Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Hitesh Sant in d'Azure AD  |  Dernière mise à jour : 23 décembre 2022
Partager sur:

E-mail de votre PDG ? : Explication de la fraude par hameçonnage à la baleine

E-mail-de-votre-PDG-Whaling-Phishing-Fraud-Explained
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

Avez-vous récemment reçu un e-mail de votre "PDG" vous demandant de transférer de l'argent à un "fournisseur" ? Ne le faites pas ! C'est une fraude au PDG que je vais vous expliquer en détail.

Commençons par une petite histoire de fond.

La fraude au PDG m'est arrivée près de deux mois après avoir rejoint Geekflare en tant qu'écrivain à plein temps.

PDG-fraude-arnaque

Ce n'était pas évident tout de suite, car l'escroc utilisait un nom de domaine réputé Virgin Media (caneae@virginmedia.com), et je pensais que mon PDG était en quelque sorte lié à cette société de télécommunications puisque les deux sont situées au Royaume-Uni.

Alors, j'ai répondu à l'initiale 'Je voudrais t'assigner une tâche, es-tu libre ?' positivement. Ensuite, l'expéditeur a détaillé une tâche englobant le transfert de 24,610 300 INR (~ XNUMX $) à un fournisseur, dont les détails auraient été partagés si j'avais accepté.

Mais cela m'a rendu un peu méfiant et j'ai demandé à l'expéditeur de prouver son identité avant de pouvoir transférer quoi que ce soit. Quelques e-mails plus tard, le fraudeur a appelé et j'ai envoyé la conversation à mon PDG actuel et à la cellule informatique de Virgin Media.

Même si je n'avais aucune formation préalable pour gérer ce genre de fraude, j'ai eu la chance de ne pas tomber dans ce piège.

Mais nous ne devrions pas compter sur la pure chance ; au lieu de cela, sachez-le dès le départ et éduquez les autres.

CEO Fraud, aka Executive Phishing

Cela relève hameçonnage, une attaque visant une organisation particulière ou certains de ses employés. Il sera connu comme un attaque de phishing à la baleine si la cible est un employé de haut niveau (comme un c-suite) de n'importe quelle institution.

Le Federal Bureau of Investigation, États-Unis, classe ces escroqueries sous le Compromis d'e-mails professionnels (BEC) or Compromis de compte de messagerie (EAC), qui a représenté près de 2.4 milliards de dollars de pertes en 2021, selon ce Rapport sur la criminalité sur Internet.

Géographiquement, le Nigeria est le pays numéro un hébergeant 46% des fraudes aux PDG, suivis des États-Unis (27 %) et du Royaume-Uni (15 %).

How does this work?

Comment cela marche-t-il

Notamment, la fraude au PDG ne nécessite aucune compétence technique ou savoir-faire criminel. Tout ce que vous recevrez est un e-mail aléatoire et ingénierie sociale pour vous inciter à envoyer des fonds ou à révéler des détails sensibles en vue d'une action illicite ultérieure.

Voyons quelques façons dont les mauvais acteurs le font "actuellement".

Tapez 1

Un hasard adresse e-mail imposer que le PDG demande de l'argent est la forme la plus simple d'une telle supercherie. Et celui-ci est facile à repérer. Tout ce que vous avez à rechercher est l'adresse e-mail (et non le nom).

Généralement, le nom de domaine (xyz@nomentreprise.com) trahit la fraude. Cependant, l'adresse e-mail peut indiquer une organisation renommée (comme ce fut le cas dans mon cas).

Ces récompenses ont ajouté de la légitimité à l'escroquerie, qui peut victimiser un professionnel non averti. De plus, l'adresse e-mail peut sembler authentique mais avec de légers changements imperceptibles, comme @gmial.com à la place de @gmail.com.

Enfin, il peut provenir d'une adresse e-mail légitime mais compromise, ce qui rend extrêmement difficile la détection de l'escroquerie.

Tapez 2

Une autre technique plus sophistiquée utilise les appels vidéo. Cela inclut une adresse e-mail "gérée" d'un haut fonctionnaire qui envoie des demandes de réunion en ligne "urgentes" à ses employés, principalement au sein du service financier.

Ensuite, les participants voient une image sans audio (ou avec un son deepfake) avec une affirmation selon laquelle la connexion ne fonctionne pas comme prévu.

Par la suite, le «dirigeant d'entreprise» demande d'initier un virement bancaire vers des comptes bancaires inconnus, d'où l'argent est détourné via d'autres canaux (lire les crypto-monnaies) après une fraude réussie.

Tapez 3

Celui-ci est une variante du type 1 mais cible les partenaires commerciaux et non les employés, obtenant un nom – fraude à la facture – plus adapté à son mode opératoire.

Dans ce cas, le client d'une organisation reçoit un e-mail pour payer de toute urgence une facture sur des comptes bancaires spécifiques.

chef de la direction-fraude-1
La source: CBC Nouvelles

Celui-ci a le taux de réussite le plus élevé car il est normalement réalisé à l'aide d'une adresse e-mail d'entreprise piratée. Et comme le courrier électronique est le mode de communication, parfois exclusif, des professionnels, il en résulte d'énormes pertes financières et de réputation pour l'organisation cible.

How to Check CEO Fraud?

Comment-vérifier-fraude-PDG

En tant qu'employé, il est difficile de rejeter une demande de votre propre PDG. Cette psyché est la principale cause du succès des auteurs avec juste un e-mail aléatoire.

En plus de remettre en question les demandes financières, il est préférable de demander une réunion vidéo avant de « coopérer ».

De plus, dans la plupart des cas, il vous suffit de vérifier attentivement l'adresse e-mail. Cela peut ne pas appartenir à votre organisation ou peut avoir des versions mal orthographiées du nom de l'entreprise.

De plus, une institution ne peut pas enregistrer toutes les extensions de domaine. Donc, vous devez vous méfier de recevoir un e-mail de xyz@entreprise.net quand l'adresse officielle devrait être xyz@entreprise.com.

Enfin, vous recevez peut-être des e-mails d'une adresse d'entreprise exploitée "de l'extérieur" ou d'un membre interne malveillant. La clé d'une telle situation est la confirmation verbale ou la mise au courant de plusieurs cadres avant d'effectuer tout paiement.

Et le moyen le plus efficace de protéger votre organisation, si vous en dirigez une, consiste à intégrer la simulation de phishing dans la formation de routine des employés. Car ces fraudeurs évoluent constamment. Donc, donner un seul avertissement unique n'aidera pas beaucoup vos employés.

Emballer!

Malheureusement, nous dépendons beaucoup de courriels professionnels, laissant de grandes lacunes que les criminels exploitent souvent.

Bien qu'il n'existe pas encore de substitut à cette forme de communication, nous pouvons ajouter des partenaires commerciaux sur des applications telles que Slack ou même WhatsApp. Cela aidera à confirmer rapidement si quelque chose semble suspect et à éviter de tels revers.

PS : Si j'étais vous, je ne manquerais pas cet article sur types de cybercrimes pour une culture Internet supplémentaire.

Tagué comme
Merci à nos commanditaires
Plus de bonnes lectures sur la sécurité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder