Cybersécurité : les attaques de type BEC auraient coûté près de 5 milliards $
Cybersécurité : les attaques de type BEC auraient coûté près de 5 milliards $ aux entreprises entre octobre 2013 et décembre 2016,
selon le FBI
Les attaques BEC (pour Business E-mail Compromise) sont définies par le FBI comme étant une arnaque sophistiquée qui cible les entreprises qui sont en relation d'affaires soit avec des fournisseurs étrangers, soit avec des entreprises qui effectuent des paiements par virement bancaire. Dans ce type d'attaques, les pirates ont souvent recours au phishing pour tenter de convaincre les personnes ciblées à virer une certaine somme d'argent sur un compte bancaire qui leur est communiqué, ou bien à fournir des informations sensibles sur l'entreprise via un formulaire de demande d'informations.
Cela dit, après une étude publiée en mars dernier par Proofpoint qui montre une augmentation de ce type d’attaques de 45 % entre le troisième et le quatrième trimestre de l’année 2016, le FBI vient de publier à son tour un rapport sur la cybersécurité. Dans ce dernier, il soutient que les attaques BEC n’épargnent aucune entreprise d'un secteur particulier, qu'elle soit petite ou grande.
Dans son annonce, le FBI affirme que la façon dont les attaquants procèdent pour choisir leurs victimes est pour le moment inconnue, toutefois il déclare que les arnaqueurs (attaquants) peuvent surveiller et étudier leurs cibles en utilisant des techniques d'ingénierie sociale. Il se trouve que les pirates, avant même de passer à l'attaque, ont la possibilité d'identifier avec précision les victimes ainsi que les protocoles nécessaires à l'exécution d'un virement bancaire dans un environnement donné. Ils peuvent même aller plus loin en demandant, via un e-mail de phishing, des détails supplémentaires concernant l'entreprise ou une personne particulière (nom, dates de voyages, etc.).
Certaines personnes ont affirmé avoir été victimes de différentes intrusions par Scareware ou par Ransomware, cela avant même l'attaque BEC. Ces intrusions seraient rendues possibles grâce à la technique dite phishing. En effet, dans cette dernière, la victime reçoit un courrier électronique d'une source apparemment légitime et qui contient un lien malveillant. La victime clique sur le lien, et automatiquement le téléchargement des logiciels malveillants est lancé, ce qui permettra par la suite aux attaquants d'accéder sans restriction aux données de la victime, y compris les mots de passe ou les informations financières.
Les statistiques présentées par le FBI sont impressionnantes. Entre octobre 2013 et décembre 2016, le Federal Bureau of Investigation affirme que globalement, une augmentation des pertes identifiées à hauteur de 770 % a été notée dans les 50 états américains et 131 pays du monde.
À en croire le FBI, près de 40,203 incidents internationaux auraient été enregistrés entre octobre 2013 et décembre 2016. Ces incidents, selon le FBI, ont globalement occasionné chez les entreprises des pertes estimées à plus de 5 milliards de dollars dont 1,5 milliard $ concerne des entreprises américaines.
Comme mesure de prévention, le FBI propose une liste de stratégies d’autoprotection dont entre autres :
- éviter les comptes de messagerie gratuits sur le Web ;
- faire attention à ce que l'on publie sur les réseaux sociaux et les sites Web de l'entreprise, en particulier les fonctions et les descriptions d'emploi, les informations hiérarchiques et les détails de l'entreprise ;
- se méfier des demandes de secret ou de pression pour agir rapidement ;
- envisager d'autres procédures de sécurité informatique et financière, y compris la mise en œuvre d'un processus de vérification en deux étapes ;
- signaler et supprimer immédiatement les courriels non sollicités (spam) de parties inconnues. Il ne faudra pas également ouvrir le courrier indésirable, ou cliquer sur les liens dans l'e-mail ou ouvrir les pièces jointes. Ceux-ci contiennent souvent des logiciels malveillants qui donneront accès aux matières à votre système informatique.
Source : FBI
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Répondre avec citation
Partager