Qu’est que la CEO fraud (fraude CEO) ?

La CEO fraud (fraude CEO ou fraude au PDG en français) est une menace relevant du phishing. Seulement, au lieu d’usurper un site Web populaire, l’attaquant usurpe le CEO (ou un autre dirigeant de haut niveau) de la société ciblée.

La CEO fraud comprend parfois l’ingénierie sociale, mais la plupart des attaques sont un ensemble d’attaques plutôt qu’une seule méthode de phishing. L’objectif de la fraude CEO est de convaincre un individu d’envoyer à l’attaquant de l’argent ou des informations confidentielles telles que de la propriété intellectuelle ou des informations d’identification.

Le secteur du phishing représente à lui seul des milliards de dollars, et la CEO fraud est également une escroquerie qui rapporte gros. Le FBI estime que l’escroquerie par compromission d’e-mails professionnels (BEC) représente 26 milliards de dollars et continue de gagner en popularité.

Entre 2018 et 2019, le FBI indique également qu’il y a eu une augmentation de 100 % des escroqueries BEC, y compris la fraude CEO.

Les entreprises ciblées peuvent être petites, moyennes ou grandes, mais les deux principaux pays utilisés pour les transferts bancaires frauduleux sont la Chine et Hong Kong. La CEO fraud vise des entreprises dans plusieurs pays ; le FBI signale des cibles dans 177 pays, dont les États-Unis et le la France, et les banques utilisées dans ces escroqueries se trouvent dans environ 140 pays.

La falsification d’adresses électroniques (email spoofing) et le phishing sont les deux principales méthodes d’attaque de la CEO fraud, alors que l’ingénierie sociale est souvent utilisée pour obtenir des gains plus importants.

Le site web de l’entreprise et LinkedIn fournissent aux attaquants une foule d’informations sur l’organisation, les employés, les noms et adresses électroniques des dirigeants et les systèmes de facturation. En général, les emails de phishing ciblent les employés de départements spécifiques tels que les RH ou les comptes fournisseurs.

Par exemple, un pirate enregistre un nom de domaine légèrement mal orthographié par rapport au domaine officiel de l’entreprise. L’attaquant envoie ensuite un email utilisant le nom du CEO à un employé de la comptabilité pour convaincre l’utilisateur ciblé d’envoyer de l’argent sur le compte bancaire contrôlé par l’attaquant. Pour augmenter le niveau d’urgence, le pirate peut utiliser l’ingénierie sociale pour appeler l’employé ciblé et se faire passer pour un représentant de l’organisation, par exemple un comptable.

Une attaque sophistiquée peut entraîner des pertes financières de plusieurs millions de dollars pour les entreprises. Plusieurs organisations ont perdu des millions à cause de la CEO fraud. Une organisation peut perdre de l’argent à la suite de plusieurs attaques demandant de petits versements, mais il est plus courant que les attaquants incitent les employés à envoyer des transferts financiers à six ou sept chiffres.

Les pertes financières ne sont pas le seul impact. Certains attaquants ciblant les services des ressources humaines convainquent les employés d’envoyer des informations personnelles identifiables (PII) à un tiers, qui les utilise ensuite pour une fraude bancaire ou une usurpation d’identité.

La plupart des réglementations en matière de conformité exigent des organisations qu’elles alertent les clients après une violation de données, de sorte que la CEO fraud peut entraîner une atteinte à la réputation de la marque et des frais de contentieux. Les employés qui tombent dans le piège de la CEO fraud risquent de perdre leur emploi, surtout si la victime visée est un autre cadre.

La CEO fraud est considérée comme une attaque sophistiquée. La première étape consiste donc à s’informer le plus possible sur une organisation. Un attaquant lit le site d’une organisation ciblée à la recherche d’informations sur la structure des employés de l’entreprise, les noms des cadres et des employés associés. La phase d’étude peut durer plusieurs jours jusqu’à ce que l’attaquant recueille suffisamment de données pour mener à bien les étapes suivantes.

Lorsqu’une cible est déterminée, l’étape suivante consiste à enregistrer un domaine qui ressemble à l’orthographe du nom de domaine officiel de la cible. Une fois le domaine enregistré, l’attaquant crée une adresse électronique au nom du PDG ou d’un cadre de haut niveau. Un courriel est envoyé à l’utilisateur ciblé pour établir le contact et lui demander d’envoyer de l’argent.

La plupart des employés des départements des ressources humaines et des finances sont formés pour identifier les e-mails de phishing, mais les attaquants utilisent des méthodes convaincantes pour transmettre un sentiment d’urgence de la part d’un dirigeant de haut niveau. Un employé peut remarquer le nom de domaine mal orthographié, ou bien devenir une victime en transférant de l’argent ou des informations sensibles à l’attaquant.

Les attaquants ont deux cibles principales pour la CEO fraud : les cadres de haut niveau ayant accès à des informations sensibles ou les employés ayant l’autorisation d’effectuer des virements électroniques.

Le directeur financier, le directeur général, le directeur des opérations ou tout autre cadre de haut niveau est généralement une cible, mais tout cadre ayant une autorité opérationnelle doit être conscient des nombreuses façons dont les attaquants utilisent le phishing et l’ingénierie sociale.

En matière de cybersécurité, il est plus efficace de cibler un employé proche de la victime visée. Les attaquants savent que les cadres de haut niveau s’entraînent à détecter les menaces telles que le phishing, et ils ciblent donc un employé qui peut être plus facilement victime d’ingénierie sociale.

L’employé peut avoir des privilèges suffisants pour effectuer un transfert d’argent, ou un attaquant peut voler les informations d’identification de l’employé pour ensuite effectuer une escalade de privilèges sur l’environnement.

La principale astuce de toute attaque de phishing consiste à créer un sentiment d’urgence. Si la cible a trop de temps pour réfléchir à ce qui se passe, elle peut se rendre compte qu’il s’agit d’une escroquerie.

L’attaquant utilisera une adresse électronique usurpée ou créera un domaine légitime qui ressemblera au domaine officiel. Avec le sentiment d’urgence, l’utilisateur ciblé pourrait passer à côté des nombreux signaux d’alarme.

Aucun autre élément ne fonctionne aussi bien que l’exploitation de la peur de l’utilisateur ciblé, qui fonctionne bien lorsque l’utilisateur pense que c’est le CEO qui lui demande de l’argent. L’e-mail peut ne pas être long ou bien écrit, mais le sentiment d’urgence amène les victimes ciblées à négliger ces problèmes. Il s’agit toujours de soutirer à la victime de l’argent ou des informations sensibles.

Si l’organisation dispose d’une équipe de sécurité, la première étape consiste à signaler le problème à toute personne qui supervise la cybersécurité. Sans équipe de cybersécurité dédiée, la victime ciblée peut le signaler au personnel opérationnel.

L’e-mail peut être examiné et les futurs e-mails bloqués pour ne pas atteindre le destinataire prévu. Le personnel opérationnel ou de cybersécurité doit alerter les autres employés afin qu’ils soient conscients de la menace permanente.

Si une organisation a des problèmes persistants ou envoie de l’argent à un attaquant, la banque doit être contactée immédiatement. Dans certains cas, les banques peuvent aider l’organisation à récupérer tout ou une partie des fonds. Les services de police doivent également être contactés pour enquêter et pour des raisons d’assurance.

Les petites et grandes entreprises sont toutes deux les cibles de la CEO fraud, mais les grandes organisations risquent de perdre des millions de dollars si une seule menace réussit. Par exemple, le directeur financier de Xoom a été victime de la CEO fraud et a transféré plus de 30 millions de dollars sur des comptes bancaires offshore avant de réaliser qu’il s’agissait d’une escroquerie. Le directeur financier a finalement été contraint de démissionner.

Ubiquiti, une société de San Francisco qui a été la cible d’une CEO fraud, a quant à elle transféré plus de 46 millions de dollars sur des comptes d’attaquants offshore. Dans cette attaque, Ubiquiti a pu travailler avec les banques et les forces de l’ordre pour récupérer environ 10 millions de dollars, mais elle a tout de même subi une perte nette de 30 millions de dollars à cause de la fraude.

La cybersécurité est une industrie de plusieurs milliards de dollars pour les attaquants, mais les organisations et leur personnel opérationnel peuvent prendre plusieurs mesures pour prévenir les fraudes :

• Auditer les utilisateurs à haut risque (par exemple, le personnel des finances et des RH) et les former à identifier les attaques et à les signaler.
• Mettre en place des contrôles d’accès et de cybersécurité qui aideront à stopper les emails malveillants (par exemple, les filtres d’email et DMARC).
• Utiliser des politiques de sécurité pour bloquer les emails et les virements sur la base d’un simple message électronique.
• Incorporer des normes financières et de cybersécurité pour détecter une attaque en cours.
• Planifier les risques et continuellement former les nouveaux employés et les cadres existants.
• Envoyer des courriels simulés d’ingénierie sociale et de phishing pour former les employés.
• Rester conscient des signaux d’alarme typiques de la CEO fraud et les mettre à jour.

Savoir comment se protéger de la CEO fraud est un travail à plein temps, mais Proofpoint peut aider toute organisation à se protéger contre le phishing et l’ingénierie sociale impliqués dans ces attaques.

Voici quelques exemples de l’aide que peut apporter Proofpoint.

• Compromission avancée des e-mails d’entreprise : l’apprentissage automatique et l’intelligence artificielle intégrés détectent et stoppent la fraude par e-mail avec plus de précision qu’en s’appuyant sur la sécurité standard des e-mails. La sécurité de la messagerie de Proofpoint ajoute également DMARC à votre technologie de messagerie entrante et sortante. La plateforme offre aux administrateurs une visibilité complète sur les e-mails de l’organisation afin qu’ils puissent mieux détecter et examiner les menaces.
• Formation de sensibilisation à la sécurité : Les erreurs humaines sont responsables des violations de données dues aux attaques de phishing, mais vous pouvez former les employés pour éviter d’être la prochaine victime. Proofpoint utilise des exemples concrets pour former les employés et aider l’organisation à réduire les risques et à identifier les possibilités de formation du personnel.
• Protection et sécurité des e-mails : Les messages malveillants et les malware sont également des menaces pour la messagerie électronique, mais la sécurité de la messagerie de Proofpoint détectera et arrêtera ces menaces grâce à une technologie avancée d’apprentissage automatique appelée NexusAI. La sécurité de la messagerie de Proofpoint analyse les en-têtes de message, l’IP de l’expéditeur et le corps du message pour identifier et arrêter les messages malveillants.