Le piratage de la messagerie en entreprise (BEC) et la compromission de comptes de messagerie (EAC) ont coûté aux entreprises victimes plus de 1,8 milliard de dollars, soit 44 % des pertes déclarées par les entreprises et les particuliers l'année dernière.
L'Internet Crime Complaint Center (IC3) du FBI vient de publier son rapport annuel Internet Crime Report, dans lequel il détaille les attaques dont ont été victimes les entreprises du monde entier en 2020, ainsi que les pertes financières associées.
Le rapport révèle que 791 790 plaintes ont été déposées par des victimes de cyberattaques, pour des pertes totales s'élevant à 4,2 milliards de dollars sur l'année, soit une augmentation de plus de 300 000 plaintes (+69,4 %) et de 700 millions de dollars de pertes déclarées (+20 %) par rapport à 2019. Voici les principaux points à retenir du rapport 2020.
Piratage de la messagerie en entreprise (BEC)
Si les ransomwares continuent à accaparer l'attention des médias, le piratage de la messagerie en entreprise (BEC, Business Email Compromise), la compromission de comptes de messagerie (EAC, Email Account Compromise) et le phishing faisaient partie des menaces les plus dévastatrices. Les attaques BEC constituaient l'un des deux sujets d'actualité les plus brûlants en 2020. Les pertes financières imputables aux attaques BEC/EAC étaient 64 fois plus élevées que celles résultant des ransomwares et représentaient 44 % des pertes déclarées en 2020. Pourtant, les plaintes déposées ayant trait aux attaques BEC/EAC n'étaient pas aussi nombreuses qu'on pourrait le croire, puisqu'elles ne représentaient que 2,4 % des plaintes. Les statistiques issues du rapport permettent de tirer plusieurs conclusions :
-
Contrairement aux menaces de phishing classiques, les attaques BEC/EAC sont extrêmement ciblées.
- Bien que le volume d'attaques BEC/EAC soit faible, celles-ci occasionnent de lourdes pertes financières.
Le FBI a averti le public au sujet de l'évolution des attaques BEC/EAC : usurpation d'identité, piratage des comptes de messagerie des membres de la direction, demandes de virements vers des comptes frauduleux, compromission des comptes de messagerie des fournisseurs, demandes frauduleuses de cartes-cadeaux, etc.
Cela concorde avec les observations de Proofpoint : les cybercriminels ont transformé la chaîne logistique et l'écosystème de partenaires en vecteur de menaces leur permettant de lancer des attaques indirectes à l'encontre des entreprises ciblées. L'usurpation de l'identité de fournisseurs et la compromission de leurs comptes de messagerie représentent un risque important pour les entreprises. Pour ne rien arranger, la plupart d'entre elles manquent de visibilité sur le niveau de risque des fournisseurs. Nous observons en outre l'émergence d'autres variantes BEC/EAC, notamment les escroqueries aux cartes-cadeaux, le détournement de salaires, la fraude aux factures fournisseurs, la fraude aux fusions-acquisitions et le détournement d'expéditions. Parmi les divers types d'escroqueries, la fraude aux fournisseurs est souvent la menace qui occasionne le plus de pertes.
Les cyberescrocs tirent parti de la pandémie de COVID-19
2020 a été une année tumultueuse en raison de la pandémie de COVID-19. Comme le souligne le rapport de l'IC3 du FBI, les cyberescrocs ont profité de la pandémie pour cibler à la fois des entreprises et des particuliers. Proofpoint a également observée le recours à des thèmes liés au coronavirus dans des attaques d'ingénierie sociale de grande envergure (BEC, phishing d'identifiants de connexion, malwares et campagnes de spam) depuis le début de la pandémie. Ces derniers mois, les chercheurs Proofpoint ont comptabilisé plus d'attaques tirant parti des actualités liées aux mesures de soutien, aux vaccins et aux variants de la COVID-19. Selon nous, les cybercriminels devraient continuer à utiliser des thèmes liés au virus tout au long de cette crise sanitaire.
Le phishing demeure une menace redoutable
Près d'un tiers des plaintes déposées concernaient des attaques de phishing. Le nombre de plaintes contre ce type de menace est plus de deux fois supérieur à celui enregistré en 2019 : 126 640 plaintes supplémentaires ont été déposées. Face à ces constats, il est évident que les cybercriminels ciblent les individus plutôt que les vulnérabilités de l'infrastructure des entreprises. Les pirates continuent à exploiter la nature humaine, à utiliser des leurres ou à menacer leurs cibles afin qu'elles se livrent à des actions malveillantes.
Les ransomwares poursuivent leur progression
Selon le rapport Internet Crime Report de l'IC3 du FBI, le nombre d'attaques de ransomware a continué à augmenter en 2020, avec 2 474 incidents signalés et des pertes supérieures à 29 millions de dollars. Le rapport met en avant les campagnes de phishing par email comme l'un des vecteurs d'infection de ransomwares les plus courants. Fait intéressant, le rapport souligne que les pertes imputables aux ransomwares sont « artificiellement basses », car elles ne tiennent pas compte des pertes estimées de chiffre d'affaires, de productivité, de salaires, de fichiers, de matériel, etc. En outre, ce chiffre ne reflète pas les signalements effectués directement auprès du FBI. Autrement dit, le nombre d'attaques de ransomware et le montant des pertes associées sont en réalité bien plus élevés.
Parmi tous les incidents signalés en 2020, les attaques BEC/EAC sont celles qui ont occasionné le plus de pertes, tandis que le phishing, le vishing, le SMiShing et le pharming sont les menaces qui ont fait le plus de victimes. Ces deux types de menaces ont recours à la compromission de comptes cloud et de messagerie, s'appuient sur l'ingénierie sociale et, surtout, ciblent les individus.
Pour lutter contre les menaces déclenchées par des humains, les entreprises doivent adopter une approche de la sécurité centrée sur les personnes. Proofpoint peut vous aider à réduire les risques de sécurité auxquels vous êtes exposé grâce à une plate-forme intégrée de protection contre les menaces capable de bloquer les menaces véhiculées par email et dans le cloud qui ciblent vos collaborateurs, de vous offrir une visibilité sur les risques pesant sur votre personnel et de renforcer la résilience de vos utilisateurs face aux menaces avancées actuelles.