Les escrocs continuent de gagner gros grâce aux attaques de compromission de la messagerie professionnelle, mais près des deux tiers des attaques impliquent un schéma beaucoup plus simple.
Les entreprises perdent plus de 700 millions de dollars par mois à cause des cybercriminels parce que leurs employés en sont victimes. attaques de phishing, les campagnes de compromission des e-mails professionnels (BEC) et les escroqueries aux cartes-cadeaux – et les sommes d'argent perdues ne cessent d'augmenter.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
Les virements électroniques importants représentent un pourcentage important des attaques réussies – les criminels derrière eux utilisant attaques de phishing et d'usurpation d'identité pour inciter le personnel imprudent à remettre des centaines de milliers de dollars en une seule fois aller. Mais l'arnaque la plus courante
implique des escrocs incitant les victimes à envoyer des cartes-cadeaux cela peut valoir aussi peu que 250 $.Analyse réalisée par des chercheurs d'Agari – publiée dans le dernier rapport trimestriel sur les tendances en matière de fraude et de tromperie d'identité de la société de cybersécurité – trouvée que les fraudes aux cartes-cadeaux ont gagné du terrain jusqu'à la fin de 2019, représentant 62 % de toutes les attaques BEC, contre 56 % au cours de l'année précédente. quart.
Ces attaques impliquent souvent que des cybercriminels s'emparent de comptes de messagerie professionnels et utilisent une identité usurpée pour envoyer des e-mails à d'autres membres de l'organisation afin de demander l'achat de cartes cadeaux.
VOIR: Une stratégie gagnante pour la cybersécurité (Rapport spécial ZDNet) | Téléchargez le rapport au format PDF (TechRépublique)
Une tactique courante consiste à se faire passer pour un membre de la direction demandant à un employé de lui rendre service – car dans de nombreux cas, l'employé ne remettra pas en question une demande censée venir de son patron. La période précédant les fêtes de fin d'année a fourni aux criminels l'occasion idéale de mener des attaques liées aux cartes-cadeaux, car ils pouvaient facilement prétendre que la demande concernait des cadeaux de Noël.
Le montant moyen demandé lors des attaques par carte-cadeau a légèrement augmenté pour atteindre 1 627 dollars, le montant minimum tendant à s'établir à 250 dollars. Dans certains cas plus ambitieux, les cybercriminels ont demandé le transfert de cartes-cadeaux d'une valeur de 10 000 $, en ciblant simultanément des employés de plusieurs services.
"Les cartes-cadeaux sont devenues la méthode d'encaissement privilégiée pour plusieurs raisons. Premièrement, cela fait de tout le monde dans n’importe quelle entreprise la cible potentielle d’une attaque BEC, et pas seulement les services financiers et RH. Nous avons vu des campagnes ciblant simultanément 30 à 40 employés d'une seule entreprise dans le cadre d'escroqueries BEC par carte-cadeau", a déclaré à ZDNet Crane Hassold, directeur principal de la recherche sur les menaces chez Agari.
Les cartes cadeaux sont utiles pour les cybercriminels car elles peuvent être encaissées immédiatement et il est difficile de retracer où sont passés les fonds. Et comme ils reçoivent les cartes-cadeaux gratuitement – aux frais de la victime – même si les escrocs les revendent à bas prix, ils réalisent un bénéfice.
Les demandes les plus courantes concernent les cartes-cadeaux pour Google Play et eBay, suivis par Target, iTunes et Walmart. Best Buy, Amazon, Steam et l'Apple Store font également l'objet de demandes populaires.
La valeur des cartes-cadeaux demandées peut paraître faible lorsqu'on les considère individuellement, mais les coûts totaux s'additionnent, d'autant plus que les attaques restent si efficaces et faciles à encaisser.
Cependant, les attaques plus ambitieuses sont également en augmentation, le nombre de campagnes BEC demandant des virements électroniques ayant également augmenté au cours du trimestre – et elles demandent de plus en plus de sommes plus importantes.
Ces attaques nécessitent un peu plus de planification de la part des criminels. Dans dans certains cas, ils pirateront la boîte de réception de leur cible et effectueront une reconnaissance, et fouiner leurs contacts, avant de les imiter et de demander le transfert d'une grosse somme d'argent – parfois sous la forme d'un paiement attendu en ce qui concerne les contrats ou les transactions commerciales.
Le montant moyen demandé dans ces campagnes est d'un peu plus de 55 000 $, soit une augmentation de 5 % par rapport au trimestre précédent. Dans certains cas, les attaquants demanderont des centaines de milliers ou des millions de dollars; mais plus le chiffre est élevé, plus il est probable que des soupçons soient émis, même si certaines de ces attaques « baleinières » s'avèrent encore couronnées de succès, surtout pour les gangs criminels organisés.
VOIR: 30 ans de ransomware: comment une attaque bizarre a jeté les bases d'un malware qui a conquis le monde
Les criminels sont attirés par les attaques BEC parce qu'elles s'avèrent efficaces et simples à mettre en œuvre. Cependant, les organisations peuvent faire beaucoup pour empêcher le phishing et autres attaques par courrier électronique de réussir en mettant en œuvre une sécurité supplémentaire sur les comptes, tels que authentification multifacteur, ainsi que des freins et contrepoids au niveau humain.
« Les entreprises doivent comprendre que les cyberattaques ne sont plus techniquement sophistiquées. Aujourd’hui, la plupart des cyberattaques, comme BEC, sont de très simples attaques d’ingénierie sociale et les entreprises doivent assurez-vous qu'ils disposent de défenses adaptées pour faire face à ce type d'attaques", a déclaré A vendu.
"Les entreprises doivent mettre en place de bons processus internes, afin que les demandes de paiement, quelle qu'en soit la source, soient validées avant d'être traitées", a-t-il déclaré.
PLUS SUR LA CYBERCRIME
- Comment un escroc a bâti une opération de phishing internationale
- Cyberattaque: comment nous avons été hameçonnés par des pirates informatiques professionnels CNET
- Attaques de phishing: pourquoi nous perdons toujours la bataille contre les faux e-mails
- 3 éléments dont vous avez besoin dans un plan de formation de sensibilisation à la cybersécurité TechRépublique
- Attaques de phishing: faites attention à ces signes révélateurs que vous avez été envoyé vers un faux site Web