La compromission des e-mails professionnels (BEC) est une grosse affaire pour les cybercriminels. Selon l'étude 2021 du FBI sur la cybercriminalité, le phishing BEC était responsable de près de 2021 milliards de dollars de pertes en 2,4.
BEC est essentiellement un type d'attaque de phishing. Lookout examine comment le phishing moderne a évolué au-delà des e-mails. Avec la prolifération des smartphones et des tablettes, les attaquants vont désormais bien au-delà des e-mails. Ils utilisent désormais également d'autres plates-formes telles que les SMS, les applications de messagerie telles que Signal et WhatsApp, et les applications de médias sociaux pour attaquer et compromettre leurs cibles. Avec autant d'applications SaaS que les employés utilisent chaque jour, une seule attaque de phishing réussie pourrait avoir un impact sur toute une organisation. Le cloud a facilité la productivité, mais il a également accru l'impact du phishing.
Qu'est-ce que la compromission des e-mails professionnels, BEC ?
Dans les attaques BEC traditionnelles, l'attaquant achète ou collecte des listes de contacts contenant les noms, adresses e-mail et numéros de téléphone des directeurs financiers, des équipes financières et des fournisseurs. Un message ciblé est envoyé en se faisant passer pour un cadre supérieur (généralement le PDG) et contenant une demande de paiement urgente, par ex. B. doit être réalisé pour un projet urgent. Les attaquants envoient souvent des dizaines de milliers de messages de phishing par an, et si une seule personne mord à l'hameçon, cela peut entraîner d'énormes pertes pour une entreprise.
Cependant, BEC s'est développé bien au-delà de ces paramètres classiques. À mesure que les attaques deviennent plus populaires, les organisations doivent faire évoluer leurs défenses. Comme pour toute attaque de phishing, la sensibilisation et l'éducation sont la première étape de la prévention, mais certainement pas la seule.
Pensez au-delà des e-mails pour prévenir les risques de phishing
Les appareils mobiles représentent un plus grand défi pour les cibles de phishing, car la formation à la cybersécurité ne traite souvent pas des appareils mobiles. Les cours de formation sur l'hameçonnage demandent généralement aux utilisateurs de rechercher des indicateurs qui ne peuvent être vus que sur un ordinateur de bureau. Malheureusement, de nombreuses applications de messagerie mobile n'affichent pas l'adresse e-mail de l'expéditeur et limitent la possibilité de prévisualiser les hyperliens vers des sites Web potentiellement faux.
Pour aggraver le problème, les entreprises dépendent des communications mobiles à tout moment de la journée, surtout maintenant que la plupart des utilisateurs travaillent à distance. Les cadres qui communiquent avec leurs équipes via des e-mails mobiles ou des applications de messagerie s'attendent à une attention immédiate, ce qui incite les employés à tomber dans le piège des escroqueries par hameçonnage.
En outre, il existe davantage de canaux par lesquels les attaquants peuvent diffuser leurs escroqueries via un téléphone mobile. De nombreux utilisateurs ne s'attendent pas à ce que des liens de phishing soient diffusés via des plateformes telles que la messagerie SMS, Facebook Messenger, WhatsApp ou Signal, mais cela devient de plus en plus courant. Le FBI a même publié une annonce d'intérêt publicque les attaquants utilisent désormais des plates-formes de réunion virtuelles pour mener des escroqueries BEC.
Le phishing moderne est la porte d'entrée des entreprises
Non seulement les appareils mobiles sont beaucoup plus faciles à hameçonner, mais ils ont tout autant accès aux applications et aux données qui intéressent les entreprises. Comme les utilisateurs peuvent travailler de n'importe où, qu'il s'agisse d'un smartphone ou d'une tablette, ils comptent de plus en plus sur ces appareils. Toute erreur qu'ils commettent sur ces appareils, même s'ils sont gérés par le service informatique, présente des risques qui peuvent à terme compromettre l'infrastructure.
Il n'y a pas d'approche unique pour prévenir le BEC et le phishing dans l'expérience de Lookout, mais un bon point de départ consiste à reconnaître que les attaques de phishing ne se limitent pas aux e-mails. Toute stratégie qui se concentre uniquement sur le courrier électronique néglige les méthodes utilisées pour attaquer les utilisateurs mobiles. Cela nécessite également une approche de plate-forme unifiée qui sécurise tous les terminaux, y compris les appareils mobiles, contre les menaces Web.
Plus sur Lookout.com
À propos de Lookout Les cofondateurs de Lookout, John Hering, Kevin Mahaffey et James Burgess, se sont réunis en 2007 dans le but de protéger les personnes contre les risques de sécurité et de confidentialité posés par un monde de plus en plus connecté. Avant même que les smartphones ne soient dans la poche de tout le monde, ils se sont rendus compte que la mobilité aurait un impact profond sur notre façon de travailler et de vivre.