Malgré des années d’affirmations selon lesquelles la « mort de l’e-mail » approche à grands pas, cette méthode de communication vieille de plusieurs décennies continue de prospérer dans les affaires. En particulier, le business du piratage.
Un e-mail contenant un lien qui semble légitime mais qui est en fait malveillant reste l’une des astuces les plus dangereuses et les plus réussies du manuel d’un cybercriminel et a conduit à certains des plus grands piratages de ces dernières années, notamment la violation en 2022 du géant des communications Twilio et le piratage de la plateforme de médias sociaux Reddit l’année dernière.
Bien que ces e-mails soient parfois faciles à repérer, que ce soit en raison d’une mauvaise orthographe ou d’une adresse e-mail inhabituelle, il devient de plus en plus difficile d’identifier un e-mail douteux d’un e-mail légitime, car les tactiques des pirates deviennent de plus en plus sophistiquées.
Prenons l’exemple de la compromission des e-mails professionnels (ou BEC), un type d’attaque par e-mail qui cible les organisations, grandes et petites, dans le but de voler de l’argent, des informations critiques, ou les deux. Dans ce type d’escroquerie, les pirates se font passer pour une personne familière à la victime, comme un collègue, un patron ou un partenaire commercial, ou compromettent celle-ci, afin de la manipuler pour qu’elle divulgue des informations sensibles sans le savoir.
Le risque que cela représente pour les entreprises, en particulier les startups, ne peut être surestimé. Rien que l’année dernière, les États-Unis ont perdu près de 3 milliards de dollars dans des escroqueries BEC, selon les dernières données du FBI. Et ces attaques ne montrent aucun signe de ralentissement.
comment repérer une arnaque par compromission d’e-mail professionnel
Recherchez les signes avant-coureurs
Bien que les cybercriminels soient devenus plus avancés dans leurs tactiques d’envoi d’e-mails, il existe quelques signaux d’alarme simples que vous pouvez – et devez – surveiller. Il s’agit notamment d’un e-mail envoyé en dehors des heures normales de bureau, de noms mal orthographiés, d’une incompatibilité entre l’adresse e-mail de l’expéditeur et l’adresse de réponse, de liens et de pièces jointes inhabituels ou d’un sentiment d’urgence injustifié.
Contacter directement l’expéditeur
L’utilisation du spear phishing, où les pirates utilisent des e-mails de phishing personnalisés pour se faire passer pour des cadres supérieurs d’une entreprise ou des fournisseurs externes, signifie qu’il peut être presque impossible de dire si un message provient d’une source fiable. Si un e-mail vous semble inhabituel – ou même si ce n’est pas le cas – contactez directement l’expéditeur pour confirmer la demande, plutôt que de répondre par e-mail ou par le numéro de téléphone fourni dans l’e-mail.
Vérifiez auprès de vos informaticiens
Les escroqueries au support technique sont de plus en plus courantes. En 2022, les clients d’Okta ont été la cible d’une escroquerie très sophistiquée qui a vu des attaquants envoyer à leurs employés des SMS contenant des liens vers des sites de phishing imitant l’apparence des pages de connexion Okta de leurs employeurs. Ces pages de connexion ressemblaient tellement à la réalité que plus de 10 000 personnes ont soumis leurs qualifications professionnelles. Il y a de fortes chances que votre service informatique ne vous contacte pas par SMS, donc si vous recevez un message texte aléatoire à l’improviste ou une notification contextuelle inattendue sur votre appareil, il est important de vérifier s’il est légitime.
Méfiez-vous (encore plus) des appels téléphoniques
Les cybercriminels utilisent depuis longtemps l’e-mail comme arme de prédilection. Plus récemment, les criminels s’appuient sur des appels téléphoniques frauduleux pour pirater les organisations. Un seul appel téléphonique aurait conduit au piratage de la chaîne hôtelière MGM Resorts l’année dernière, après que des pirates aient réussi à tromper le service d’assistance de l’entreprise en leur accordant l’accès au compte d’un employé. Méfiez-vous toujours des appels inattendus, même s’ils proviennent d’un contact d’apparence légitime, et ne partagez jamais d’informations confidentielles par téléphone.
Multifactoriel tout !
L’authentification multifactorielle, qui nécessite généralement un code, un code PIN ou une empreinte digitale pour se connecter, ainsi que votre nom d’utilisateur et votre mot de passe de régulateur, n’est en aucun cas infaillible. Cependant, en ajoutant une couche de Sécurité supplémentaire au-delà des mots de passe susceptibles d’être piratés, il est beaucoup plus difficile pour les cybercriminels d’accéder à vos comptes de messagerie. Allez encore plus loin en déployant une technologie sans mot de passe, comme les clés de sécurité matérielles et les clés d’accès, qui peuvent empêcher le vol de mots de passe et de jetons de session par des logiciels malveillants de vol d’informations.
Mettre en place des processus de paiement plus stricts
Quel que soit le type de cyberattaque, l’objectif ultime d’un criminel est de gagner de l’argent, et le succès des escroqueries BEC dépend souvent de la manipulation d’un seul employé pour qu’il envoie un virement bancaire. Certains pirates informatiques motivés par l’argent se font passer pour un fournisseur demandant un paiement pour des services fournis à l’entreprise. Pour réduire le risque d’être victime de ce type d’escroquerie par e-mail, déployez des processus de paiement stricts : élaborez un protocole pour l’approbation des paiements, exigez que les employés confirment les transferts d’argent par le biais d’un deuxième support de communication et demandez à votre équipe financière de Vérifiez chaque détail de compte bancaire qui change.
Vous pouvez également l’ignorer
En fin de compte, vous pouvez minimiser le risque de tomber dans le piège de la plupart des escroqueries BEC en ignorant simplement la tentative et en passant à autre chose. Pas sûr à 100% que votre patron en fait Vous voulez aller acheter des cartes-cadeaux d’une valeur de 500 $ ? Ignorez-le ! Vous recevez un appel auquel vous ne vous attendiez pas ? Raccrochez le téléphone ! Mais pour le bien de votre équipe de sécurité et pour aider vos collègues, ne restez pas silencieux. Signalez la tentative à votre lieu de travail ou à votre service informatique afin qu’ils soient en état d’alerte.