Mois de la prévention de la fraude: lutter contre la fraude par courrier électronique professionnel


Le Mois de la prévention de la fraude commence aujourd’hui, ce qui me rappelle trois fraudes en ligne liées aux entreprises sur lesquelles j’ai écrit. Jetons un coup d’œil à eux et discutons de certaines des similitudes qu’ils partagent:

  • Le fabricant de jouets Mattel a failli perdre 3 millions de dollars américains en 2015 lorsque le directeur financier a fait confiance à un e-mail prétendument de son patron lui demandant de transférer les fonds à un nouveau fournisseur en Chine. Le protocole de Mattel pour des transferts aussi importants exigeait l’approbation du PDG et du directeur financier. Eh bien, l’e-mail du PDG en était un, et elle, en tant que directrice financière, était l’autre, donc… Heureusement, l’événement s’est déroulé sur un long week-end en Chine, alors quand la banque a ouvert mardi, le transfert a été gelé.
  • Une entreprise du Texas a perdu 1 million de dollars en 2019 lorsqu’un assistant du PDG a pensé qu’elle suivait les ordres par courrier électronique de son patron pour envoyer de l’argent à une entreprise. Mais elle a été dupe. L’e-mail ne venait pas de son patron. L’attaquant a lu la page Facebook de l’exécutif et a appris qu’il entraînait l’équipe de football de sa fille. L’escroc a ensuite piraté le courrier électronique du dirigeant et envoyé un message à l’assistante un vendredi lui demandant de s’occuper du transfert d’argent à une entreprise parce qu’il était absent au tournoi de sa fille. Le message a également dit à l’assistante de ne pas se donner la peine de confirmer que le transfert avait été effectué parce que le PDG lui faisait confiance pour s’occuper des choses;
  • Une société de capital-risque chinoise a perdu 1 million de dollars qui était censé aller à une start-up israélienne lorsque des pirates ont pu s’insérer dans les conversations par courrier électronique des deux entreprises distantes de milliers de kilomètres. Les attaquants ont appris par des annonces publiques que la société chinoise allait investir dans la société israélienne. Ils ont ensuite piraté le courrier électronique des entreprises et créé deux comptes de messagerie qui imitaient étroitement les domaines de messagerie de chaque entreprise en ajoutant la lettre «s» au nom. Les dirigeants n’ont pas repéré la différence. Le résultat était que le pirate pouvait intercepter les messages entre les deux sociétés, modifier le contenu et envoyer des messages entre elles via les faux comptes de messagerie. À un moment donné, les responsables des deux sociétés devaient se rencontrer à Shanghai. L’attaquant a envoyé un e-mail aux deux entreprises disant qu’ils ne pouvaient pas se rendre à la réunion pour différentes raisons. Si cette réunion avait eu lieu, l’arnaque aurait probablement été révélée. Les deux sociétés ont seulement réalisé que quelque chose n’allait pas lorsque la banque de la société chinoise a déclaré que quelque chose n’allait pas avec son virement bancaire, et la société israélienne a réalisé qu’elle n’avait pas reçu son million de dollars.

Les chercheurs en sécurité et en application de la loi appellent ces incidents et d’autres comme eux «compromission d’un dirigeant d’entreprise» ou «escroqueries par e-mail professionnel» (BEC). Ils ont deux choses en commun: le personnel qui fait confiance aux communications par courrier électronique et les processus commerciaux médiocres pour gérer les transferts financiers.

Pendant le mois de la prévention de la fraude ITWorldCanada.com aura un certain nombre d’articles conseillant les RSSI et les PDG sur la réduction des chances d’être pris par la fraude en ligne.

En rapport:

Comment réduire les risques de fraude BEC [Full story]

Plus de moyens de réduire les risques de fraude BEC [Full story]

Mesurer l’activité de fraude au Canada n’est pas facile – et encore plus difficile de quantifier le montant de la fraude numérique – parce qu’elle repose sur le signalement des victimes. Le Centre antifraude du Canada estime que seulement 5% des fraudes sont signalées à la police.

L’année dernière, le centre a reçu 101 483 rapports de fraude impliquant près de 160 millions de dollars de pertes déclarées. Beaucoup sont liés aux consommateurs (investissement, extorsion, romance et escroqueries à l’emploi), tandis que d’autres sont davantage liés aux affaires (extorsion, usurpation d’identité, BEC et escroqueries sur les marchandises, par exemple). Les fraudes liées au BEC relèvent du harponnage, qui a représenté 14,4 millions de dollars de pertes déclarées.

Jeff Thomson du Centre antifraude du Canada a noté que les escroqueries impliquent non seulement des messages qui semblent provenir de cadres, mais aussi de faux messages de fournisseurs et de partenaires, du siège social aux propriétaires de franchises et même de supposés employés demandant des changements aux banques pour leur salaire direct. dépôts.

Avec l’avènement du COVID, les entreprises et les particuliers ont été dupés en achetant des équipements de protection individuelle médiocres ou non livrés, par exemple. Certains tombent amoureux de faux vaccins COVID. Parce que certaines entreprises (compagnies aériennes, restaurants et agents des frontières) demandent des preuves de vaccination, les criminels offrent de plus en plus de fausses preuves de documents de vaccination.

«Cette année a vu une augmentation significative des activités frauduleuses, car de nombreuses organisations ont transféré une partie importante de leurs activités en ligne. [because of COVID], et le personnel devait travailler à domicile », a déclaré Robert Fazon, chef de l’ingénierie au Canada pour Check Point Software, qui a rendu compte de l’incident de fraude sino-israélien. «Il y a donc eu une énorme expansion de la zone de contrôle nécessaire à la gestion de la sécurité pour ces organisations. Cela a créé des risques et des défis importants. »

Dans certains cas, cela a augmenté les accès non autorisés.

«L’accès est la source de la plupart des fraudes, ou des éléments qui permettent la fraude, que nous constatons», a-t-il déclaré. «Ceux qui occupent des postes d’autorité se trouvent vulnérables parce qu’ils ouvrent des liens et donnent accès aux pirates informatiques, qui l’utilisent pour commettre des fraudes financières ou voler du capital intellectuel et interférer avec les forces de l’ordre.»

Thomson, du Centre antifraude du Canada, affirme que la clé pour déjouer les systèmes BEC est une formation de sensibilisation à la sécurité afin que les employés reconnaissent les signes de courriels potentiellement frauduleux. Ces signes incluent des changements dans les adresses de l’expéditeur attendues (johnsmith@isp.com devient johnsmith@isp.net, par exemple, ou johnssmith@isp.com); les messages arrivant en retard le vendredi demandant que de l’argent soit transféré; les demandes de modification de l’endroit où les fonds doivent être envoyés; et des messages disant que le transfert est urgent.

Les objectifs communs

Deloitte note que les programmes BEC ciblent souvent le personnel de niveau intermédiaire qui communique rarement avec les cadres, les avocats ou les fournisseurs prétendument derrière une demande de transaction. Les attaquants s’appuient sur les employés qui ne veulent pas approcher les gestionnaires pour authentifier une transaction.

Une autre approche anti-BEC efficace consiste à utiliser le cryptage pour authentifier les e-mails entre une source approuvée, ce qui rend difficile l’intervention d’un tiers. Les experts disent que les administrateurs devraient également activer les fonctionnalités qui identifient les e-mails internes par couleur. De cette façon, un e-mail provenant d’une source externe, telle qu’un acteur menaçant, sera immédiatement qualifié de suspect s’il est censé provenir d’un dirigeant.

Les politiques des processus commerciaux pour gérer l’argent doivent également être renforcées. Les approbations par e-mail ne sont pas assez bonnes de nos jours. Le personnel doit également être averti de ne pas se fier aux instructions laissées par la messagerie vocale. Si le personnel doit téléphoner à quelqu’un pour vérifier un message, utilisez un numéro de téléphone connu préalablement accepté par la politique, et non un dans un e-mail. L’utilisation de l’authentification multifacteur pour protéger l’accès aux comptes sensibles est également importante.

Dans un guide sur la lutte contre la fraude BEC, Proofpoint déclare que le personnel doit être informé de ce qui suit:

  • Soyez méfiant. Il vaut mieux demander des éclaircissements, transmettre un e-mail au service informatique ou vérifier avec un collègue que de câbler des centaines de milliers de dollars à une fausse entreprise en Chine.
  • Si quelque chose ne va pas, ce n’est probablement pas le cas. Encouragez les employés à faire confiance à leur instinct et demandez « Mon PDG me dirait-il vraiment de faire cela? » ou « Pourquoi ce fournisseur ne soumet-il pas une facture via notre portail? »
  • Ralentir. Les attaquants chronométrent souvent leurs campagnes autour de nos périodes les plus chargées de la journée pour une bonne raison. Si un responsable des ressources humaines parcourt rapidement les e-mails, il est moins susceptible de faire une pause et de se demander si une demande particulière est suspecte.

Recommanderiez-vous cet article?

Merci d’avoir pris le temps de nous dire ce que vous pensez de cet article!

Nous aimerions connaître votre opinion sur cette histoire ou sur toute autre histoire que vous lisez dans notre publication. Cliquez sur ce lien pour m’envoyer une note →

Jim Love, Chef du contenu, IT World Canada


Téléchargement connexe
Conversations sur la cybersécurité avec votre conseil Parrainer: CanadianCIO

Conversations sur la cybersécurité avec votre conseil d’administration – Un guide de survie
UN GUIDE DE SURVIE PAR CLAUDIO SILVESTRI, VICE-PRÉSIDENT ET CIO, NAV CANADA
Télécharger maintenant

Laisser un commentaire