Les hameçonneurs tirent parti de ces facteurs et d'autres encore dans leurs attaques, et les courriels d'hameçonnage peuvent se présenter sous plusieurs formes. Alors que certaines attaques de hameçonnage couvrent un large spectre, d'autres (comme les attaques de hameçonnage à la lance) sont très adaptées à leur cible. Dans certains cas, un attaquant se fera passer pour une figure d'autorité ou une autre personne de confiance pour atteindre son objectif.
Les systèmes de hameçonnage ne se limitent pas non plus au courrier électronique. Les attaquants peuvent tirer parti des plateformes de collaboration des entreprises et des communications application sur les appareils mobiles pour mener leurs attaques.
Les cinq attaques de hameçonnage les plus coûteuses à ce jour
Les cinq attaques décrites ici ont nécessité peu de sophistication de la part des attaquants, mais leur ont permis de dérober des dizaines de millions de dollars à une organisation.
1. Facebook et Google
Entre 2013 et 2015, Facebook et Google ont perdu 100 millions de dollars à la suite d'une longue campagne d'hameçonnage. Le fraudeur a profité du fait que les deux entreprises utilisaient Quantum, une société basée à Taiwan, comme fournisseur. L'attaquant a envoyé une série de fausses factures à la société qui s'est fait passer pour Quantum, que Facebook et Google ont payée.
La fraude a finalement été découverte, et Facebook et Google ont pris des mesures dans le cadre du système juridique américain. L'agresseur a été arrêté et extradé de Lituanie et, grâce aux procédures judiciaires, Facebook et Google ont pu récupérer 49,7 millions de dollars sur les 100 millions qui leur avaient été volés.
2. Banque Crelan
La banque Crelan, en Belgique, a été victime d'une fraude à l'adresse Business Email Compromise (BEC) qui lui a coûté environ 75,8 millions de dollars. Dans ce type d'attaque, l'hameçonneur compromet le compte d'un cadre supérieur d'une entreprise et demande à ses employés de transférer de l'argent sur un compte contrôlé par l'hameçonneur. L'attaque par hameçonnage de la Crelan Bank a été découverte lors d'un audit interne, et l'organisation a pu absorber la perte car elle disposait de réserves internes suffisantes.
3. FACC
FACC, un fabricant autrichien de pièces pour l'aérospatiale, a également perdu une somme d'argent importante à cause d'une fraude à la BEC. En 2016, l'organisation a annoncé l'attaque et révélé qu'un hameçonneur se faisant passer pour le PDG de l'entreprise avait demandé à un employé du service de comptabilité d'envoyer 61 millions de dollars sur un compte bancaire contrôlé par l'attaquant.
Ce cas est inhabituel dans la mesure où l'organisation a choisi de licencier son PDG et son directeur financier et d'intenter une action en justice à leur encontre. L'entreprise a demandé 11 millions de dollars de dommages-intérêts aux deux dirigeants pour n'avoir pas correctement mis en œuvre les contrôles de sécurité et la supervision interne qui auraient pu empêcher l'attaque. Ce procès a démontré le risque personnel encouru par les dirigeants d'une organisation qui ne font pas preuve de "diligence raisonnable" en matière de cybersécurité.
4. Laboratoires Upsher-Smith
En 2014, une attaque BEC contre une entreprise pharmaceutique du Minnesota a fait perdre plus de 39 millions de dollars aux attaquants. Le fraudeur s'est fait passer pour le PDG des Laboratoires Upsher-Smith et a envoyé des courriels au coordinateur des comptes fournisseurs de l'organisation, lui demandant d'effectuer certains virements et de suivre les instructions d'un "avocat" travaillant avec les pirates.
L'attaque a été découverte à mi-parcours, ce qui a permis à l'entreprise de rappeler l'un des neuf virements envoyés. Le coût pour l'entreprise a ainsi été ramené de 50 à 39 millions de dollars. L'entreprise a décidé de poursuivre sa banque pour avoir effectué les transferts malgré de nombreux "signaux d'alerte" manqués.
5. Ubiquiti réseau
En 2015, Ubiquiti réseau, une société de réseaux informatiques basée aux États-Unis, a été victime d'une attaque BEC qui lui a coûté 46,7 millions de dollars (dont elle espérait récupérer au moins 15 millions). L'attaquant s'est fait passer pour le PDG et l'avocat de l'entreprise et a demandé au chef comptable de l'entreprise d'effectuer une série de virements pour conclure une acquisition secrète. En l'espace de 17 jours, la société a effectué 14 virements vers des comptes en Russie, en Hongrie, en Chine et en Pologne.
L'incident n'a été porté à l'attention d'Ubiquiti que lorsque le FBI l'a informée que le compte bancaire de la société à Hong Kong avait pu être victime d'une fraude. Cela a permis à l'entreprise d'arrêter tout transfert futur et de tenter de récupérer autant que possible les 46,7 millions de dollars volés (qui représentaient environ 10 % de la trésorerie de l'entreprise).
L'importance d'une protection anti-hameçonnage robuste
Les attaques de hameçonnage coûteuses décrites ici n'ont pas nécessité une grande sophistication de la part de l'attaquant. Une petite recherche sur une entreprise a révélé l'identité de personnes clés (PDG, directeur financier, etc.) et de fournisseurs. Les attaquants ont utilisé ces informations pour créer des courriels crédibles qui ont incité leurs cibles à envoyer de l'argent sur des comptes bancaires contrôlés par les attaquants.
Si certaines attaques par hameçonnage sont conçues pour délivrer des logiciels malveillants, ce qui rend une solution de Sécurité des postes indispensable, ce n'est pas toujours le cas. Toutes les attaques décrites ici ne contenaient aucun contenu malveillant susceptible d'être détecté par un antivirus.
Pour se protéger contre ces attaques, une organisation a besoin d'une solution anti-hameçonnage capable de détecter les attaques BEC par l'analyse du corps du texte d'un courriel. Pour en savoir plus sur les solutions de sécurité des emails de Point de contrôle et sur la façon dont elles peuvent protéger votre organisation contre la menace du hameçonnage, contactez-nous. Ensuite, demandez une démonstration pour voir la solution en action.
Commentaires