Selon le FBI, 94 % des violations de données sont réalisées via des attaques par e-mail à l’attention des employés. Au cours de la dernière année, les dégâts causés par les cyberattaques BEC/EAC, aux entreprises du monde entier, constituent un montant d’environ 1,6 milliard d’euros.
Selon Gartner, une société mondiale de recherche et de consulting, le nombre d’attaques BEC ne va pas cesser de doubler chaque année, provoquant des dégâts de plus de 5 milliards de dollars pour les entreprises. Du coup, l’objectif primordial pour les entreprises est de prévenir les attaques BEC et EAC.
Les cybercriminels ciblent leurs victimes en appliquant l’ingénierie sociale à un niveau très poussé. Ce qui rend leurs messages malveillants hautement efficaces. Quels que soient la taille et le secteur d’activité des entreprises, elles sont visées par ce genre d’attaques (Business Email Compromise (BEC) /Email Account Compromise (EAC)) qui causent le plus de dommages parmi toutes les activités cybercriminelles et, en même temps, ne sont pas détectées par les systèmes de sécurité de messagerie électronique car elles ne sont pas basées sur des méthodes classiques de diffusion de malware.
Les cybercriminels se basent sur la psychologie humaine pour faire croire que leurs messages proviennent de personnes de confiance et convainquent les utilisateurs de leurs envoyer des données sensibles ou de l’argent. En abusant de la confiance de leurs victimes à l’aide des messages BEC, les imposteurs arrivent à leur détourner des centaines ?? d’euros.
Les différents cas d’attaques BEC et EAC les plus propagés, qui ont eu lieu au cours des 2 dernières années, permettent de se rendre compte du danger qu’elles représentent.
Barbara Corcoran, l’une des juges de l’émission « Shark Tank » aux US, a été volée de près de 400 000 dollars par une escroquerie de type BEC.
Des agences gouvernementales de l’île de Porto Rico ont perdu plus de 4 millions de dollars, résultant de trois attaques BEC successives.
Le dégât de la cyberattaque type BEC, notamment par usurpation de nom de domaine, à Red Kite Community Housing, une association à but non lucratif anglaise, a constitué 932 000 £.
De nombreux Juifs résidants aux États-Unis ont été victimes d’un groupe de pirates qui ont abusé de leur confiance et, au nom d’un rabbin local, leurs ont demandé d’acheter des cartes-cadeaux, qui ont coûté jusqu’à 2000€, en vue d’une collecte de fonds.
La filiale de Toyota,Toyota Boshoku, a été volée de 30 millions d’euros par une personne qui s’est faite passer pour un partenaire commercial et a envoyé des emails avec la demande, à des membres du service financier et comptable, de faire des versement d’argent sur son compte.
La ville d’Ocala en Floride, suite à une attaque de type BEC (un email adressé au responsable de la comptabilité de la ville où le cybercriminel s’est présenté comme comptable de l’entreprise en charge du projet de construction du terminal d’un aéroport), a perdu plus de 610 000€.
Le musée national à Enschede, Rijksmuseum Twenthe, aux Pays-Bas a été escroqué de 2,5 millions d’euros par un cybercriminel qui a négocié par e-mail, au nom d’un marchand d’art anglais, la vente d’un tableau de John Constable.
Tous ces exemples démontrent que les attaques BEC sont en plein boom. Les cybercriminels sont inventifs et leurs moyens sont très variés. Ils touchent des entreprises et organisations de toutes tailles et de tous les domaines d’activités. Les attaques de ce genre sont difficiles à déceler et il est très facile de se faire tromper par un imposteur car, basées sur l’ingénierie sociale, elles réussissent à contourner les systèmes de cyberdéfenses les plus fiables.
Néanmoins, il est quand même possible de développer une stratégie de défense efficace contre les attaques de type BEC/EAC. Celles-ci visent les personnes et se concentrent sur la faiblesse humaine et non sur les infrastructures et les vulnérabilités techniques, alors, il faut une défense centrée sur l’humain.
Une formation pour les employés ayant pour but de les préparer au mieux et de redoubler de vigilance, les sensibilisent face à ce type de menace qui joue un rôle primordial, car elle permet de diminuer les risques et même neutraliser les menaces si les e-mails des cybercriminels arrivent sur les boîtes de réception des victimes potentielles.