« L’escroquerie au président » est une variante très spéciale de phishing qui cible les grands groupes et les PME, et plus spécifiquement leurs départements financiers. Ces arnaques sont en augmentation ces derniers mois au Luxembourg.
Un rapport récent du Service Régional de la Police Judiciaire démontre que plus de 200 millions d’euros ont été dérobés de la sorte depuis 2010, en utilisant une technique bien rodée et très efficace.
Le procédé utilisé pour réaliser ce type de fraude, affectant principalement mais ne se limitant pas aux grandes entreprises, est techniquement très simple. Il nécessite simplement des talents d’acteur afin de convaincre de son identité la victime ciblée, des recherches approfondies ainsi qu’une bonne préparation afin de générer des documents paraissant légitimes.
Ce type de voleur est spécialisé dans l’ingénierie sociale. Il passe au crible tout l’environnement de la société visée dans le but de percer son intimité. Cela passe par les statuts officiels, la communication interne, les comptes bancaires, l’organigramme, les procès-verbaux d’assemblée générale ou les comptes rendus des comités d’entreprises ainsi que les coordonnées de tous les employés. Ceci lui permet de se familiariser avec le vocabulaire et le langage utilisés en interne et facilite sa compréhension de la philosophie et de la stratégie générale de l’entreprise.
« Ce qui se passe après ces recherches découle d’une méthode bien définie que l’attaquant suit à la lettre. Il envoie habituellement des documents ‘légitimes’ à l’un des employés du service de la comptabilité ou de la trésorerie en se faisant passer pour le Président ou Directeur Général de l’entreprise. Le faux ‘Président’ convainc alors l’employé du service de comptabilité de faire un transfert de fonds urgent sur des comptes bancaires asiatiques, anglais, polonais ou chypriotes. Les raisons invoquées varient de ‘vous devez modifier le compte bancaire d’un fournisseur’ à ‘le paiement dû couvrira une opération exceptionnelle pour l’entreprise’ », explique Alexandre Dulaunoy du CIRCL. De plus, les attaquants enregistrent de plus en plus souvent des noms de domaine très proches des entreprises ciblées. «Contrairement aux e-mails falsifiés que nous avions l’habitude de voir dans le passé, cette nouvelle méthode permet à l’attaquant de communiquer avec la cible et même de mettre une certaine pression sociale sur sa victime par e-mail et même par téléphone », conclut Alexandre Dulaunoy.
Afin de prévenir de telles attaques, le CIRCL recommande les actions suivantes :
- Faites régulièrement suivre des formations de sensibilisation à la sécurité à votre personnel et assurez-vous qu’ils connaissent ce genre d’attaques.
- Assurez-vous que le service de comptabilité est bien au courant de toutes les procédures de vérification concernant les virements, en particulier les transferts internationaux. Vérifiez les procédures de signature numérique de ces virements.
- Augmentez le niveau de contrôle lorsque de nouvelles coordonnées bancaires sont enregistrées.
- Vérifiez les adresses e-mail d’origine et les adresses “reply-to”.
- En cas de doute ou d’e-mails suspects, les employés doivent contacter le département de sécurité informatique de leur entreprise ou le CIRCL.
- Transférez ces e-mails (y compris les en-têtes d’e-mail) à votre département de sécurité informatique ou au CIRCL.
Si vous avez été victime d’une telle attaque, le CIRCL recommande les actions suivantes :
- Contactez immédiatement la banque de votre organisation et la banque vers laquelle le virement a été effectué afin de bloquer le virement frauduleux.
- Déposez une plainte auprès de la police locale ou au « service de police judiciaire ».
- Contactez le CIRCL si vous avez besoin d’assistance technique ou de conseils liés aux incidents de sécurité informatique.
« Ayant fait face dans le passé à des incidents similaires, nous savons que le temps nous est compté », explique un ingénieur réseau et sécurité dans une entreprise basée au Luxembourg. « Si l’un de nos employés voit quelque chose d’inhabituel, nous faisons immédiatement l’extraction des indicateurs (en-têtes SMTP ou adresses e-mail). Dans ce cas précis, nous avions vérifié nos logs internes pour voir si le voleur avait essayé d’atteindre d’autres employés au sein de notre organisation.
Contacter le CIRCL nous a aidé à établir une corrélation entre plusieurs indicateurs en provenance d’autres cibles. Le CIRCL nous a soutenu dans le démantèlement du serveur qui supportait l’attaque ».