La montée des escroqueries sophistiquées du BEC dans le secteur financier

Mark Nicholls , directeur de la cybersécurité Redscan

Pour tous les discours sur les menaces d’initiés, le cryptojacking et les ransomwares, je crois que l’un des plus grands défis en matière de cybersécurité auquel doit faire face le secteur financier en 2019 sera d’atténuer le risque élevé d’attaques de compromis par courriel d’entreprise (BEC). Ces attaques impliquent des cybercriminels imitant des contacts connus, généralement des cadres de niveau C, afin de tromper les individus pour qu’ils transmettent des paiements et des fonds vers d’autres comptes bancaires.

Les

escroqueries du BEC sont nombreuses en raison de la fréquence élevée et des importantes sommes d’argent transférées entre organisations. Ils sont également populaires parce que les retours sont souvent beaucoup plus élevés que ceux des escroqueries typiques d’hameçonnage par courriel.

Les attaques BEC modernes sont incroyablement efficaces, car les pirates s’améliorent pour créer des campagnes plus élaborées et couvrir leurs traces pour échapper à la détection. Pour améliorer l’efficacité de leurs communications, les cybercriminels effectueront des recherches minutieuses sur les chaînes d’approvisionnement, suivront les actualités et les événements de l’entreprise, suivront les réseaux sociaux et apprendront même les routines des employés.

Pire encore, ces types d’attaques ne sont généralement pas signalés, ce qui signifie que de nombreuses entreprises ne réalisent pas toute l’ampleur du problème. La vérité est qu’ils deviennent rapidement omniprésents.

Étude de cas : courtier d’assurance spécialiste en fusions et acquisitions, la cible de la fraude par e-mail de 300 000£

Mark Nicholls

L’ équipe Redscan a récemment découvert un bon exemple de BEC particulièrement sophistiqué ; une compagnie d’assurance spécialisée dans les fusions et acquisitions d’entreprises de grande valeur avait été victime d’une violation de données et nous a demandé d’enquêter.

Malgré la formation régulière du personnel et le maintien d’un niveau élevé de contrôles de sécurité préventifs, l’entreprise s’est presque trouvée le moyen d’escroquerie sophistiquée. L’attaque visait à tromper un de ses clients pour qu’ils versent 300 000 livres sterling, dus par rapport à deux factures impayées, sur un compte bancaire de remplacement.

Heureusement, l’attaque a été déjouée avant que les paiements ne soient effectués – un membre du personnel vigilant de la société cliente avait insisté pour demander une vérification verbale des coordonnées bancaires de remplacement fournies – l’entreprise souhaitait comprendre l’étendue du compromis et comment se prémunir contre des menaces similaires. Elle a donc sollicité l’aide d’une société spécialisée en cybersécurité pour mener une enquête judiciaire complète et fournir un soutien en matière d’assainissement.

Tracer la source et la « chaîne de tuer » de l’attaque

Au départ, la cyberenquête portait sur les journaux de courrier électronique relatifs au compte Office 365 soupçonné d’être utilisé pour instiller la fraude. L’équipe a rapidement constaté que six semaines avant l’attaque du BEC, un membre supérieur du personnel avait vu son compte d’entreprise compromis après n email, censé être une alerte de sécurité officielle de Microsoft, qui demandait à l’utilisateur de se connecter à son compte pour examiner les activités de connexion suspectes.

Une analyse ultérieure a révélé qu’à la suite de l’attaque d’hameçonnage initiale, des centaines de tentatives de connexion à des comptes Office ont été lancées à partir d’une série d’adresses IP malveillantes provenant du Nigeria, de la Chine et des Émirats arabes unis, d’où un certain nombre de connexions réussies ont été effectuées.

Avec un accès complet au compte Office de l’utilisateur, l’attaquant a créé des règles de boîte aux lettres conçues pour analyser tous les e-mails entrants à la recherche de mots clés, déplaçant des éléments intéressants vers un dossier caché dans Outlook, d’où ils ont été rapidement supprimés. L’équipe a découvert par la suite que l’attaquant avait également configuré une règle de messagerie pour transférer automatiquement tous les e-mails entrants et sortants vers une adresse Gmail externe.

Au cours de la semaine qui a suivi la détection de l’attaque, l’envoi de courrier électronique a envoyé plus de 280 courriels à ces comptes frauduleux, ce qui a entraîné la divulgation non autorisée de données client hautement confidentielles et d’informations de paiement.

Un fil de messagerie pour attirer l’attention de l’attaquant était lié à la facturation de deux factures de grande valeur, qui avaient été soulevées par la société d’assurance à son client. Avec une cible identifiée, l’attaquant a mis en place l’envoi d’une chaîne de courriels usurpés, qui demandaient le paiement des factures sur un autre compte bancaire. Dans l’un des e-mails, l’attaquant a proposé d’appeler le client pour fournir une vérification supplémentaire. La source des courriels usurpés était un domaine mis en place pour ressembler étroitement à celui de la compagnie d’assurance.

Comment réagir et atténuer les attaques BEC

Cette étude de cas est une grande démonstration de la mesure dans laquelle les cybercriminels vont tromper leurs cibles. L’attaque du BEC était très proche de l’atteinte de ses objectifs et l’aurait fait si un employé diligent n’avait pas cherché à obtenir l’approbation par téléphone avant de traiter les paiements.

L’ autorisation verbale peut sembler être un contrôle atténuant évident, mais ce n’est pas un contrôle appliqué par de nombreuses entreprises. L’une des violations les plus célèbres du secteur financier de ces dernières années, le brassage cybernétique de 1 milliard de dollars de la Banque du Bangladesh, est dû en partie au fait que des protocoles suffisants pour vérifier les transferts de paiements n’étaient pas en place.

Afin d’atténuer le risque d’attaques du BEC, les entreprises devraient mettre en œuvre une gamme de contrôles et de processus afin non seulement de prévenir ces types d’escroqueries, mais aussi de les détecter et d’y réagir le plus rapidement possible. À la suite de l’attaque, l’équipe informatique du cabinet de fusions et acquisitions a été conseillée d’appliquer l’authentification multifactorielle sur tous les comptes utilisateur et d’activer la journalisation complète des audits de boîte aux lettres dans Office 365 afin d’accroître la visibilité des activités anormales telles que les tentatives de connexion échouées et les violations de stratégie. Un examen du programme de formation à la sécurité de l’entreprise a également été recommandé.

Pour les organisations qui souhaitent réduire davantage la sécurité outils IEM (Security Information and Event Management) et EDR (Endpoint Detection and Response) sont fortement recommandés pour aider à améliorer la visibilité des menaces dans les environnements sur site et cloud.

À la

suite de nouvelles récentes de la FCA selon lesquelles un tiers des entreprises financières ne procèdent pas régulièrement à des évaluations de sécurité telles que des tests de pénétration, il faut aussi faire davantage pour évaluer régulièrement l’efficacité des contrôles de sécurité et identifier les vulnérabilités de sécurité en réponse à des scénarios d’attaque courants. Les missions simulées peuvent également aider à sensibiliser les employés à la cyber-sensibilisation.

Chaque année semble présenter de nouveaux risques pour la sécurité des entreprises financières. Vous pouvez parier que 2019 sera plus de la même, et que l’atténuation des risques d’attaques BEC continuera de poser des défis importants.

Gaston Alexandre

En tant que travailleur indépendant, j’ai décidé de me lancer dans la rédaction d’articles basée sur le buzz international. Je traite ainsi différents sujets, et particulièrement ceux qui ont suscité un énorme engouement dans la société mondiale. J’écris ainsi des articles concernant les thématiques à fort caractère, c’est-à-dire qui créent un véritable impact émotionnel chez le lecteur. Le nombre d’articles que j’écris est variable au quotidien. L’objectif étant de fournir le maximum d’informations pertinentes du jour, vous pouvez alors découvrir de nombreuses publications d’une douzaine de lignes par article.
Bouton retour en haut de la page