problème. Un lien est fourni dans l’e-mail qui dirige l’utilisateur vers un site web qui lui demande les informations d’identification de son compte de messagerie électronique. Le compte peut alors être consulté par l’attaquant.
Les attaquants mettent souvent en place des redirections des e-mails pour recevoir une copie de chaque e-mail envoyé vers et depuis le compte. Cela leur permet de se renseigner sur l’entreprise et les paiements typiques et de construire des e-mails d’escroquerie très convaincants.
Une fois que l’accès à un compte de messagerie électronique d’entreprise est obtenu, l’escroquerie BEC (« Business E-mail Compromise » ou Compromission d’E-mail d’Entreprise) est beaucoup plus difficile à identifier et à bloquer. La meilleure défense consiste à s’assurer que les premiers e-mails de phishing ne sont pas envoyés, et c’est un domaine dans lequel TitanHQ peut apporter son aide.