Usurpation d’identité : Une source d’argent facile pour des cybercriminels

0
91

La combinaison “spear phishing” – reconnaissance – usurpation d’identité, toujours plus sophistiquée, peut avoir de graves conséquences financières pour les entreprises.

Communiqué de presse Barracuda – Une cyberattaque récente contre une organisation de protection contre le “spear phishing” le prouve, et illustre les dangers de l’utilisation d’emails non authentifiés pour des transactions financières. Le PC du contrôleur financier de l’entreprise a été infecté par un malware qui a envoyé une copie de chacun de ses emails reçus vers une autre adresse email sur un compte d’email gratuit.

L’escroc sur ce compte mail non autorisé s’est alors contenté de surveiller les mails du contrôleur financier pendant une courte période avant d’agir. Rapidement, il a identifié un email concernant une transaction financière suffisamment intéressante pour déclencher son attaque.

Utilisant des informations à partir des emails qu’il surveillait, il a créé un faux email à partir du fournisseur, avec un en tête Re : (Répondre à) pour détourner les réponses vers lui.

From: invoice@supplier.com

   Subject: Our revised invoice with updated bank info

   Reply-To: invoice@supplier.com <thief@free-email.com>

   To: purchasing@victim-company.com

 Please find revised Invoice with our updated bank details for payment transfer.

   1 attachment: Updated-Invoice.pdf

Exploitant son avantage, pendant les deux semaines suivantes, l’escroc s’est inséré dans des conversations concernant d’autres transactions financières, usurpant d’abord l’identité d’une des parties, puis de l’autre, détournant soigneusement les réponses vers sa propre adresse email. La véritable conversation email entre l’entreprise et son fournisseur était mentionnée dans l’email de l’escroc.

Lorsqu’on lui demandait pourquoi le compte bancaire du fournisseur était dans une banque étrangère peu connue, l’escroc attachait des images de documents signés « autorisant » le changement. Les lettres d’autorisation et les signatures avaient été récupérées sur des documents similaires attachés à des emails précédents que le contrôleur avait reçus.

A un moment donné, certains employés ont fini par recevoir la preuve d’une des usurpations de leur propre identité par l’escroc, et l’alarme a été donnée. Mais l’escroc a pu récupérer une importante somme d’argent avant que son stratagème ne soit découvert.

De multiples vulnérabilités ont été exploitées dans cet exemple. Tout d’abord, le malware sur le PC du contrôleur financier a fourni à l’escroc une table d’écoute sur les flux financiers de l’entreprise qui lui a donné les informations nécessaires pour monter son piège. Deuxièmement, sa capacité à usurper l’identité d’employés de l’entreprise et de personnes avec lesquelles ils correspondaient régulièrement lui a permis d’atteindre ses cibles. Plus d’informations sur ce type d’attaque sont disponibles sur le blog Barracuda sur le spear phishing et la cyber fraude, et sur l’article Threat Soptlight.

Barracuda Sentinel utilise la fonction DMARC d’authentification de message basé sur leur nom de domaine (Domain based Message Authentication Reporting and Conformance) pour combattre ce type d’attaque. Ce service examine des informations provenant de multiples signaux pour apprendre les schémas uniques de communications de chaque entreprise et pour analyser le contenu des messages pour détecter des informations sensibles. Barracuda combine alors cette intelligence sur les messages pour déterminer avec un haut degré de précision si un message email fait partie d’une attaque de “spear phishing” de ce type.