Comment des escrocs ont redirigé les salaires sans pirater les systèmes grâce à l’ingénierie sociale

Des escrocs ont récemment réussi à détourner les salaires d’employés sans même s’introduire dans les systèmes informatiques des entreprises. Leur arme ? L’ingénierie sociale, une technique de manipulation psychologique qui exploite la confiance des gens plutôt que la faille des machines. Le scénario est simple et redoutablement efficace : se faire passer pour un haut dirigeant pour tromper les employés en charge des finances.

Ce type d’attaque, connu sous le nom de compromission d’email d’entreprise (BEC), ne nécessite pas de compétences techniques poussées. Une simple usurpation d’identité permet aux hackers de manipuler les rouages internes d’une entreprise. Les conséquences, elles, sont bien réelles : des pertes financières importantes et des dégâts sur la réputation de l’entreprise.

La compromission d’email d’entreprise : l’arme fatale des arnaques

La compromission d’email d’entreprise, ou BEC, est une technique d’attaque qui repose sur l’usurpation d’identité. Les hackers prennent l’apparence d’un PDG ou d’un cadre supérieur pour demander des transferts d’argent. Ce stratagème est particulièrement efficace, car il joue sur l’autorité et la pression hiérarchique.

De nombreux cas ont été recensés, dont celui de Snapchat en 2016, où des escrocs se sont fait passer pour le PDG Evan Spiegel. Ils ont réussi à obtenir des informations sensibles de la part du département de la paie. Ces données pouvaient inclure des détails de salaire, des numéros de sécurité sociale et des comptes bancaires.

Les BEC ne se limitent pas à l’usurpation d’identité. Ils peuvent également inclure des techniques de spear phishing, où des emails ciblés sont envoyés à des employés spécifiques pour voler des informations sensibles. Les conséquences peuvent être dévastatrices, allant jusqu’à des pertes de plusieurs millions pour certaines entreprises.

Le BEC est redoutablement efficace, car il ne nécessite pas de pénétrer les systèmes de sécurité numérique. Il se base sur la confiance des employés et leur manque de vigilance face à des demandes inhabituelles venant apparemment de la hiérarchie.

Les techniques d’ingénierie sociale employées

Les escrocs ont recours à plusieurs techniques d’ingénierie sociale pour tromper leurs victimes. L’une des plus courantes est le phishing, où des emails frauduleux incitent les employés à divulguer des informations confidentielles. Ces emails semblent provenir de sources légitimes, ce qui les rend difficile à détecter.

Un autre exemple est le vishing, ou phishing vocal, où les attaquants appellent directement les victimes en se faisant passer pour un cadre supérieur. Cette approche directe renforce le sentiment d’urgence et de pression, poussant les employés à agir sans réfléchir.

Les deepfakes représentent une autre menace émergente. En manipulant des vidéos ou des enregistrements audio, les attaquants peuvent créer des messages authentiques de la part de dirigeants, demandant des actions spécifiques. Ces technologies rendent l’ingénierie sociale encore plus persuasive.

Enfin, le smishing, ou SMS phishing, utilise les messages texte pour inciter les victimes à cliquer sur des liens ou à répondre à des demandes frauduleuses. Ces messages semblent souvent venir de contacts de confiance, augmentant ainsi leur efficacité.

Conséquences pour les entreprises et les employés

Les conséquences de ces attaques d’ingénierie sociale sont multiples et souvent dévastatrices. Pour les entreprises, cela se traduit par des pertes financières importantes. En 2020, le FBI estimait que les BEC avaient coûté aux entreprises près de 1,8 milliard de dollars.

Outre les pertes financières directes, les entreprises subissent également des dommages en termes de réputation. Une fois qu’une entreprise est connue pour avoir été victime d’une arnaque BEC, elle peut perdre la confiance de ses clients et partenaires, ce qui impacte sa crédibilité.

Pour les employés, être victime d’une telle arnaque peut avoir des répercussions sur leur carrière. Ils peuvent être tenus pour responsables des pertes, même s’ils ont agi de bonne foi. Cela crée un climat de méfiance et de stress au sein de l’entreprise.

Les conséquences psychologiques ne sont pas à négliger. Les employés peuvent ressentir de la culpabilité, de la honte et une perte de confiance en eux, ce qui peut affecter leur performance et leur bien-être au travail.

Mesures de prévention et de sensibilisation

Pour se protéger contre ces attaques, les entreprises doivent mettre en place des mesures de prévention efficaces. La formation des employés à reconnaître les signes d’ingénierie sociale est cruciale. Ils doivent être capables d’identifier les emails suspects et de vérifier l’authenticité des demandes.

L’authentification à deux facteurs est une autre solution pour renforcer la sécurité des communications électroniques. Elle ajoute une couche de protection en exigeant une vérification supplémentaire avant d’accéder aux comptes email ou de réaliser des transactions.

Les entreprises doivent également instaurer des procédures de vérification rigoureuses pour les transactions financières. Cela peut inclure des confirmations téléphoniques ou des approbations de plusieurs niveaux pour les transferts d’argent importants.

Enfin, la sensibilisation continue des employés est essentielle. Des campagnes régulières de sensibilisation à la cybersécurité peuvent maintenir un niveau élevé de vigilance et réduire les risques d’attaques réussies.

Le rôle de la technologie dans la lutte contre les BEC

La technologie joue un rôle clé dans la prévention et la détection des attaques BEC. Des solutions de sécurité avancées peuvent analyser les modèles de communication et détecter les anomalies qui pourraient indiquer une fraude.

Les outils d’intelligence artificielle peuvent être utilisés pour surveiller les emails entrants et sortants, identifiant les tentatives de phishing en temps réel. Cela permet aux entreprises de réagir rapidement et de limiter les dégâts potentiels.

Les plateformes de gestion des identités et des accès peuvent renforcer la sécurité en contrôlant qui a accès aux informations sensibles. Elles permettent de s’assurer que seuls les employés autorisés peuvent initier des transferts financiers.

Enfin, les technologies de blockchain pourraient offrir une solution à long terme pour sécuriser les transactions financières. En rendant chaque transaction traçable et transparente, elles pourraient réduire les opportunités de fraude par BEC.