Il existe une variété d'escroqueries dans lesquelles les attaquants piratent les systèmes de messagerie d'une entreprise ou créez des modèles d'e-mails trompeurs afin de convaincre les employés de transférer de l'argent sur des comptes bancaires frauduleux. Décrit généralement comme compromission de la messagerie professionnelle (BEC), y compris le phishing, les appels téléphoniques prédateurs ou le vol de données en général.
Ces attaques par courrier électronique sont considérées comme faisant partie des cybercrimes les plus coûteux financièrement en termes de dommages infligés. Selon le FBI, 19,369 2020 plaintes d'attaques par e-mail ont été enregistrées en 1.8, ce qui représente une perte totale stupéfiante de XNUMX milliard de dollars.
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.
Comment fonctionnent les attaques par e-mail ?
Un escroc BEC peut utiliser l'une des tactiques ci-dessous :
Usurpation de sites Web ou de comptes de messagerie
Un pirate informatique BEC sait que les employés ne scrutent pas chaque lettre dans l'adresse e-mail d'un expéditeur si le message est convaincant et que l'expéditeur est un partenaire de transaction familier comme un fournisseur. L'adresse e-mail de l'expéditeur peut être quelque chose comme johndoe@exemple.com mais le pirate informatique le changera intelligemment en jhondoe@exemple.com.
E-mails de phishing
Messages d'hameçonnage cibler des membres spécifiques et importants de l'entreprise pour inciter les victimes à divulguer des informations sensibles (telles que les mots de passe des comptes de l'entreprise et d'autres actifs) aux pirates.
Envoi d'appels téléphoniques et de messages
Bien qu'ils ne soient pas entièrement basés sur le courrier électronique, ceux qui utilisent des messages de phishing ou d'autres tactiques de courrier électronique prédatrices ont également utilisé des appels mobiles, des messages texte et des messages vocaux. Dans cette tactique, la victime est contactée par un responsable de l'entreprise qui demande un transfert d'argent ou de documents. Les attaquants de BEC sont également connus pour utiliser une technologie de contrefaçon profonde pour usurper l'identité des dirigeants de l'entreprise dans les appels téléphoniques et les messages vocaux. C'est ce qui est arrivé en 2019 à un dirigeant d'entreprise au Royaume-Uni lorsque des agresseurs se sont fait passer pour son patron et lui ont ordonné de transférer de l'argent à un fournisseur hongrois. Les malfaiteurs s'en sont tirés avec 220,000 XNUMX euros.
Quels sont les exemples marquants de compromission des e-mails professionnels ?
Tout ou une combinaison des types suivants de compromission des e-mails professionnels ont été mis en œuvre avec succès par des cybercriminels.
Fraude au PDG
Dans ce type de compromission par e-mail professionnel, les cybercriminels prétendent être le cadre supérieur et envoient un e-mail à un employé de la division financière de l'entreprise, ordonnant à l'argent d'être transféré sur le compte de l'attaquant.
Compromis de compte
Le compte de messagerie d'un employé de l'entreprise est piraté et est utilisé pour demander le paiement de factures aux clients ou aux clients. Les informations contenues dans la facture frauduleuse sont manipulées afin de diriger les paiements vers un compte appartenant à l'attaquant BEC.
Usurpation d'identité d'avocat
L'attaquant se fait passer pour l'avocat de l'entreprise, que ce soit par e-mail ou par téléphone, et demande à un employé de transférer des fonds au nom de l'entreprise, ou avec l'approbation du PDG. Les victimes ciblées sont généralement des employés de niveau inférieur qui n'ont pas l'autorité ou la connaissance pour valider une telle demande. Les escrocs astucieux du BEC mènent généralement cette tactique avant un week-end ou une longue pause de vacances lorsque les employés sont obligés de terminer leur travail.
Vol de données
Les employés du service des ressources humaines ou de la comptabilité sont les cibles habituelles de cette attaque. Des efforts sont déployés par les cyber-escrocs pour tromper les employés afin qu'ils divulguent des informations confidentielles ou critiques appartenant à l'entreprise. Si ces données sont obtenues avec succès, les attaquants peuvent soit les vendre aux concurrents commerciaux de la victime et au Dark Web, soit les utiliser comme accessoires pour d'autres types de stratagèmes BEC tels que la fraude au PDG.
Système de fausses factures
Dans cette arnaque, les cyber-escrocs se font passer pour les fournisseurs ou prestataires de services de l'entreprise. Ils envoient des e-mails trompeurs à l'employé de l'entreprise cible demandant le paiement des services rendus ou des fournitures vendues. L'employé est alors dupé en envoyant de l'argent sur un compte frauduleux.
Comment SSL.com peut-il protéger votre entreprise contre la compromission des e-mails professionnels ?
L'une des principales raisons pour lesquelles BEC est une arnaque si efficace est qu'elle tire parti des tendances humaines : distraction ou pression au travail et être influencé par l'autorité. Dans un environnement de travail où l'efficacité est de mise, le cerveau humain a tendance à penser de manière heuristique, en particulier lorsqu'il s'agit de modèles familiers. Former les employés à être plus vigilants peut aider, mais il n'y a pas de garantie totale. Et avec l'essor de la technologie artificielle capable d'imiter les modèles de discours humains, les e-mails frauduleux peuvent être renforcés. Ce qu'il faut, ce sont des méthodes à toute épreuve qui peuvent conduire à une meilleure cybersécurité. C'est là que SSL.com peut aider votre entreprise.
Sécuriser votre système d'emailing avec S/MIME
Extensions de messagerie Internet sécurisées/polyvalentes (S/MIME) est un outil basé sur le chiffrement asymétrique et l'infrastructure à clé publique (PKI) qui crypte et authentifie fortement
e-mails, prouvant ainsi l'identité de la source de l'e-mail.
Nos S/MIME empêche efficacement Business Email Compromis de victimiser les employés de l'entreprise en encourageant un protocole qui stipule que les e-mails sous les noms de cadres, de collègues et de fournisseurs de services ne seront reçus que s'ils ont un S/MIME certificat signé et validé par nos soins. Si les employés reçoivent un e-mail prétendant provenir d'un responsable de l'entreprise mais qu'il n'est pas signé numériquement, ils peuvent alors être invités à ne pas répondre et à le signaler au service informatique pour décision d'expert. Ce protocole permet même à l'employé le plus fatigué ou facilement distrait de commettre des erreurs graves.
Signature de documents
Lorsqu'il s'agit de traiter un compromis de compte, notre service de signature de documents montre sa valeur par donner l'assurance à vos clients et clients que les factures de paiement qu'ils reçoivent proviennent bien de vous. Si il n'y a pas signature numérique, alors ils ne devraient pas les divertir, peu importe à quel point ils ont l'air réalistes.
Pour le système de fausses factures, vous pouvez établir un système avec vos fournisseurs ou prestataires de services dans lequel vous ne devez communiquer qu'en utilisant un courrier électronique crypté et les documents utilisés dans vos transactions doivent avoir une signature numérique validée et infalsifiable. Quant à vos employés, ils peuvent à nouveau être formés pour passer au crible les documents entrants et ne répondre qu'à ceux qui sont signés numériquement.
Cliquez sur cette page pour voir lequel S/MIME et le certificat de signature de document de SSL.com correspond le mieux à vos besoins.
