Définition et description de l'impact de la compromission des courriels professionnels

Business Email Compromise/Email Account Compromise (BEC/EAC) is a sophisticated scam that targets both businesses and individuals who perform legitimate transfer-of-funds requests. The scam is frequently carried out when a subject compromises legitimate business or personal email accounts through social engineering or computer intrusion to conduct unauthorized transfers of funds. Between June 2016, and July 2019, more than $26B in exposed dollar losses due to BEC/EAC were reported to the Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3).

en flag
nl flag
fr flag
de flag
pt flag
es flag

Annonce d'intérêt public du FBI (I-091019-PSA)

Compromis Business E-mail : L'escroquerie de 26 milliards de dollars

Définition

Compromis de courriel/Compromis de compte de messagerie (BEC/EAC) est une escroquerie sophistiquée qui vise à la fois les entreprises et les particuliers qui effectuent des demandes légitimes de transfert de fonds.

L'escroquerie est souvent effectuée lorsqu'un sujet compromet des comptes de messagerie professionnels ou personnels légitimes par le biais de l'ingénierie sociale ou d'une intrusion informatique pour effectuer des transferts de fonds non autorisés.

L'escroquerie n'est pas toujours associée à une demande de transfert de fonds. L'une des variantes consiste à compromettre les comptes électroniques commerciaux légitimes et à demander des renseignements personnels ou des formulaires de déclaration de salaire et d'impôt (W-2) des employés. (1)

Données statistiques

L'escroquerie BEC/EAC continue de croître et d'évoluer, ciblant les petites, moyennes et grandes transactions commerciales et personnelles. Entre mai 2018 et juillet 2019, il y a eu une augmentation de 100 pour cent des pertes exposées mondiales identifiées. (2) L'augmentation est également due en partie à une plus grande sensibilisation à l'escroquerie, ce qui encourage les rapports à l'IC3 et aux partenaires financiers et internationaux. L'escroquerie a été signalée dans les 50 États et 177 pays. Des transferts frauduleux ont été envoyés dans au moins 140 pays.

D'après les données financières, les banques situées en Chine et à Hong Kong demeurent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation a constaté une augmentation des transferts frauduleux envoyés au Royaume-Uni, au Mexique et en Turquie.

Les statistiques suivantes de la BEC/EAC ont été déclarées à l'IC3 et sont tirées de multiples sources, y compris les données de la CI3 et des plaintes internationales d'application de la loi et les dépôts d'institutions financières entre octobre 2013 et juillet 2019.

Les statistiques suivantes ont été signalées dans les plaintes déposées auprès de la CI3 entre juin 2016 et juillet 2019 :

Incidents nationaux et internationaux : 166 349

Perte en dollars exposée intérieure et internationale : 26 201 775 589$

Les statistiques suivantes de la BEC/EAC ont été communiquées dans les plaintes des victimes adressées à l'IC3 entre octobre 2013 et juillet 2019 :

Total des victimes américaines : 69 384

Perte totale exposée en dollars des États-Unis : 10 135 319 091 dollars

Total des victimes non américaines : 3 624

Perte totale en dollars exposée N0N-É.-U. : 1 053 331 166 dollars

Les statistiques suivantes ont été signalées dans les plaintes déposées auprès de la CI3 entre juin 2016 et juillet 2019 :

Total des bénéficiaires financiers américains : 32 367

Total des pertes en dollars exposées aux bénéficiaires financiers américains : 3 543 308 220$

Total des bénéficiaires financiers non américains : 14 719

Total des pertes en dollars des bénéficiaires financiers non américains : 4 843 767 489$

BEC et réaffectation de la paie

L'IC3 a reçu un nombre accru de plaintes du BEC concernant le détournement de fonds salariaux. Les plaintes indiquent que le service des ressources humaines ou de la paie d'une entreprise reçoit des courriels frauduleux qui semblent être de la part d'employés demandant un changement à leur compte de dépôt direct. Cela diffère du système de détournement de la masse salariale dans lequel le sujet accède au compte de dépôt direct d'un employé et modifie l'acheminement vers un autre compte. (3)

Dans un exemple typique, les représentants des RH ou de la paye ont reçu des courriels qui semblaient être des employés demandant de mettre à jour leurs renseignements sur le dépôt direct pour la période de paye en cours. Les nouveaux renseignements sur le dépôt direct fournis aux représentants des RH ou de la paye donnent généralement lieu à un compte de carte prépayé.

Certaines entreprises ont signalé avoir reçu des courriels de phishing avant de recevoir des demandes de modification de comptes de dépôt direct. Dans ces cas, plusieurs employés peuvent recevoir le même e-mail qui contient une page de connexion usurpé pour un hôte de messagerie. Les employés saisissent leurs noms d'utilisateur et mots de passe sur la page de connexion usurpé, ce qui permet au sujet de recueillir et d'utiliser les informations d'identification de l'employé pour accéder aux informations personnelles des employés. Cela rend les demandes de dépôt direct légitimes.

Les systèmes de déjudiciarisation de la paie qui comprennent un événement d'intrusion sont signalés à l'IC3 depuis plusieurs années. Ce n'est que récemment que ces mécanismes ont été directement liés aux acteurs du BEC par le biais de plaintes IC3.

Au total, 1 053 plaintes faisant état de cette évolution du régime de déjudiciarisation de la paie ont été déposées auprès de l'IC3 entre le 1er janvier 2018 et le 30 juin 2019, avec une perte totale déclarée de 8 323 354$. La perte moyenne en dollars signalée dans une plainte était de 7 904$. La perte en dollars de demandes de changement de dépôt direct a augmenté de plus de 815 % entre le 1er janvier 2018 et le 30 juin 2019, car il y avait peu de rapports sur ce régime dans les plaintes de CI3 avant janvier 2018.

Suggestions pour la protection

Les employés devraient être sensibilisés à ce régime et être vigilants. La formation devrait comprendre des stratégies préventives et des mesures réactives en cas de victimisation. Entre autres étapes, les employés devraient être informés de :

Utilisez les canaux secondaires ou l'authentification à deux facteurs pour vérifier les demandes de modification des informations de compte.

Assurez-vous que l'URL dans les e-mails est associée à l'entreprise dont il prétend être.

Soyez alerte aux liens hypertexte qui peuvent contenir des fautes d'orthographe du nom de domaine réel.

S'abstenir de fournir des informations d'identification de connexion ou des informations d'identification en réponse à tout e-mail.

Surveiller régulièrement leurs comptes financiers personnels à la recherche d'irrégularités, telles que les dépôts manquants.

Conservez tous les correctifs logiciels et tous les systèmes mis à jour.

Vérifiez l'adresse e-mail utilisée pour envoyer des e-mails, en particulier lorsque vous utilisez un appareil mobile ou portable en vous assurant que l'adresse e-mail de l'expéditeur semble correspondre à qui elle provient.

Assurez-vous que les paramètres de l'ordinateur des employés sont activés pour permettre l'affichage complet des extensions de messagerie.

Si vous découvrez que vous êtes victime d'un incident frauduleux, communiquez immédiatement avec votre institution financière pour demander un rappel de fonds et votre employeur pour signaler les irrégularités dans les dépôts de paie.

Dès que possible, déposer une plainte quel que soit le montant auprès de www.ic3.gov ou, pour les victimes de BEC/EAC, Bec.ic3.gov.

(1) Référence PSA 1-022118-PSA Augmentation des campagnes de phishing W-2

(2) La perte en dollars exposée comprend la perte réelle et la perte tentée en dollars des États-Unis

(3) Référence PSA I-091818-PSA Les cybercriminels utilisent des techniques de génie social pour obtenir les titres de compétences de l'employé pour effectuer la déjudiciarisation de la paie

Lisez l'alerte complète sur le site Business Email Compromis : The $26 Gilliards Scam

Lecture supplémentaire

Centre de plaintes sur les crimes par Internet (IC3) du Bureau fédéral d'enquête

Le FBI souligne la menace des rançongiciels pour les entreprises américaines

Source : CompleDiscovery