Symantec a publié une étude sur les arnaques liées à la corruption dans les e-mails professionnels (ou BEC- Business Email Compromise), connus également sous le nom de fraude aux comptes de messagerie, ou attaque de whaling. Ces e-mails qui exploitent l’ingénierie sociale et les demandes urgentes veulent inciter les employés à effectuer des virements bancaires électroniques ou à partager des informations sensibles.
Selon le FBI, les escroqueries de type BEC ont entraîné des pertes de près de 1,3 milliard de dollars en 2018, enregistrant une augmentation spectaculaire comparée à celles de 2014, s’élevant à 60 millions de dollars.
Symantec a analysé les arnaques de type BEC des 12 derniers mois :
• La France moins concernée par ces attaques : Alors que les cinq pays principaux touchés sont les États-Unis (39%), le Royaume-Uni (26%), l’Australie (11%), la Belgique (3%) et l’Allemagne (3%), la France ne figure même pas dans le top 10 des pays les plus frappés. Cependant, l’objet des emails destinés aux Français mentionnait principalement un paiement à échéance, dans la même veine que les objets des mails envoyés aux pays Européens, alors que l’objet des emails destinés aux Américains contenait la mention « Important ».
• 6 000 entreprises sont ciblées chaque mois : En moyenne, 6 029 organisations ont été ciblées par les attaques de type BEC par mois au cours des 12 derniers mois. Symantec a également constaté que les entreprises recevaient en moyenne 5 escroqueries de ce type par mois.
• AOL et Gmail sont les messageries privilégiées des cyber attaquants : les arnaqueurs usant du BEC ont eu recours à des comptes gratuits et à des outils de messagerie comme gmail.com, yahoo.com et aol.com. Alors qu’AOL a perdu de nombreux abonnés depuis 2007, il reste cependant le premier choix des fraudeurs BEC.
• E-mails de BEC poussant à l’achat de cartes-cadeaux : Symantec a identifié un nouveau thème populaire parmi les e-mails frauduleux, lié à l’achat de cartes-cadeaux, qu’elles soient physiques ou électroniques. Les autres types de demandes incluent les demandes de mise à jour de détails de salaire ou de dépôt direct, ou les coordonnées d’un contact pour donner des instructions supplémentaires.
• L’intelligence artificielle et le machine learning au cœur des nouvelles fraudes ? Alors que l’intelligence artificielle (IA) et le machine learning (ML) se développent, nous pourrions imaginer les arnaqueurs de BEC adopter ces technologies dans un avenir proche pour rendre leurs attaques encore plus réelles et convaincantes. Elles pourraient être utilisées pour alimenter des « deepfakes » audiovisuels qui ciblent ou imitent les dirigeants d’entreprise. Nous avons en effet déjà vu des « deepfakes » ne se servant que de l’audio, car plus facile à exploiter que les éléments combinant audio et visuels.
Vous pouvez trouver de plus amples informations liées à ce phénomène sur le blog Symantec, ici.