La fraude au PDG est un type d’attaque de phishing par lance dans laquelle un pirate se fait passer pour un PDG par e-mail et persuade une victime d’effectuer une transaction, généralement financière. L’une des attaques par e-mail les plus coûteuses, la fraude par PDG est une forme de compromis par e-mail professionnel, qui a coûté 1,7 milliard de dollars aux entreprises américaines en 2019.
La fraude des PDG peut aller des escroqueries par carte-cadeau à la fraude par virement bancaire, des millions de dollars étant acheminés vers le compte bancaire d’un pirate, souvent bien avant que l’entreprise ne réalise ce qui ne va pas. Pour augmenter leurs chances de succès, les pirates utilisent un certain nombre de tactiques, certaines techniques mais impliquant principalement des manipulations psychologiques.
Application de pression
Les escroqueries par carte-cadeau sont parmi les plus simples à exécuter et les plus difficiles à tracer. Cela en fait l’une des attaques de spear phishing les plus répandues dans la nature et qui offre un retour sur investissement immédiat.
En se faisant passer pour un PDG, un pirate informatique prétend généralement être en réunion et avoir un besoin urgent d’acheter des cartes-cadeaux pour un client. Souvent, le pirate prétend que les cartes-cadeaux sont une surprise pour les employés, manipulant la victime pour qu’elle garde la demande secrète. Dans l’esprit de la victime, ne pas passer à travers pourrait entraîner de l’embarras ou de la déception de la part du PDG. Cela crée une pression intense pour la victime.
Les attaques de compromission des e-mails professionnels les plus réussies comportent des e-mails de spear phishing soigneusement conçus. Mais ce qui fait vraiment leur succès, c’est l’identité et l’influence du prétendu expéditeur. L’utilisateur moyen pourrait réfléchir à deux fois à l’achat de cartes-cadeaux pour John in accounting, mais si la demande provient du PDG, la victime est plus susceptible de répondre et rapidement.
De nombreuses victimes de fraude au PDG n’avaient auparavant que peu ou pas de contact avec le PDG. Il est facile de blâmer les victimes dans ces cas et de dire qu’elles auraient dû mieux savoir. En réalité, cela rend la victime plus vulnérable à la fraude car l’e-mail la prend au dépourvu. Lorsque la demande financière est la toute première communication entre la victime et le PDG, la victime ressentira non seulement une pression, mais un désir de plaire.
De nombreuses victimes ne sont pas habituées à communiquer avec le PDG. Ils ne connaissent pas le style et les habitudes de communication du PDG — ce que le PDG dirait ou ne voudrait pas dire ou faire. Le vrai PDG pourrait ne jamais s’engager dans une telle conversation ou faire une telle demande, mais la victime ne le sait pas, et cela donne un avantage au pirate informatique.
Une tactique courante en ingénierie sociale, le prétexte ouvre une ligne de communication entre le pirate et la victime, ce qui facilite la demande de la victime. Cela permet également au pirate de définir des attentes (n’en parlez à personne; c’est une surprise) et sert de collecte de renseignements, fournissant au pirate des informations supplémentaires qui pourraient l’aider à réussir.
Dans certains cas de fraude du PDG, un pirate envoie plusieurs courriels à la victime avant la demande finale, vérifie leur progression, s’assure que personne d’autre n’est au courant de la transaction et exerce plus de pression jusqu’à ce que la transaction soit terminée.
Envoi d’e-mails à partir d’appareils mobiles
Les PDG sont des gens occupés. Il n’est pas rare de recevoir un e-mail d’un cadre qui est hors du bureau, lors d’un événement, en visite avec un client ou même à l’extérieur du pays. L’envoi d’e-mails de spear phishing via un appareil mobile aide le pirate à donner l’impression que le PDG est loin de son bureau. Cela profite au pirate de plusieurs façons.
Tout d’abord, cela aide le pirate à créer l’illusion que le PDG est hors de son élément, peut-être sans son ordinateur portable, et a besoin d’aide. Deuxièmement, cela donne au pirate une marge de manœuvre pour faire des erreurs en ce qui concerne le courrier électronique — les fautes de grammaire et d’orthographe sont courantes et pardonnables (dans une certaine mesure) sur les appareils mobiles.
Enfin, cela augmente les chances que l’e-mail usurpé soit négligé. Si le pirate usurpe le nom du PDG mais pas le domaine de l’entreprise, il est raisonnable pour la victime de croire que le PDG a fait une erreur et a envoyé l’e-mail via un compte personnel.
Deep fakes
Relativement nouveau dans le domaine du compromis par e-mail professionnel, les deep fakes se sont révélés à la fois très efficaces et extrêmement coûteux. Mieux encore (pour le pirate informatique), il existe sur le marché une variété d’outils basés sur l’intelligence artificielle qu’un pirate informatique peut utiliser pour imiter la voix d’un PDG.
Selon le Wall Street Journal, en 2019, un PDG d’une entreprise énergétique britannique a reçu un appel du directeur général de la société mère allemande de l’entreprise — mais ce n’était pas son directeur général. C’était un pirate utilisant un faux logiciel, imitant la voix du directeur général en Allemagne et demandant un paiement par virement bancaire à un fournisseur. Le résultat a été un paiement de 243 000 to au pirate informatique, qui a rapidement rappelé pour en demander plus, ce qui a averti le PDG.
Les faux logiciels profonds sont abondants, efficaces et bon marché, et les entreprises n’ont pas de réponse. Selon Computer Weekly, 77% des décideurs en cybersécurité sont préoccupés par les faux en profondeur, mais seulement 28% ont un plan pour s’en défendre.
Prévention de la fraude des PDG
La technologie anti-spear phishing a parcouru un long chemin, mais la nature psychologique de la fraude des PDG nécessite une combinaison de mesures préventives:
Formation des utilisateurs: Formez vos utilisateurs à identifier différents types de compromission du courrier électronique professionnel, ainsi que des techniques d’ingénierie sociale. Aller au-delà de la formation périodique et fournir une formation à la volée – lorsque les utilisateurs ouvrent ou répondent à des e—mails malveillants.
Processus de validation : Mettre en œuvre un processus de validation des demandes de transactions financières. Les exemples incluent la validation des demandes en personne ou par téléphone après avoir reçu une demande financière par e-mail.
Technologie: Mettez à niveau votre solution de phishing anti-lance vers une solution qui va au-delà du DMARC et de la détection traditionnelle. La solution devrait pouvoir identifier les techniques d’usurpation d’identité difficiles à détecter qui échappent à DMARC, y compris les domaines cousins et l’usurpation de noms d’affichage.
Que vous l’appeliez spear phishing, fraude du PDG ou compromission des e-mails professionnels, toutes les attaques par e-mail ciblées affichent des caractéristiques, des comportements et même un langage similaires. C’est là que l’intelligence artificielle (IA) excelle dans la détection.
À la recherche d’anomalies dans le trafic des e-mails et de comportements malveillants dans les e-mails, les algorithmes d’IA peuvent détecter les solutions statistiques ou d’empreintes digitales manquantes. Vade Secure utilise deux techniques d’apprentissage automatique pour détecter le spear phishing et la fraude au PDG:
- Détection d’anomalies : Identifie les valeurs aberrantes ou les comportements inhabituels dans un ensemble de données — dans ce cas, le trafic de messagerie d’une organisation. Il apprend au fil du temps ce qui est et n’est pas un comportement d’envoi / réception typique dans l’organisation et identifie les anomalies, y compris les domaines cousins et l’usurpation de nom d’affichage.
- Traitement du langage naturel: Détecte les mots et expressions courants utilisés dans la fraude et le spear phishing des PDG, en particulier le langage qui indique l’urgence ou est lié à des transactions financières.
Vade Secure pour Microsoft 365 avertit les utilisateurs d’éventuelles tentatives de spear phishing avec une bannière d’avertissement qui se déclenche lorsque l’e-mail suspect est ouvert. Cela fournit la pause nécessaire pour que l’utilisateur considère les signes d’avertissement possibles qu’il aurait pu manquer autrement. De plus, si l’e-mail contient des anomalies mais qu’il s’agit d’un message légitime, l’e-mail ne sera pas mal classifié et bloqué, ce qui garantit que les communications importantes de l’entreprise sont livrées avec succès.