La technique est tellement simple et les gains si importants que ce genre d’escroquerie se répand comme une traînée de poudre, à tel point que le FBI estime les pertes mondiales occasionnées par ces escroqueries à plus de 1,2 milliard de dollars pour l’année écoulée.
Ces opérations de détournement (les EAC, pour E-mail Account Compromise, et les BEC, pour Business E-mail Compromise) reposent toutes deux sur l’usurpation d’identité d’un dirigeant d’entreprise. Soit l’adresse est compromise au niveau même de l’infrastructure, ce qui demande soit des complicités internes, soit des moyens techniques importants, soit, dans le cas des EAC, une adresse email spoofée est forgée, très proche de celle du patron ou d’un membre du comité de direction.
Pour ce faire, l’attaquant doit récupérer un courriel de la victime, et créer une nouvelle boîte à lettres en ajoutant dans l’alias une lettre, un signe de séparation, un « presque rien » qui donnera l’illusion que l’échange épistolaire se fait avec la bonne personne. Une technique de « typosquatting » déjà très en vogue dans le domaine des pages de phishing.
L’étape suivante, constituée de 10 % d’échanges électroniques et de 90 % d’ingénierie sociale, cible généralement un trésorier, un comptable, un responsable des achats ayant pouvoir et signature sur le compte en banque de l’entreprise. Fausses factures, transferts de fonds destinés à une pseudo-filiale ou entreprise prétendument associée, OPA hostile… tous les prétextes plausibles sont alors utilisés. Dès que le transfert est effectué (généralement au fin-fond d’une province Chinoise ou d’un village d’Ouzbékistan), l’intermédiaire s’évapore. L’éloignement, l’extraterritorialité, la corruption des fonctionnaires, l’inertie de l’administration étrangère fait le reste et dissuade généralement les victimes de toute tentative de poursuite. Parfois, l’argent est récupéré dans le pays même de l’entreprise escroquée par des mules chargées de servir de fusible et de sas d’isolation en cas d’enquête poussée. Et ce genre de piège pourtant grossier, que pourrait dévoiler un simple protocole de sécurité utilisant des mécanismes de confirmation et d’identification/authentification, prend dans sa nasse aussi bien des petites entreprises que des sociétés internationales. Ubiquity, le fabricant de routeurs et points d’accès WiFi, avouait dans son rapport boursier du mois dernier s’être fait dérober près de 46 millions de dollars de cette manière.
Sur le seul territoire US, les statistiques du FBI portant sur ces pratiques situent à près de 750 millions de dollars les pertes cumulées depuis octobre 2013 et le mois d’août de cette année.
1 commentaire