Les attaques Business Email Compromise (BEC) – dans lesquelles les acteurs de la menace assument l’identité des dirigeants d’entreprise par e-mail et tentent d’inciter les employés à envoyer un virement bancaire ou quelque chose de similaire – deviennent mobiles, ont averti les experts en sécurité.
Un rapport (s’ouvre dans un nouvel onglet) de Trustwave a constaté que le nombre d’attaques BEC qui exploitent le service de messages courts (SMS) au lieu du courrier électronique a augmenté régulièrement.
Le processus est presque identique – l’attaquant tendrait la main à la victime, se présenterait comme l’un des dirigeants de l’entreprise et partagerait une copie d’un rapport vieillissant. Dans le même message, ils demanderaient à la victime d’initier un virement bancaire, de modifier un compte de paie ou de lui faire transférer les fonds de l’entreprise d’une autre manière.
Plus puissant que le courrier électronique
Selon les chercheurs, l’utilisation de SMS pour les attaques BEC au lieu d’e-mails présente de nombreux avantages. La plus évidente est qu’il y a moins d’éléments qui peuvent rendre la cible suspecte. Alors que chaque e-mail contient l’adresse de l’expéditeur, ce qui peut être le premier moyen de vérifier une fraude potentielle, un message SMS ne contient que le numéro de téléphone et, dans de nombreux cas, les employés n’ont pas les numéros de leurs patrons et peuvent ne pas les vérifier.
De plus, les attaquants peuvent refuser un appel téléphonique potentiel, en disant qu’ils sont en réunion ou autrement incapables de répondre à l’appel. Enfin, la communication par SMS est beaucoup plus rapide que le courrier électronique, ce qui permet aux acteurs de la menace de faire le travail beaucoup plus rapidement, Trustwave soulignant également un rapport de la Federal Communications Commission (FCC) indiquant que les messages texte non sollicités ont triplé en 2022, par rapport à 2019.
L’initiation de virements électroniques est également quelque chose qui peut éveiller les soupçons, c’est pourquoi les fraudeurs demandent généralement aux victimes d’acheter une carte-cadeau à la place. Ils promettaient aux victimes que leur achat serait remboursé. La plupart du temps, les escrocs demandaient à leurs cibles d’acheter des cartes-cadeaux auprès de Target, Google Play, Apple, eBay ou Walmart.
Pour se protéger contre les attaques BEC par SMS, les entreprises doivent former leur personnel à la sécurité (s’ouvre dans un nouvel onglet) sensibilisation, et demandez-leur de toujours vérifier l’identité des personnes lors de la communication par SMS, a déclaré Trustwave.
En outre, ils devraient sensibiliser leurs employés au fait que les données privées peuvent être extraites des comptes de médias sociaux et utilisées dans des attaques, et enfin – ils devraient insister sur l’authentification multifacteur (MFA) dans la mesure du possible, pour rendre plus difficile pour les acteurs de la menace d’obtenir l’accès à des systèmes précieux.