Défendez-vous contre la fraude par compromission des e-mails professionnels - une nouvelle activité comme d'habitude
Selon la dernière enquête de l'Association for Financial Professionals, plus de 81 % des professionnels de la finance aux États-Unis ont déclaré que leur organisation avait été la cible de fraudes en 2019. ‡ sur la fraude aux paiements et les contrôles.
Presque tout le monde connaît le terme hameçonnage . Tel qu'il est communément défini, le hameçonnage envoie un message en ligne prétendant à tort être quelqu'un d'autre, incluant souvent une demande au destinataire d'entreprendre une action préjudiciable comme télécharger une pièce jointe malveillante ou cliquer sur un lien frauduleux. En cliquant ou en téléchargeant la pièce jointe, l'attaquant pourrait avoir accès à des données sensibles telles que les identifiants de connexion et tous les privilèges détenus par la victime.
Au fil du temps, la plupart des gens d'affaires ont appris à identifier les liens suspects dans les e-mails. De plus, les filtres de messagerie sont devenus plus efficaces pour repérer et supprimer les e-mails probablement envoyés avec une intention malveillante. Mais malheureusement, les auteurs sont également devenus plus sophistiqués. Un sous-type d'hameçonnage qui s'est « professionnalisé » ces dernières années est la compromission des e-mails professionnels (BEC).
À propos du BEC et des virements bancaires
La fraude par virement bancaire est devenue si répandue que le FBI a publié un message d'intérêt public‡ concernant le problème. Dans cette annonce, le FBI a noté que ce type de fraude avait augmenté de plus de 100 % de juin 2016 à juillet 2019, entraînant une perte de plus de 26 milliards de dollars.
Dans les schémas BEC, il n'y a généralement aucun lien malveillant. L'objectif est plutôt de trouver un moyen de se faire passer pour un décideur de confiance. Un exemple courant est celui des auteurs qui se font passer pour un dirigeant de l'entreprise et envoient un e-mail "en tant que" ce dirigeant demandant la réalisation d'un virement bancaire.
Pour maximiser les chances de succès, les auteurs peuvent effectuer des recherches détaillées et une ingénierie sociale approfondie. Ils peuvent savoir, par exemple, que votre entreprise est engagée dans un projet particulier avec un fournisseur particulier. Ils peuvent avoir recueilli des informations personnelles sur le dirigeant de l'entreprise lors d'attaques antérieures contre le service des ressources humaines, des informations qui peuvent les aider à créer une demande qui reflète parfaitement les instructions de câblage authentiques.
Parfois, ils peuvent effectuer une tentative d'usurpation d'identité à partir d'une adresse e-mail qui ressemble à la vraie. Par exemple, au cours d'une journée de travail chargée, de nombreuses personnes manqueraient la différence entre [email protected] et [email protected]. Et c'est seulement s'ils recherchent les différences en premier lieu.
Dans d'autres cas, les auteurs mènent des tentatives d'escroquerie BEC après avoir piraté le compte de messagerie d'un dirigeant. À ce stade, ils n'ont pas besoin d'usurper l'apparence d'un e-mail légitime et de tenter de masquer son origine réelle. Au lieu de cela, maintenant, ils "sont" vraiment l'exécutif et peuvent prendre toutes les décisions en tant qu'exécutif en fonction de leur niveau de privilèges.
Associez ces techniques sophistiquées à des opérations de fraude spécialisées et professionnelles, et le résultat est des milliards de dollars de pertes financières réelles pour les BEC.
Une demande de virement "de votre part" pourrait-elle être effectuée ?
Supposons qu'un acteur malveillant a piraté votre e-mail et envoyé une demande à votre équipe financière pour transférer des fonds à l'un de vos fournisseurs existants, car le calendrier du projet a été avancé et vous souhaitez que le fournisseur soit payé avant votre visite sur place de l'équipe le lendemain. Le montant demandé pour le transfert est en ligne avec d'autres paiements à ce fournisseur.
De plus, dites que "vous" faites savoir à votre équipe financière que vous venez de recevoir et de transmettre de nouvelles coordonnées bancaires pour le fournisseur, qui, selon votre e-mail, ont changé pour une raison plausible.
Dans quelle mesure êtes-vous certain que la demande de virement bancaire ne sera pas satisfaite ? Après tout, il provient de votre adresse e-mail réelle (pas d'usurpation d'identité), n'inclut aucun lien suspect et demande de payer un fournisseur existant dont vous avez peut-être même eu une conversation récente avec ces mêmes professionnels de la finance.
À mesure que les systèmes BEC deviennent plus sophistiqués, vous ne pouvez pas compter sur vous ou sur votre personnel pour avoir un œil aiguisé. Vous devez disposer à l'avance de flux de travail et de systèmes bien établis.
Ce que vous pouvez faire pour rester protégé
Voici les mesures de protection de base pour aider votre organisation à éviter les pertes financières dues à des escroqueries de ce type.
- Établir des instructions de paiement prédéfinies ; ne jamais s'écarter de ces modèles à moins que les modifications ne soient soigneusement vérifiées.
- Limitez strictement le nombre d'employés de votre organisation qui ont le pouvoir d'approuver et/ou d'effectuer des virements électroniques.
- Établissez un protocole selon lequel les demandes de virement électronique envoyées par e-mail sont toujours validées par un autre canal de communication ou via une authentification multifacteur.
- Toujours confirmer verbalement toute modification des instructions de paiement d'un fournisseur en utilisant les coordonnées enregistrées qui ne proviennent pas de l'e-mail. Tenez à jour une liste non électronique des contacts de ces fournisseurs dont vous savez qu'ils sont autorisés à approuver les demandes de modification des instructions de transfert.
- Chaque fois qu'une banque vous contacte pour vérifier le virement bancaire, retardez la transaction jusqu'à ce que des vérifications supplémentaires puissent être effectuées.
- Exiger une double approbation pour toute demande de virement bancaire concernant :
- Un montant en dollars supérieur à un seuil spécifique
- Partenaires commerciaux qui n'ont pas encore été ajoutés à une liste de partenaires commerciaux approuvés pour recevoir des virements électroniques
- Tout nouveau partenaire commercial
- Nouveaux numéros de banque et/ou de compte pour les partenaires commerciaux actuels
- Virements bancaires vers des pays en dehors des schémas commerciaux normaux
- Formez vos employés sur le BEC et sur les mesures qu'ils peuvent prendre pour minimiser les risques.
Enfin, faites affaire avec des partenaires que vous connaissez. L'équipe des paiements bancaires au service de votre organisation doit connaître votre entreprise et ses habitudes. Cette familiarité, associée à une vigilance approfondie et à des systèmes sophistiqués d'alerte à la fraude, vous aide à vous protéger contre une menace grave et croissante.
Tenez-vous informé des tendances du secteur et des actualités importantes de l'entreprise en visitant notre Nouvelles de l'industrie section sur umb.com . Suivez UMB sur LinkedIn, Facebook ‡ et Twitter ‡ pour voir des mises à jour régulières sur notre entreprise, nos employés et nos perspectives financières en temps opportun.
-
10 façons de financer une nouvelle entreprise
Démarrer un stand de limonade de quartier rentable ne nécessite pas beaucoup de capital. Lorsque vous aviez huit ans, vous avez lancé un stand de limonade très rentable dans votre cour avant. Avec ri
-
Compromis des e-mails professionnels (BEC) :comment identifier les signaux d'alarme et réduire les risques
Les escroqueries par compromission des e-mails professionnels (BEC) sont un type de fraude de paiement en ligne qui cible les entreprises et peut entraîner des pertes financières importantes. BEC impl
Entreprise
- New York Life va dépenser 6,3 milliards de dollars pour la vie de groupe Cigna,
- Garder le personnel satisfait est vraiment une bonne affaire,
- Pourquoi la faillite bancaire est (probablement) comme d'habitude pour vous
- Comment les entrepreneurs créent-ils de nouvelles sociétés de gestion de placements ?
- Dois-je assurer ma petite entreprise contre les dommages informatiques et les risques liés aux données ?
- Puis-je assurer ma petite entreprise contre le vol et d'autres délits ?
- Vous avez une nouvelle entreprise ? Options d'assurance que vous devez considérer
- Sécurité cryptographique :qu'est-ce que le cryptojacking ? Comment le prévenir et s'en défendre ?
- Rester agile :financement et planification des entreprises dans une nouvelle ère
-
Comment choisir le bon outil de marketing par e-mail pour votre entreprise Il existe de nombreuses ressources qui vous assureront que le marketing par e-mail est toujours une forme inégalée de marketing numérique qui peut vous apporter de nombreux clients, et ils sont tous v...
-
10 problèmes courants pour les nouvelles entreprises Les nouvelles entreprises veulent éviter dafficher ce panneau. Chaque rue animée du centre-ville a une vitrine qui est « maudite ». Un mois, cétait une pizzeria. Six mois plus tard, cétait le bureau ...