Les escrocs usurpent l’identité de la direction pour cibler de gros gains en dollars des investisseurs

  • FrançaisFrançais


  • Les chercheurs ont repéré une nouvelle tendance au compromis entre les e-mails commerciaux (BEC) qui, si elle était perfectionnée, pourrait représenter une menace d’ingénierie sociale importante pour la communauté des investissements financiers et du capital-investissement.

    Les fraudeurs se font passer pour des cadres de niveau C et demandent aux employés des comptes fournisseurs d’effectuer une opération d’appel de capital vers un compte bancaire frauduleux. Dans le monde du private equity et de l’immobilier, un appel ou un prélèvement de capital a lieu lorsqu’un cabinet d’investissement ou d’assurance demande à un ou plusieurs partenaires de payer une partie de l’argent qu’ils se sont précédemment engagés à investir.

    Dans un rapport de fraude par e-mail publié hier, des chercheurs de la Cyber ​​Intelligence Division (ACID) d’Agari ont noté une «augmentation spectaculaire du montant moyen d’argent ciblé dans les attaques BEC» depuis novembre 2020. Le rapport attribue en partie ce pic soudain au système nouvellement identifié. En effet, Agari a constaté que l’escroquerie moyenne de paiement par appel de fonds cherchait environ 809 000 $ en virements électroniques – plus de sept fois la moyenne de 72 000 $ recherchée dans la plupart des attaques BEC au cours des six derniers mois.

    En substance, les attaquants cherchent à marquer un gros salaire avec un seul compromis. Et le concept fonctionne parce que «la demande elle-même n’est pas inhabituelle», a déclaré Crane Hassold, directeur principal de la recherche sur les menaces chez Agari, dans une interview avec SC Media. «Et donc, au fond, cela semble réaliste», malgré les grosses sommes d’argent demandées.

    Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, a convenu: «Bien que les montants demandés soient probablement un signal d’alarme pour la plupart des gens typiques, s’ils parviennent à la bonne organisation qui attend un appel de capitaux, ou les traite régulièrement, ils peuvent réussir », dit-il.

    Cependant, pour l’instant, l’arnaque n’est pas particulièrement bien exécutée, a noté Hassold. Pour commencer, le ciblage a été dispersé, des acteurs malveillants livrant ces e-mails BEC à un large éventail de grandes entreprises – certaines totalement indépendantes de la finance et de l’investissement. Par exemple, Agari a identifié des cibles dans les secteurs de la vente au détail des services publics, des soins de santé et du droit.

    «Je pense que les personnes qui envoient ces derniers n’ont probablement pas une compréhension complète des paiements d’appels de capitaux», a déclaré Hassold. «Je ne pense pas que ce soient des étudiants en finance qui comprennent parfaitement ce que sont les paiements en capital, comment ils sont utilisés et qui devrait les recevoir.»

    Rien n’indique non plus que les attaquants ciblent des investisseurs individuels – uniquement des organisations commerciales. Et, a noté Hassold, rien n’indique que les méchants ont une connaissance interne des investissements que ces entreprises font réellement, le cas échéant. «Au contraire, les attaques demandent des paiements pour des investissements fictifs, similaires à ce que nous avons vu pendant des années où les acteurs de la BEC demandent des paiements à des fournisseurs fictifs», a-t-il déclaré.

    Pourtant, si un agresseur plus compétent utilisait les mêmes tactiques tout en adoptant une approche plus ciblée – peut-être en tirant parti des informations sur les investisseurs glanés dans les listes publiques et sur le dark web – l’escroquerie pourrait être suffisamment convaincante pour tromper de nombreuses victimes.

    Pour l’instant, cependant, les attaquants semblent être un peu moins ambitieux, à la recherche du fruit à portée de main, sachant que même tromper un employé pourrait être très rentable.

    «Il s’agit d’une utilisation intéressante d’un type de transaction financière très spécifique mais coûteux», a déclaré Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4. «Bien que probablement pas aussi efficace qu’une escroquerie BEC typique, le paiement des attaques réussies est considérablement plus élevé.»

    «Nous devons nous rappeler que c’est une affaire pour l’attaquant, et ils ont les mêmes problèmes que n’importe qui aurait dans la gestion de l’entreprise», a déclaré Josh Douglas, vice-président de la gestion des produits et des renseignements sur les menaces chez Mimecast. «Cela signifie qu’ils doivent tenir compte à la fois du chiffre d’affaires et du résultat net. Cette procédure permet des gains de revenus plus importants et un impact moindre sur les dépenses d’exploitation. Si l’attaquant n’a qu’à frapper trois places contre 300 pour obtenir le même montant de revenus, la récompense est plus élevée et les marges brutes augmentent. »

    Et bien que le ciblage et la collecte d’informations par les attaquants ne soient pas particulièrement sophistiqués, les e-mails réels et les documents joints qu’ils ont créés ont un air de légitimité.

    «Il s’agit d’un appel de fonds et je souhaite que le paiement soit effectué immédiatement. Envoyez une confirmation dès que le paiement est effectué », lit-on dans un exemple d’e-mail BEC usurpant l’identité d’un PDG. Vous trouverez ci-joint un formulaire qui semble provenir d’un investissement demandant le prélèvement. Le faux avis ajoute un élément de pression, fixant un délai distinct et notant que le défaut d’agir représente une rupture d’accord, entraînant des frais d’intérêts et finalement la confiscation de l’investissement.

    L’attaquant cherche fondamentalement à tromper la cible en utilisant des tactiques et des techniques technologiques et psychologiques », a déclaré Douglas.

    «Ils ressemblent à de très bonnes représentations de ce à quoi pourrait ressembler l’un de ces documents», a déclaré Hassold. «Ils pensent probablement de leur côté: ‘J’ai juste besoin de rendre cela suffisamment réaliste pour que cela passe comme vrai et qu’un petit pourcentage des personnes à qui j’envoie cela m’envoie de l’argent.’ ‘

    Hassold a déclaré que les acteurs misaient sur les entreprises souffrant de défaillances organisationnelles dans les contrôles des autorisations de paiement.

    En effet, «les organisations devraient avoir des politiques en place qui exigent la vérification des paiements envoyés», a déclaré Kron. “Si l’organisation n’est pas en mesure de vérifier la demande de fonds, elle doit contacter le demandeur via un numéro de téléphone ou une méthode de contact précédemment connu, et non celui fourni dans l’avis.”

    En fin de compte, cela peut se résumer à s’assurer que vos spécialistes des comptes fournisseurs sont correctement formés pour surveiller ces escroqueries.

    «Le facteur clé, ce sont les gens de l’organisation», a déclaré Douglas. «Ont-ils la bonne formation en cybersécurité? Ont-ils les processus pour empêcher cela de fonctionner? Ont-ils mis en œuvre la bonne technologie qui peut la mettre au premier plan, afin qu’ils puissent agir rapidement pour arrêter la cyber-tromperie? »

    «Particulièrement dans un environnement de travail à distance, la formation est essentielle», a ajouté Dave Barnett, directeur de la sécurité périphérique chez Forcepoint. «Les utilisateurs doivent être sûrs des processus de reporting pour tout ce dont ils ne sont pas sûrs et être encouragés à signaler et vérifier les choses avec les cadres supérieurs.»

    «Les compromis de messagerie professionnelle peuvent être extrêmement lucratifs pour les acteurs de la menace, car ils sont souvent hautement personnalisés et ciblés. Instaurer une culture de pensée critique en matière de sécurité et encourager le personnel à ne pas baisser la garde peut aller très loin. »

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *