Le facteur humain au cœur de l’incident. Il reste encore beaucoup à faire en matière de formation
La Zecca dello Stato s’est retrouvée dans une mauvaise passe en raison d’une attaque typique par Business Email Compromise (BEC).
Un escroc habile a réussi à souffler 3 millions d’euros sur le lieu symbole de la production de monnaie. Heureusement, l’histoire a eu une fin heureuse et l’argent est retourné à l’expéditeur. Cependant, l’expérience a non seulement fait passer plusieurs nuits blanches aux victimes tombées dans le piège, mais aussi, en plus d’avoir causé un préjudice d’image à une grande entreprise qui travaille pour l’État, a mis en évidence que le risque de cyberattaques est toujours présent et dépend pour la plupart du temps de la distraction, de la superficialité, de la naïveté, de l’émotivité, du manque de vérifications nécessaires, en bref, du facteur humain..
La dynamique du vol
L’histoire a commencé en mai dernier lorsque les pirates se sont fait passer pour un fournisseur de barres rondes, communiquant un changement d’IBAN et demandant d’effectuer les paiements futurs sur celui-ci plutôt que sur le précédent. Bien sûr, les pirates s’étaient déjà infiltrés depuis longtemps dans les échanges entre la Zecca et le fournisseur, et ils étaient au courant de la commande.
Ainsi, la Zecca est totalement tombée dans le piège, en effectuant un paiement de 3 millions d’euros sur le compte courant de l’établissement de crédit hongrois Mbh fourni dans l’e-mail frauduleux. Un million est parti pour Budapest le 15 mai, les deux autres, le 26.
Le même jour, les dirigeants de la Zecca se sont rendus compte de la supercherie et, le moins que l’on puisse dire, c’est que le réveil a été difficile.
Dès que l’alarme a été déclenchée, l’intervention de la police postale a été rapide et 2 millions d’euros ont été bloqués avant d’atteindre Budapest.
Le million d’euros est parti le premier et a été versé à des prêteurs associés aux pirates informatiques, mais il avait déjà été transféré. Ainsi, outre la Police postale, Interpol et l’Ufficio Italiano dei Cambi (UIC) de la Banque d’Italie ont été impliqués, ce qui a permis de limiter au maximum les dommages.
Seuls 50 000 euros ont été irrémédiablement perdus, tandis que les 950 000 euros restants ont été gelés et seront bientôt restitués à la Zecca.
Habituellement, les complices des pirates retirent autant d’argent que possible pour vider le compte. Dans ce cas, heureusement, ils n’ont pas été aussi rapides.
Les escroqueries BEC
Ce type d’escroquerie fait partie de ce que l’on appelle les « Business Email Compromise » (BEC).
Ce sont des attaques qui ont un objectif particulier : les employés et les gestionnaires qui, au sein d’une entreprise, sont capables de déplacer de l’argent, soit parce qu’on leur demande directement par un supérieur, soit parce qu’ils ont des relations directes avec les différents fournisseurs.
Il peut arriver que les pirates se fassent passer pour des gestionnaires ou des fournisseurs, principalement par de faux courriels (d’où le nom de l’escroquerie), mais également par l’utilisation de techniques de deep fake, qui reproduisent avec une extrême fidélité des voix humaines. De cette façon, ils peuvent demander aux victimes, par e-mail ou par téléphone, d’effectuer des virements sur des comptes courants appartenant à des organisations criminelles.
De plus, grâce aux techniques sophistiquées d’ingénierie sociale, les criminels parviennent à obtenir les informations sur les victimes potentielles, nécessaires pour optimiser les activités criminelles.
Le succès des escroqueries BEC nécessite, en effet, en plus du faux compte de messagerie, la connaissance détaillée de l’identité des fonctionnaires à contacter, le ton et le phrasé du bon de commande et du jargon de communication, ainsi que la connaissance des fournitures à commander.
Les dernières données sur les attaques BEC
Les risques découlant de ce type d’attaques se traduisent par des pertes de données importantes, des violations des systèmes de sécurité informatique et des dommages économiques importants.
L’année dernière, les entreprises ont perdu plus de 2,7 milliards de dollars à cause de ces escroqueries, selon le dernier rapport Internet Crime Report (Rapport sur la criminalité sur Internet) de l’Internet Crime Complaint Center (IC3) du FBI. Un chiffre qui équivaut à 300 millions de dollars de plus qu’en 2021.
Il s’agit de pertes jusqu’à 80 fois supérieures à celles causées par les ransomwares.
Selon l’IC3 du FBI, les escroqueries BEC ont représenté 27 % de toutes les pertes financières causées par la cybercriminalité en 2022. En outre, le coût moyen d’un incident est passé de 120 000 dollars en 2021 à 124 000 dollars en 2022.
Bien qu’en 2022, moins de plaintes aient été déposées auprès de l’IC3 du FBI (800 944 contre 847 376), les pertes totales sont passées de 6,9 milliards de dollars à plus de 10,2 milliards, soit une augmentation de 48 % par rapport à l’année précédente.
Les attaques BEC font moins de victimes que le phishing, mais les pertes financières sont beaucoup plus élevées. Il s’agit en effet d’escroqueries très ciblées et qui entraînent donc des pertes financières plus importantes même si leur volume est faible.
Comment se prémunir contre les attaques BEC ?
Les criminels sont de plus en plus malins et leurs techniques de plus en plus sophistiquées. Mais cela ne doit pas nous décourager car il existe des solutions pour se défendre. Il suffit de suivre les bonnes voies. Tout d’abord, il faut garder à l’esprit que, de nos jours, il est préférable de ne faire confiance à personne, même si c’est notre chef ou le plus fidèle des fournisseurs qui nous écrit. De plus, il faut toujours être attentif et conscient de ses actions en ligne, et ne jamais agir avec précipitation et distraction. En effet, ce sont précisément ces « faiblesses » humaines dont les cybercriminels profitent pour lancer leurs attaques les plus atroces. De plus, avant d’effectuer tout paiement, il est essentiel de toujours commencer toutes les vérifications nécessaires.
Mais surtout, il ne faut jamais cesser de se former et de s’exercer à la cybersécurité.
Il s’agit d’une connaissance qui doit être continuellement mise à jour et qui doit surtout être pratiquée à travers des programmes de formation spécifiques de qualité, pouvant être parfaitement adaptés en fonction des compétences de chaque étudiant et des caractéristiques de l’entreprise pour laquelle vous travaillez.