Méfiez-vous de ces 5 types d'escroqueries BEC

29septembre, 2022
Kaseya
Usurpation d'identité par e-mail professionnel

Quelle est la plus grande cybermenace à laquelle sont confrontées les entreprises ? Ce ne sont pas les ransomwares, même si ceux-ci font souvent la une des journaux. Il s’agit de la compromission des comptes de messagerie professionnels (BEC). Parfois appelé « compromission de compte de messagerie » (EAC), le BEC peut entraîner des pertes commerciales potentiellement dévastatrices. Malheureusement, la nature caméléonesque du BEC le rend difficile à détecter pour la plupart des victimes. C'est un problème grave, car cette attaque peut rapidement causer des dommages considérables au chiffre d'affaires, à la réputation et à la productivité d'une entreprise. Cet aperçu du monde complexe du BEC vous aidera à développer et à maintenir une solide posture défensive contre la cybermenace la plus coûteuse à l'heure actuelle.   

Demande de paiement urgent ou escroqueries par facture  

La forme la plus courante d'attaque de type BEC est l'arnaque à la facture ou au paiement urgent. Dans ce scénario, les malfaiteurs se font passer pour des représentants d'une entreprise ou d'un organisme public et indiquent à la victime qu'une facture doit être réglée immédiatement pour éviter des conséquences fâcheuses, telles que l'interruption de son service téléphonique. En général, ils demandent un virement bancaire vers un compte bancaire frauduleux, mais il arrive parfois que les malfaiteurs exigent un paiement par carte cadeau ou carte prépayée.  

Exemples

  • Le FBI a reçu de nombreux signalements de fraudes par fausse facture (BEC) liées à la COVID-19 visant de grands établissements de santé. Les victimes recevaient des messages leur indiquant qu’une fausse facture devait être réglée immédiatement pour que leur établissement puisse recevoir une livraison de matériel médical ou de vaccins indispensables. On leur demandait d’effectuer le paiement par virement bancaire. Bien entendu, aucun matériel n’est jamais parvenu à ces malheureux établissements de santé.  
  • Facebook et Google ont tous deux été victimes d'escroqueries à la facture orchestrées par les mêmes cybercriminels, qui ont entraîné des pertes cumulées d'environ 121 millions de dollars. Le Lituanien Evaldas Rimasauskas et ses complices ont créé une fausse société qui utilisait le nom d'un véritable fournisseur de matériel informatique, « Quanta Computer ». Le groupe a ensuite présenté à Facebook et à Google des factures frauduleuses, que ces deux entreprises ont immédiatement réglées — directement sur des comptes bancaires contrôlés par les malfaiteurs. 

Escroqueries par usurpation d'identité de cadres supérieurs  

Les cybercriminels peuvent se faire passer pour un cadre de l'entreprise de la victime ou d'une autre organisation afin d'inciter cette dernière à télécharger un document malveillant, à leur envoyer de l'argent, à leur fournir des informations sensibles telles que des données financières ou à les aider à accéder à des systèmes et à des données protégés.  

Exemples

  • Chez le fabricant de jouets Mattel, des cybercriminels se faisant passer pour des dirigeants d'une entreprise chinoise ont manipulé un cadre supérieur afin qu'il approuve un virement international de 3 millions de dollars vers leur fausse société en Chine. Ce cadre s'est rapidement rendu compte que cette entreprise chinoise n'existait pas et qu'il avait transféré cette somme à des cybercriminels.  
  • Pathé, une société française du secteur du cinéma, a été victime d’une attaque de type BEC au cours de laquelle des cybercriminels se sont fait passer pour le PDG de l’entreprise. Les malfaiteurs se sont fait passer pour des dirigeants de la division néerlandaise de l'entreprise en utilisant une adresse e-mail similaire au domaine légitime de l'entreprise, pathe.com. Les fraudeurs ont convaincu les dirigeants de transférer des fonds vers un « nouveau » compte bancaire (frauduleux) afin de financer le rachat supposé d'une entreprise à Dubaï, ce qui a entraîné une perte de 21 millions de dollars.  

Escroqueries par fausse déclaration 

 Dans le cadre d'une tentative d'usurpation d'identité, des malfaiteurs ciblent les employés de certains services dans le but de les inciter, par la ruse, à leur communiquer des informations sensibles ou à effectuer des paiements. Ils peuvent se faire passer pour des représentants des pouvoirs publics, voire pour des cadres ou des collègues au sein même de l'organisation de la victime.  

Exemples

  • L'organisation caritative Save the Children a perdu 1 million de dollars à la suite d'une attaque de type BEC. Dans le cadre de cette escroquerie, le pirate a réussi à accéder au compte de messagerie d'un employé, puis s'en est servi pour envoyer de fausses factures et d'autres documents au service comptable de l'organisation, prétendant que ces fonds étaient nécessaires pour payer des panneaux solaires inexistants destinés à une clinique au Pakistan. Le service comptable n'a rien soupçonné, car les factures provenaient d'une adresse de confiance. 
  • Lors d'un incident survenu chez Snapchat, des cybercriminels ont contacté un employé disposant d'un accès privilégié au sein du service des ressources humaines de l'entreprise. En se faisant passer pour le PDG et en prétendant avoir besoin d'informations dans le cadre d'une procédure administrative courante, ils ont réussi à convaincre cet employé de leur transmettre des données financières sensibles, notamment des informations relatives à la paie des employés actuels et anciens. Le géant technologique Ubiquiti Networks a été victime d'une attaque de type BEC et a subi des pertes de 46 millions de dollars en 2015 après que des fraudeurs se faisant passer pour des employés aient persuadé d'autres employés du service financier de leur envoyer de l'argent pour des raisons qui semblaient légitimes.  

Escroqueries aux cartes-cadeaux  

Le sentiment d'urgence est une caractéristique typique des escroqueries par carte cadeau de type BEC. Les escrocs font peur à leurs victimes, par exemple en leur affirmant que l'électricité de leur entreprise sera coupée pour non-paiement si elles ne règlent pas leur facture immédiatement par carte cadeau. La Commission fédérale du commerce des États-Unis fournit plusieurs exemples de scénarios d'escroquerie par carte cadeau qu'elle a rencontrés.  

  • La victime reçoit un e-mail prétendant provenir d'un organisme public, souvent l'Internal Revenue Service (IRS) ou l'Administration de la sécurité sociale des États-Unis.  
  • Ils prétendent que la victime ou son entreprise doit s'acquitter d'impôts ou d'une amende et qu'elle s'expose à de graves conséquences si elle ne paie pas immédiatement.  
  • Un cybercriminel envoie un message en se faisant passer pour le service d'assistance technique d'Apple ou de Microsoft, affirmant qu'il y a un problème avec les systèmes ou les services de l'entreprise et que la victime doit payer pour le faire réparer.  
  • Dans une arnaque courante et inquiétante liée aux cartes-cadeaux, des escrocs se font passer pour des représentants d'un service public, comme une compagnie d'électricité, et menacent de couper le service si la victime ne paie pas immédiatement.  
  • Les cybercriminels se font passer pour des clients qui prétendent avoir effectué un paiement erroné et à qui l'on doit de l'argent, allant parfois jusqu'à menacer d'intenter une action en justice si le « trop-perçu » n'est pas remboursé rapidement 

Usurpation d'identité ou fraude à l'information  

Une escroquerie de type BEC par détournement d'identifiants commence lorsque des cybercriminels demandent à la victime de leur fournir ses identifiants, sous prétexte qu'ils auraient égaré ceux qui leur avaient déjà été communiqués ou qu'ils n'auraient pas reçu les bons pour accomplir une tâche. Ces deux variantes aboutissent au même résultat : un cybercriminel parvient à convaincre un employé de lui donner accès à des systèmes, des comptes et des données auxquels il n'est pas autorisé à accéder.  

Exemples

  • Twitter a été victime d'une attaque de type BEC. Lors de cet incident, des cybercriminels se faisant passer pour des techniciens de maintenance ont contacté des employés de Twitter. Ils ont convaincu l'un d'entre eux qu'il y avait eu une erreur et qu'il n'avait pas reçu les identifiants nécessaires pour accéder à un système nécessitant une intervention technique. Après avoir obtenu les identifiants de cet employé peu méfiant, les cybercriminels ont pu prendre le contrôle de comptes appartenant à des personnalités, notamment Donald Trump et Elon Musk, et les utiliser à des fins malveillantes.  
  • En février 2021, le célèbre entrepreneur Obinwanne Okeke a été condamné à 10 ans de prison pour son implication dans une escroquerie de type BEC qui a causé au moins 11 millions de dollars de pertes à ses victimes. En utilisant des e-mails de hameçonnage pour obtenir les identifiants de connexion de dirigeants d'entreprise (dont le directeur financier de la société britannique Unatrac Holding), il disposait d'un accès direct pour mener une attaque de type BEC. 

Graphus les entreprises contre les risques liés au BEC

La solution de sécurité des e-mails Graphus, basée sur l'IA, constitue une défense efficace contre les menaces de type BEC et autres attaques de phishing. Par rapport à une protection intégrée ou à un SEG, les solutions de sécurité des e-mails automatisées et basées sur une API, telles que Graphus 40 % de messages de spear phishing supplémentairesd'atteindre la boîte de réception des employés. Voici comment :    

  • TrustGraph constitue un bouclier efficace entre les boîtes de réception des employés et les messages malveillants. Cette technologie exclusive s'appuie sur plus de 50 critères distincts pour détecter les messages de phishing sophistiqués, y compris les attaques « zero-day ».     
  • EmployeeShield affiche une fenêtre claire et bien visible sur les messages suspects, afin de rappeler aux employés de faire preuve de prudence. Ceux-ci peuvent classer un message comme authentique ou malveillant d'un simple clic.     
  • Phish911 permet aux employés de signaler facilement tout message qu'ils jugent suspect. Lorsqu'un employé signale un e-mail potentiellement malveillant, celui-ci est immédiatement supprimé des boîtes de réception de tous les utilisateurs.      
  • Déploiement simple et intégration facile via une API avec Microsoft 365 et Google Workspace 
  • La moitié du prix pratiqué par la concurrence 

Une plateforme complète pour la gestion informatique et de la sécurité

Kaseya 365 la solution tout-en-un pour la gestion, la sécurisation et l'automatisation de l'informatique. Grâce à des intégrations transparentes entre les fonctions informatiques essentielles, elle simplifie les opérations, renforce la sécurité et améliore l'efficacité.

Demander une démonstration Découvrez Kaseya 365

Une seule plateforme. Tout l'informatique.

Kaseya 365 bénéficient des avantages des meilleurs outils de gestion informatique et de sécurité, le tout dans une solution unique.

Découvrez Kaseya 365

Votre succès est notre priorité absolue.

Partner First, c'est l'engagement d'offrir des conditions flexibles, un partage des risques et un accompagnement dédié à votre entreprise.

Découvrez Partner First Pledge »

Rapport Kaseya 2026 sur la situation des MSP

Kaseya - Rapport 2026 sur la situation des MSP - Image web - 1200 x 800 - MISE À JOUR

Découvrez les perspectives 2026 sur le MSP, issues des témoignages de plus de 1 000 prestataires, et apprenez comment augmenter votre chiffre d'affaires, vous adapter aux pressions du marché et rester compétitif.

Télécharger maintenant

Explorer les catégories

L'usurpation d'identité par e-mail (BEC) : de quoi s'agit-il et comment s'en prémunir ?

Le « Business Email Compromise » (BEC) est une arnaque de type hameçonnage qui peut entraîner des pertes tant sur le plan de la réputation que sur le plan financier pour votre entreprise. Découvrez comment.

Lire l'article de blog