Nous sommes peut-être plus conscients que jamais des escroqueries potentielles, mais les escrocs eux-mêmes le sont aussi. Ce qui signifie que leurs méthodes deviennent inévitablement plus sophistiquées et plus difficiles à repérer – dont le dernier exemple est une escroquerie par e-mail prétendant être votre patron.
L’escroquerie est connue sous le nom de compromission de courrier électronique professionnel (BEC) et les criminels transmettent une chaîne de courrier électronique à une personne spécifique, provenant apparemment du patron de la victime. Cette chaîne comporte ensuite des instructions pour envoyer de l’argent quelque part.
Le fil est conçu pour que tout semble légitime et souligne souvent le fait que le paiement doit être effectué rapidement et discrètement. Mais en réalité, tout n’est qu’un stratagème pour amener les employés à autoriser les transferts d’argent aux escrocs.
Selon les chercheurs en cybersécurité d’Abnormal Security (via ZDNET (s’ouvre dans un nouvel onglet)), ces escrocs ciblent généralement les personnes travaillant dans le service financier d’une entreprise. De cette façon, ils sont plus susceptibles d’être en mesure d’autoriser les transferts d’argent, et les escrocs peuvent repartir avec de l’argent.
C’est aussi incroyablement simple et étonnamment efficace. Le FBI affirme (s’ouvre dans un nouvel onglet) Les attaques BEC ont coûté aux entreprises jusqu’à 43 milliards de dollars entre juin 2016 et décembre 2021. Tout ce dont les escrocs ont besoin est une connexion Internet, un compte de messagerie et un peu de recherche de fond.
Cette fois c’est personnel… et urgent
Mais alors que les attaques BEC durent depuis un certain temps, la méthode de transfert de threads est assez nouvelle. Les escrocs se mettent également à personnaliser les e-mails et à usurper les adresses e-mail pour se faire passer pour les dirigeants et les fournisseurs de l’entreprise.
Le tout fait partie d’un leurre plus sophistiqué, conçu pour donner l’impression que votre patron vous demande réellement de transférer l’argent. Le sentiment d’urgence est également exploité pour essayer de duper les employés afin qu’ils envoient l’argent sans remettre en question l’e-mail ou vérifier que la demande est réellement légitime.
De plus, comme le note Abnormal Research, de nombreuses personnes ne s’attendent pas à ce que ces types d’e-mails contournent les protections de messagerie plus sécurisées des entreprises. Mais comme il n’y a pas de logiciel malveillant ou de code malveillant dans les e-mails eux-mêmes, ils ne sont pas signalés par un logiciel antivirus. Cela les rend également particulièrement difficiles à défendre et repose sur la capacité des employés à repérer l’arnaque avant de transférer de l’argent.
Comment se protéger
La seule défense est de s’assurer que les gens sont conscients que ces types d’escroqueries existent. Ils devraient être à l’affût des escroqueries comme celle-ci et se méfier automatiquement de tout communiqué demandant de l’argent.
S’ils arrivent, assurez-vous de vérifier sa légitimité par une autre forme de communication. Qu’il s’agisse d’un appel téléphonique, d’un message instantané ou d’une demande en personne. Ne répondez pas à l’e-mail, car votre message ne reviendra qu’aux criminels à l’autre bout.