Compromission de l’email des entreprises : les moyens pratiques de réduire les risques

Tout le monde utilise les emails – il serait difficile de trouver une entreprise qui n’y aurait recours. Malheureusement, pour une forme de communication numérique que nous utilisons pourtant depuis les années 1980, il est encore très facile pour les cybercriminels de s’y attaquer. Par conséquent, l’email est le point de départ de nombreuses attaques, y compris la compromission des emails professionnels (« business email compromise » ou « BEC »). Le FBI estime que 43 milliards de dollars ont été perdus à cause des attaques BEC entre 2016 et la fin de l’année 2021.

Nous allons vous expliquer le fonctionnement du BEC et vous proposerons quelques moyens afin de renforcer les défenses de votre organisation. Enfin, nous fournirons une solution rapide et gratuite pour résoudre une vulnérabilité majeure :  celle que représentent les comptes d’email inutilisés avec des mots de passe faibles au sein de votre organisation.

Qu’est-ce que la compromission du courrier électronique professionnel ?

La compromission d’un courriel professionnel est une forme de cybercriminalité dans laquelle les attaquants se font passer pour une source connue et fiable afin de manipuler d’autres personnes pour qu’elles transfèrent de l’argent, partagent des informations sensibles ou effectuent d’autres actions non autorisées. Les attaquants peuvent créer des adresses électroniques et des noms d’affichage usurpés pour imiter la personne ou le compte ciblées par l’usurpation d’identité et paraître crédibles au premier coup d’œil pour le destinataire. Cependant, certains systèmes de sécurité plus avancés sont capables de détecter les adresses électroniques usurpées, de sorte que la prise de contrôle du compte reste la voie d’attaque la plus efficace.

La prise de contrôle d’un compte consiste, pour les pirates, à accéder à un compte d’email légitime, souvent en compromettant le mot de passe d’un employé par le biais d’un hameçonnage ou d’une technique d’ingénierie sociale. Une autre méthode efficace et moins risquée consiste à s’emparer des données de connexion d’un compte inutilisé au sein de l’organisation. Une fois qu’il a pris le contrôle du compte, le pirate étudie attentivement la structure de l’organisation, ses modes de communication et ses activités financières avant de lancer son escroquerie.

Comment fonctionne une attaque de compromission du courrier électronique d’une entreprise ?

Le terme BEC recouvre plusieurs scénarios différents mais au fonctionnement similaire. Notez les thèmes communs dans les exemples ci-dessous : l’email est le vecteur de l’attaque ; une source connue et fiable est usurpée ; une victime est manipulée par l’ingénierie sociale pour accomplir un acte qui profite à l’attaquant.

• Fraude à la facture et au paiement : les services financiers sont ciblés par des factures frauduleuses envoyées par courrier électronique ou des demandes de virement bancaire. Les attaquants s’assurent d’en savoir assez sur un processus pour paraître légitimes, tout en utilisant l’ingénierie sociale pour convaincre les équipes financières de contourner leurs processus habituels.
• Fraude au PDG : les attaquants se font passer pour un cadre supérieur, comme le PDG ou le directeur financier, et envoient des courriels à un employé de niveau inférieur, généralement du département des finances ou des ressources humaines. Les sites web des entreprises et un réseau social comme LinkedIn peuvent faire connaître l’organisation hiérarchique interne d’une organisation aux attaquants. Le courriel demande un virement bancaire urgent ou la divulgation d’informations sensibles, en tirant profit de la volonté de l’employé de se conformer aux exigences du dirigeant.
• Compromission de la chaîne d’approvisionnement : dans ce type d’escroquerie BEC, les attaquants se font passer pour des vendeurs ou des fournisseurs de confiance. Là encore, il est relativement facile d’établir des relations avec les fournisseurs à l’aide d’informations légales et de sources ouvertes. Ils peuvent envoyer une fausse facture ou demander le paiement de biens et de services qui n’ont jamais été livrés, en fournissant souvent de nouveaux détails de paiement pour détourner les fonds.

Aider les employés à identifier les escroqueries BEC

Les attaques BEC reposent sur l’ingénierie sociale plutôt que sur des liens et des fichiers malveillants : c’est le message lui-même qui convainc les victimes d’effectuer un paiement ou de divulguer des informations. Il est ainsi plus facile pour les courriels de contourner les passerelles d’email sécurisée et les autres systèmes de détection basés sur les signatures, qui s’appuient sur des bases de données de références croisées de menaces connues. Bien que les courriels soient basés sur du texte, les attaquants peuvent utiliser la technologie deepfake pour les compléter avec des enregistrements vidéo ou vocaux afin de rendre les attaques encore plus convaincantes.

La sensibilisation et la vigilance sont essentielles pour identifier et prévenir les escroqueries BEC. Voici quelques signaux d’alerte en matière d’ingénierie sociale :

• Urgence et pression : les courriels BEC mettent souvent l’accent sur l’urgence et exigent une action immédiate, pressant le destinataire d’obtempérer sans remettre en question la demande.
• Demandes inhabituelles : méfiez-vous des courriels qui vous demandent d’agir en dehors des procédures habituelles ou qui vous demandent des informations sensibles auxquelles l’expéditeur devrait déjà avoir accès.
• Modifications des coordonnées de paiement : vérifiez toujours à deux reprises si un courriel vous demande de modifier vos coordonnées de paiement, surtout s’il provient d’un vendeur ou d’un fournisseur connu.
• Changements dans le style de communication : bien que ce ne soit pas toujours le cas, certaines escroqueries par BEC contiennent des fautes d’orthographe ou des formulations maladroites, ce qui peut indiquer qu’il s’agit d’un locuteur non natif ou d’un message rédigé à la hâte. Il convient également d’être attentif si un collègue ou un fournisseur connu semble changer ses choix linguistiques et sa façon de communiquer par courrier électronique.
• Signes d’usurpation d’identité : les fausses adresses électroniques et les noms d’affichage peuvent sembler convaincants à première vue, en particulier sur les appareils mobiles. Vérifiez à deux fois si vous avez des doutes sur un message, mais n’oubliez pas que vous ne pouvez pas exclure une attaque par prise de contrôle du compte.

Moyens pratiques de prévenir la compromission des courriels d’entreprise

Afin de protéger votre organisation contre les escroqueries BEC, voici quelques mesures efficaces que vous pouvez mettre en œuvre :

• Formation des employés – Former régulièrement les employés à reconnaître et à signaler les escroqueries potentielles de type BEC, en soulignant l’importance de la vigilance et du respect des procédures établies.
• Renforcer la sécurité du courrier électronique – Mettre en œuvre des mesures telles que l’authentification multifactorielle, des mots de passe forts et une surveillance régulière des comptes de courrier électronique pour détecter toute activité inhabituelle. N’oubliez pas que les attaques BEC peuvent échapper aux passerelles d’email sécurisées et aux logiciels de sécurité du courrier électronique les moins avancés.
• Établir des protocoles de communication clairs – Créer des lignes directrices pour la vérification des demandes d’informations sensibles ou de transactions financières, avec notamment plusieurs niveaux d’approbation et une communication directe avec le demandeur.
• Maintenir les logiciels à jour : s’assurer que tous les logiciels, y compris les emails des clients et les outils de sécurité, sont régulièrement mis à jour pour se protéger contre les vulnérabilités connues.

Un problème majeur négligé par de nombreuses organisations est le pool de comptes inutilisés avec des mots de passe faibles qui sont mûrs pour des attaques avec prise de contrôle de compte. Le reste de cet article se concentre sur les risques liés aux comptes inactifs et vous propose un outil gratuit pour analyser votre propre Active Directory à la recherche de comptes inutilisés et de mots de passe faibles ou compromis.

Comptes inactifs ou périmés et courriels professionnels compromis

L’une des principales tactiques employées par les cybercriminels dans les escroqueries BEC consiste à exploiter des comptes inactifs ou périmés. Ces comptes appartiennent généralement à d’anciens employés ou sont des comptes qui sont restés inutilisés pendant une longue période. Les attaquants peuvent cibler ces comptes parce que les organisations les négligent souvent et n’ont peut-être pas mis à jour leurs mesures de sécurité, les rendant ainsi plus susceptibles d’être compromis.

Comment les pirates accèdent-ils aux comptes inactifs ?

Les comptes inactifs ou périmés peuvent être compromis par la réutilisation d’informations d’identification, des attaques par force brute ou même des violations de données provenant d’autres services. Dans certains cas, d’anciens employés peuvent avoir laissé leurs identifiants de compte en évidence, permettant ainsi à des pirates d’obtenir un accès non autorisé.

Pourquoi les comptes inactifs attirent-ils les attaquants ?

Certaines formes de sécurité du courrier électronique utilisent des graphiques sociaux pour mesurer les communications antérieures entre les comptes. Une fois que les attaquants ont pris le contrôle d’un compte inactif ou périmé, ils peuvent exploiter les relations et la confiance existantes au sein de l’organisation. Comme les comptes inactifs sont souvent négligés, les activités du pirate peuvent passer inaperçues plus longtemps, ce qui lui permet de recueillir des informations précieuses et de planifier plus efficacement son attaque BEC.

Les risques associés aux comptes inactifs dans les escroqueries BEC

L’utilisation de comptes inactifs ou périmés dans les escroqueries BEC peut rendre ces attaques plus difficiles à détecter et à contrer. Les employés peuvent être plus enclins à faire confiance à des demandes provenant d’une adresse électronique familière, en particulier si le compte appartenait à un ancien collègue ou responsable. De plus, l’absence de surveillance et de mises à jour de sécurité sur ces comptes offre aux cybercriminels un environnement idéal pour leurs attaques.

Atténuer la menace des comptes inactifs dans les escroqueries BEC

Pour minimiser le risque associé aux comptes inactifs ou périmés, les organisations doivent prendre les mesures suivantes :

1. Vérifier régulièrement les comptes d’utilisateurs – Effectuer des vérifications périodiques pour identifier et supprimer les comptes inactifs ou périmés, en veillant à ce que tous les comptes soient bien comptabilisés et aient un but légitime.
2. Mettre en œuvre un processus de désintegration solide – Mettre en place un processus de désintegration complet pour les employés qui quittent l’organisation, y compris la désactivation ou la suppression de leurs comptes d’email et la révocation de leur accès à tous les systèmes.
3. Surveiller l’activité des comptes – Surveiller l’activité des comptes, y compris les comptes inactifs ou périmés, afin d’identifier des schémas inhabituels ou des signes de compromission.
4. Renforcer la sécurité des comptes – Appliquer des politiques de mots de passe forts et d’authentification multifactorielle sur tous les comptes d’utilisateurs, y compris les comptes inactifs, afin de réduire le risque d’accès non autorisé.

Minimiser les risques de compromission des emails d’entreprise avec Specops Password Auditor

Un moyen efficace de réduire le risque de compromission des courriels d’entreprise est d’assurer la sécurité des comptes d’utilisateurs au sein de votre organisation. Specops Password Auditor, un outil gratuit de Specops Software, peut vous aider à atteindre cet objectif en auditant et en analysant la sécurité des mots de passe au sein de votre environnement Active Directory.

En utilisant Specops Password Auditor, vous pouvez remédier aux vulnérabilités communes des mots de passe pouvant conduire à des attaques BEC :

• Renforcer les politiques de mots de passe – La mise en œuvre de politiques de mot de passe solides comme la longueur minimale du mot de passe, les exigences de complexité et les changements réguliers de mot de passe, peut contribuer à empêcher l’accès non autorisé aux comptes d’email.
• Détecter et traiter les mots de passe compromis – L’identification et la réinitialisation des mots de passe compromis peuvent contribuer à réduire le risque que des pirates prennent le contrôle d’un compte d’email et l’utilisent pour des escroqueries de type BEC.
• Vérifier régulièrement les comptes d’utilisateurs – Des vérifications périodiques des comptes peuvent vous aider à identifier et à traiter les comptes inactifs ou périmés, réduisant ainsi le potentiel d’exploitation de ces comptes par des pirates dans le cadre d’attaques BEC.
• Contrôler l’appartenance à un groupe de sécurité – S’assurer que seuls les utilisateurs autorisés ont accès aux informations et aux systèmes sensibles peut contribuer à réduire le risque de menaces internes et d’accès non autorisé aux comptes d’email.

Avec Specops Password Auditor, les entreprises peuvent détecter les comptes Active Directory dangereux, ainsi que les mots de passe frauduleux.

Réduisez votre risque BEC avec un essai gratuit de Password Auditor

L’email n’est pas près de disparaître. Cependant, comme nous l’avons vu, il peut présenter des dangers et des risques si les mesures de protection et les processus appropriés ne sont pas mis en place. Grâce à des processus de désintegration appropriés, les organisations peuvent s’assurer que les comptes périmés et négligés sont traités correctement. En outre, l’utilisation d’outils tels que Specops Password Auditor permet d’avoir une visibilité sur les comptes Active Directory à risque dont les mots de passe ont expiré, voire ont été compromis.

Téléchargez gratuitement Specops Password Auditor ici.