Cybersécurité : Attention aux escrocs qui se cachent dans vos visioconférences
Le monde du travail s’adapte, les cybercriminels aussi. Et les réunions vidéo sont le dernier média utilisé pour des attaques traditionnellement menées par e-mail.
Les attaques par compromission d’e-mails (BEC) représentent un business lucratif, puisqu’elles sont estimées à plusieurs milliards de dollars. Mais il faudrait peut-être songer à changer leur nom, puisque de plus en plus de criminels utilisent désormais les réunions vidéo pour leurs arnaques, au-delà des simples e-mails.
Le FBI a récemment mis en garde contre cette nouvelle menace qui incite des victimes peu méfiantes à remettre de l’argent aux cyberescrocs.
Des e-mails aux réunions vidéo
Les plateformes de visioconférence comme Zoom et Microsoft Teams ont été les grandes gagnantes de la pandémie. Mais comme souvent, lorsque les utilisateurs vont quelque part, les criminels suivent.
Les attaques par compromission d’e-mails s’appuient généralement sur de faux domaines de courrier électronique, usurpés ou compromis, pour relayer des messages à leurs victimes, dans le but de les inciter à effectuer un virement bancaire. Ces escroqueries sont techniquement simples, mais elles sont souvent agrémentées d’une histoire soigneusement élaborée qui trompe même les employés bien formés. Il s’agit de la première catégorie de cybercriminalité en termes de perte de fonds : 1,8 milliard de dollars en 2020, sur la base des cas signalés au FBI.
Mais ces attaques, dites BEC pour « Business email compromise », ne se limitent pas au courrier électronique. Le centre de lutte contre la criminalité sur Internet (IC3) du FBI a constaté une recrudescence des escroqueries par BEC utilisant des réunions vidéo comme forum de communication. Cette augmentation s’est produite entre 2019 et 2021, alors que le monde subissait la pandémie de Covid-19 et découvrait le télétravail et les réunions vidéo.
Les cybercriminels s’adaptent
A première vue, on pourrait penser que les réunions vidéo ne sont pas le support le plus évident pour ce type d’escroqueries, car elles nécessitent une présence physique. Mais apparemment, ce média fonctionne lorsqu’il est utilisé combiné avec l’e-mail, que les attaquants utilisent pour s’insérer ultérieurement dans une conversation vidéo de confiance.
« Les criminels ont commencé à utiliser des plateformes de réunions virtuelles pour mener davantage d’escroqueries de type BEC en raison de l’augmentation du télétravail due à la pandémie de Covid-19, qui a amené davantage d’organisations et de personnes à mener des affaires courantes de manière virtuelle », explique le FBI.
Les escroqueries de type BEC avec vidéo font toujours appel au courrier électronique pour la reconnaissance : l’attaquant compromet les courriels des employés et « s’insère dans les réunions professionnelles via des plateformes de réunion virtuelles afin de recueillir des informations sur les opérations quotidiennes d’une entreprise », note le FBI.
Plusieurs scénarios sont utilisés
L’attaquant peut aussi s’introduire dans la messagerie de l’employeur, par exemple celle du PDG, et envoyer de faux courriels aux employés « leur demandant d’effectuer des transferts de fonds, car le PDG prétend être occupé par une réunion virtuelle et incapable d’effectuer un transfert de fonds via son propre ordinateur ».
Il peut également demander aux employés de participer à une plateforme de réunion virtuelle où il insérera une image fixe du PDG sans audio, ou un audio « deep fake », prétendant que la vidéo/audio ne fonctionne pas correctement. Le criminel « demande ensuite aux employés de procéder à des transferts de fonds via le chat de la plateforme de réunion virtuelle ou dans un courriel qui suit », raconte le FBI.
Les escroqueries de type BEC échappent à toute définition précise, car elles peuvent impliquer des personnes externes ou internes, et ne nécessitent souvent qu’un seul agent légitime pour effectuer un transfert autorisé dans le cadre de faux scénarios concoctés par l’escroc, comme un courriel urgent d’un contrôleur financier à un subordonné un vendredi après-midi.
Les recommandations du FBI
Pour se protéger de ces attaques, le FBI a publié un avis contenant les recommandations suivantes :
- demander confirmation avant d’utiliser une plateforme qui n’est pas utilisée en temps normal ;
- utiliser des canaux secondaires ou une authentification multifactorielle pour vérifier les demandes de modification des informations de compte ;
- s’assurer que l’URL de l’e-mail est associé à l’entreprise ou à la personne prétendue ;
- être attentif aux hyperliens qui peuvent contenir des fautes d’orthographe du nom de domaine réel ;
- éviter de fournir des identifiants de connexion ou des informations personnelles de quelque nature que ce soit par courrier électronique ;
- vérifier l’adresse électronique utilisée pour envoyer des courriels, surtout lorsque vous utilisez un appareil mobile ou portable, en vous assurant que l’adresse de l’expéditeur semble correspondre à celle de l’expéditeur ;
- s’assurer que les ordinateurs des employés sont réglés pour afficher les extensions complètes des e-mails ;
- surveiller régulièrement les comptes financiers personnels pour détecter toute irrégularité, comme des dépôts manquants.
Parmi ces conseils, on retrouve la mise en place de l’authentification à plusieurs facteurs. Cette recommandation revient souvent dans les conseils de cybersécurité, et pour cause : malgré son efficacité, selon Microsoft, seul un cinquième des organisations l’avait activé pour les comptes de messagerie d’entreprise en 2021.