17.12.2024 - En tant qu’entreprise, on entretient constamment le contact avec ses clients, souvent par courriel. Demandes et réalisations de projets, attribution de mandats, modalités de paiement et de livraison : de nombreux échanges se déroulent par l’intermédiaire de ce canal de communication. Moyennant quelques efforts, les escrocs peuvent en tirer profit, mais ils ont cependant d’abord besoin d’informations précises. S’ils parviennent à leurs fins, leur victime peut subir des dommages considérables. Un cas très intéressant a récemment été signalé à l’OFCS.
Le plan des cybercriminels
Dans le domaine de la cybersécurité, l’attaque qui consiste à accéder sans autorisation à la messagerie professionnelle d’une entreprise est connue sous le nom de Business E-Mail Compromise (BEC), que l’on peut traduire en français par compromission de messagerie d’entreprise. En accédant à la messagerie professionnelle, les escrocs obtiennent des renseignements très précieux :
- informations concernant la facturation et le paiement;
- données relatives aux projets et aux clients;
- données techniques sur les produits;
- informations concernant les relations avec la clientèle.
Selon les intentions des fraudeurs, les informations dévoilées ne sont pas toujours les mêmes.
- La plupart des cas de BEC qui ont été signalés sont d’ordre pécuniaire:
Des factures sont falsifiées (en modifiant par exemple le bénéficiaire du paiement) et renvoyées sous un faux prétexte en espérant que le destinataire de la facture effectue le paiement. Selon le montant du paiement, la victime peut subir des pertes considérables; - Données techniques et de recherche:
Des concurrents, ou d’autres parties intéressées, pourraient tenter de combler un retard technique en accédant à des documents sensibles; - Offres et projets:
Grâce aux informations volées, un concurrent peut par exemple tenter d’obtenir un avantage concurrentiel ou de décrocher des contrats juteux.
Le cas qui a été signalé à l’OFCS et dont il est question ici entre dans cette dernière catégorie. Il s’agit en effet d’une forme d’espionnage d’entreprise.
La compromission de messagerie d’entreprise
Tout commence par une tentative d’accès à un compte de messagerie, si possible celui d’une personne qui traite des documents qui revêtent un intérêt pour le cybercriminel, par exemple quelqu’un qui travaille dans un service de comptabilité, des responsables de recherche, des chefs de projet ou les membres du comité de direction.
Très souvent, les relations avec la clientèle ou les employés figurent directement sur le site web de l’entreprise concernée ou peuvent ensuite aussi être trouvées sur LinkedIn.
Dans un deuxième temps, la personne ciblée reçoit un courriel d’hameçonnage, qui l’invite à saisir le mot de passe du compte de messagerie. Les cybercriminels se rapprochent alors de leur objectif, surtout si l’authentification à deux facteurs n’est pas activée.
Lorsqu’ils accèdent pour la première fois au compte, les escrocs essaient souvent de mettre en place des règles de redirection : ils reçoivent alors une copie de tous les courriels de leur victime et peuvent ainsi rester longtemps inaperçus.
Le mécanisme de tromperie
Dans le cas auquel nous faisons référence, les fraudeurs sont allés encore plus loin. Après l’accès initial, ils ont fait enregistrer des domaines assez similaires pour les domaines Internet de plusieurs clients ainsi que pour le domaine de l’entreprise concernée (par ex. entreprise-x.ch), en utilisant pour ce faire le domaine de premier niveau .cam. Le domaine client-1.com est ainsi devenu client-1.cam, le site entreprise-x.ch s’est transformé en entreprise-x.cam, etc.
Le domaine de premier niveau .cam existe depuis quelques années et était destiné à l’origine à l’industrie manufacturière (CAM étant l’acronyme de Computer Aided Manufacturing). Aujourd’hui, il est cependant aussi utilisé pour le domaine de la photographie et de la vidéo (camera). Les risques de confusion entre .cam et le très répandu domaine .com ont été pointés rapidement et c’est précisément cette subtilité qui a été exploitée dans notre affaire.
Les escrocs peuvent alors accéder aux échanges entre les clients et l’entreprise et se faire passer pour l’autre, tant auprès de la victime que de son client. Ainsi, les escrocs peuvent par exemple envoyer une demande à client-1.com de la part de entreprise-x.cam. Une éventuelle réponse (toujours à entreprise-x.cam) peut même être renvoyée par les escrocs à entreprise-x.ch, mais avec l’expéditeur client-1.cam. La réponse est alors à nouveau acheminée par l’environnement des escrocs.
Heureusement, ces cas restent rares et sont souvent mis à jour, par exemple parce que d’autres membres du personnel du mandataire sont aussi en contact avec le client ou parce que les personnes concernées s’entretiennent également par téléphone : des informations contradictoires apparaissent soudainement. Les adresses électroniques falsifiées peuvent attirer l’attention d’une personne, ou un administrateur de système particulièrement attentif peut remarquer des accès à ses systèmes de messagerie depuis des adresses IP inhabituelles.
De graves conséquences ont ainsi pu être évitées dans le cas qui nous a été signalé.
Recommandations
- Sensibilisez les personnes qui occupent des postes clés à cette variante d’escroquerie;
- Activez l’authentification à deux facteurs sur les comptes (de messagerie en particulier) qui sont potentiellement accessibles par le biais d’internet;
- Limitez si possible l’accès à ces comptes à des listes d’adresses plus courtes, par exemple à des adresses qui peuvent être attribuées à la Suisse, ou utilisez un VPN;
- Vérifiez régulièrement les règles de redirection vers vos comptes de messagerie;
- Demandez une confirmation au destinataire du paiement, si possible par téléphone, lorsqu’on vous demande d’effectuer des changements dans le trafic des paiements (par ex. nouveaux comptes bancaires);
- Portez plainte à la police lorsqu’une tentative de compromission a abouti ou lorsque vous avez subi une perte financière.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 17.12.2024
