Cybercriminalité

La numérisation croissante de l'industrie joue un rôle essentiel dans la croissance des entreprises. Mais elle génère également plusieurs risques.

La cybercriminalité cible les victimes allant de particuliers aux grandes entreprises, à travers diverses formes d'hameçonnage et d'installation illicite de maliciel. Les résultats sont des pertes de revenus, préjudice de réputation, des pertes financières et des données rançonnées.

Alors que la majorité des malfaiteurs disposent des capacités techniques assez basiques, les attaques sont de plus en plus activées par des outils sophistiqués disponibles sur le marché criminel en ligne. La cybercriminalité évolue et grandit rapidement, surtout avec certains groupes criminels industrialisant même leurs activités.

Imprimez notre petit guide pour les PME, Téléchargez nos cinq meilleures règles pour réduire vos risques

Pour plus de détails, consultez les pages ci-dessous.

L’hameçonnage

Étant l’une des cyber-attaques les plus courantes, l’hameçonnage fonctionne par le biais de courriers électroniques qui sont souvent convaincants et semblent provenir d'expéditeurs légitimes. Ces messages incitent leurs cibles à cliquer sur des liens ou des pièces jointes qui, à leur tour, facilitent le vol ou la fraude.

Qu'est-ce que l’hameçonnage?

L'hameçonnage utilise les courriers électroniques frauduleux pour convaincre les utilisateurs de cliquer sur une pièce jointe ou un maliciel. Ceux-ci peuvent infecter l'ordinateur de la victime avec un logiciel malveillant qui recueille des informations privées, permettant aux fraudeurs de voler de l'argent, de perturber les opérations commerciales ou de détruire des données.

Les fichiers joints d’hameçonnage contournent souvent les programmes antivirus et de sécurité en utilisant des macros de Microsoft Office qui téléchargent des maliciels s’ils sont activés. Les liens peuvent donner accès à des sites Web apparemment légitimes, qui profitent des vulnérabilités de l'ordinateur de la victime pour installer un code malveillant. Parallèlement, ces pages Web peuvent simplement tromper l'utilisateur à faire entrer des informations personnelles.

Les pirates experts visent des courriers électroniques d’harponnage "  convaincants visant des groupes soigneusement sélectionnés, en recherchant des destinataires à travers les médias sociaux, les informations sur le site Web ou les données publiques sur leur organisation.

D'un autre côté, l’hameçonnage à haut volume cible autant de destinataires que possible - dont seulement un petit pourcentage doit être saisi pour être considéré comme un succès. Des fausses factures, des notifications de livraison, des reçus et mises à jour bancaires peuvent tous être utilisés comme des appâts dans ces tentatives.

 

Les risques au niveau des entreprises

  • Vol de données (ou cryptage pour rançon)
  • Dégâts matériels
  • Réorientation frauduleuse de service bancaire sur Internet
  • Perte financière

Comment protéger mon entreprise contre l’hameçonnage ?

  • Installez et mettez à jour un logiciel antivirus fiable et tenez les systèmes à jour avec les nouvelles versions et les correctifs de sécurité.
  • N'ouvrez jamais les pièces jointes, ne cliquez pas sur les liens, et ne téléchargez pas des logiciels provenant de sources inconnues ou de sites Web douteux.
  • Installez des politiques de protection et de formation pour s'assurer que le personnel possède les connaissances nécessaires pour mener ses activités en ligne en toute sécurité.
  • Limitez l'accès aux systèmes et aux informations en fonction des tâches et répartissez les responsabilités financières entre les employés.
  • Limitez l'accès à Internet aux sites Web fiables, et limitez également l'utilisation des dispositifs multimédia externes.
  • Soyez conscient des informations disponibles sur vous et sur votre organisation sur les médias sociaux et sur Internet. Si vous savez ce que sont les informations disponibles en ligne, vous pouvez être plus attentif à son utilisation dans un courrier électronique d'apparence inoffensive.

Plus important encore, apprenez à repérer un e-mail suspect !

Les maliciels

Les maliciels sont codés avec l'intention de nuire à leur cible. Ils peuvent affecter les utilisateurs privés et professionnels en leur volant des informations, en endommageant leurs données, en détournant les visites de sites web et en espionnant leur activité sur Internet. La réorientation frauduleuse des utilisateurs de l’Internet Banking est une forme d'attaque de plus en plus fréquente.

Qu'est-ce c’est qu’un maliciel ?

Les maliciels peuvent se cacher à l'intérieur de logiciels d'apparence inoffensive (chevaux de Troie) ou se propager entre les appareils sans dépendre de l'interaction de l'utilisateur (des vers). Ils peuvent être conçus sur mesure pour échapper aux défenses et exécuter des tâches spécifiques.

Une fois installés involontairement, les maliciels peuvent mener de nombreuses activités invisibles. Ils peuvent espionner sur les visites des sites Web, détruire des données ou assembler les mots de passe. Plus fréquemment, ils sont utilisés par des pirates d’internet pour crypter des informations commerciales importantes jusqu'à ce que l'organisation paie une « rançon ». Les utilisateurs de l’Internet Banking peuvent également être réorientés vers de faux sites qui copient leurs données de connexion pour faciliter le vol financier.

Les maliciels sont souvent transmis par un e-mail d’hameçonnage ou des liens frauduleux. Les applications malveillantes et les clés USB peuvent également compromettre les smartphones et les ordinateurs. Les maliciels peuvent rester dissimulés pendant des mois jusqu'à ce qu'ils soient activés.

Les risques au niveau des entreprises

  • Perte de données
  • Perte financière
  • Dommages matériels
  • Paralysie de l'activité commerciale

Comment défendre mon entreprise contre les maliciels ?

  • Utilisez des processus de réponse, de récupération et de sauvegarde robustes.
  • Activez un logiciel anti-virus à jour sur tous les appareils, et utilisez des systèmes qui utilisent l'analyse de la réputation et du comportement des fichiers dans un système sandbox sécurisé. La détection des anomalies de comportement du réseau (alerte aux commandes des pirates) est une autre option pour la sécurité des systèmes.
  • Gardez vos ordinateurs personnels, serveurs et votre matériel associé à jour, en installant les derniers correctifs de sécurité dès qu'ils sont disponibles.
  • Assurez-vous que votre personnel évite les sites Web douteux et évitent de télécharger des logiciels / applications gratuits, d’exécuter des macros MS Office sur des pièces jointes ou d’utiliser des clés USB de sources non vérifiées.
  • Configurez la liste blanche (whitelisting) des applications (en bloquant tout logiciel qui n’est pas préautorisé).
  • Utilisez différents mots de passe pour différents connexions corporatifs.

La fraude par piratage de la messagerie en entreprise « BEC »

Les cyberattaques contre les PME ont connu une progression sensible au cours des dernières années. Alors que les pirates d’internet inventent constamment de nouvelles façons de voler les informations et les fonds, l'une des menaces émergentes les plus récentes est la « fraude par piratage de la messagerie en entreprise » (BEC, de l’anglais Business Email Compromise). Cette escroquerie est un phénomène mondial, ciblant les entreprises indépendamment de leur taille, de leur industrie, de leur lieu où la façon dont ils font leurs transactions bancaires. Des sommes énormes peuvent disparaître à cause d'un e-mail erroné.

Qu'est-ce que c’est que la fraude par piratage de la messagerie en entreprise « BEC »?

Un fraudeur envoie un e-mail à l'équipe des comptes d'une entreprise, usurpant l'identité d'un entrepreneur, d'un fournisseur, d'un avocat, d'un créditeur ou même d'une personne occupant un poste d’encadrement supérieur. L’e-mail peut sembler provenir du PDG, exigeant qu'un paiement urgent soit effectué, ou d'un fournisseur, demandant que les futurs paiements soient versés dans un nouveau compte. Souvent, il indique au destinataire de ne pas discuter de ce sujet avec quelqu'un d'autre.

Étant donné que l’adresse électronique de l'expéditeur correspond de près à une adresse connue, ce type de fraude passe souvent inaperçu jusqu'à ce qu’il soit trop tard. Les cybercriminels peuvent même pirater un vrai compte de messagerie à partir duquel les communications frauduleuses sont difficiles à identifier.

La fraude par piratage de la messagerie en entreprise « BEC » dans le monde réel

L’échec d’une fraude par piratage de messagerie

Un assistant financier a reçu un e-mail qui semblait provenir de l'un de ses collègues, lui demandant d’effectuer un paiement urgent.

L'assistant était en congé annuel à ce moment-là, mais avait vérifié son courrier électronique et répondu en demandant si cela pouvait attendre jusqu'à son retour au bureau. Il a reçu une confirmation que cela lui convient.

Dès son premier jour de retour, il effectue et autorise le paiement. HSBC, cependant, a identifié la transaction comme étant suspecte et l'a mise en attente. L'assistant a ensuite été contacté par l'équipe des Operations de Fraude de HSBCnet pour vérifier le paiement.

L'assistant a confirmé qu'il avait effectué et autorisé le paiement, mais l'équipe l'a recommandé de le revérifier étant donné la prévalence de ce genre d’escroquerie. Quand il a fait ainsi, en discutant avec le collègue qu'il pensait avoir fait la demande initiale, il a découvert que c'était frauduleux et que l’e-mail de son collègue avait été compromis.
L'assistant a alors informé l'équipe de fraude et le paiement a été annulé. Dans ce cas, il n’y a pas eu de pertes financières.

L'importance de la communication

Un membre de l'équipe des finances a reçu un e-mail urgent du directeur financier de la société pour effectuer un paiement par virement.

Les directives étaient marquées comme étant privées et confidentielles en relation avec un accord et ont indiqué que ce sujet ne devrait pas être discuté avec un autre membre du personnel car cela pourrait compromettre la conclusion de la transaction. Le personnel financier a donc effectué et autorisé la transaction.

Plus tard ce jour-là, le personnel financier a rencontré le directeur financier et l’a notifié qu'il avait effectué le paiement selon les instructions. Le directeur financier avait l’air perplexe et demanda, « Quel paiement ? »

Si le personnel financier avait simplement appelé ou consulté le directeur financier pour vérifier la transaction avant d'appuyer sur le bouton « ENVOYER », ils auraient découvert qu'il ne s'agissait pas d'une demande légitime et que l’e-mail du directeur financier avait été compromis.

Les risques au niveau des entreprises

  • Perte financière considérables
  • Préjudice de réputation

Comment défendre mon entreprise contre la fraude par piratage de la messagerie en entreprise « BEC »?

  • Assurez-vous que votre personnel est attentif à ce type de fraude. Notamment, ils devraient :
    • Se méfier des demandes exigeant une discrétion totale ou des pressions pour agir rapidement ;
    • Ne jamais publier en ligne des informations sensibles, telles que des descriptions de postes, des tâches ou des organigrammes;
    • Se méfier des changements soudains relatifs aux pratiques commerciales au sein de l'organisation ou avec les fournisseurs, et vérifier ces changements par d’autres moyens ;
    • Examiner attentivement les demandes de paiement lorsqu'elles sont hors du commun, imprévues ou inhabituelles.
  • Adoptez un processus de vérification des paiements en deux étapes ne comprenant pas une vérification par e-mail (par exemple, par téléphone / SMS) auprès du demandeur.
  • Utilisez toujours les coordonnées connues pour poursuivre une demande reçue par e-mail, mais évitez de faire le suivant :
    • Répondre directement à l’e-mail initial ; ou
    • Utiliser les numéros de téléphone ou autres informations de contact inclus dans l’e-mail.
  • Vérifiez les adresses électroniques.
  • En cas de doute, n’effectuez pas le paiement.

Fraude par SMS ou par téléphone

Les SMS et les appels téléphoniques peuvent être utilisés avec malveillance pour faciliter le vol et la fraude. Le « Vishing » ou hameçonnage vocal tente d'alarmer les destinataires en effectuant des paiements ou en fournissant des informations financières importantes. Le « Smishing » ou hameçonnage par SMS peut en outre tenter d'inciter leur cible à cliquer sur des liens malveillants, activant ainsi des virus de chevaux de Troie (Trojan) qui peuvent voler des mots-de-passe et d'autres données de grande valeur.

Comment fonctionnent les fraudes par téléphone et par SMS ?

Les appels téléphoniques d'hameçonnage vocal (« Vishing ») et l’hameçonnage par SMS (« Smishing ») sont des attaques courantes, conçues pour tromper les cibles en divulguant des informations personnelles qui peuvent être utilisées pour le vol ou la fraude. Le Vishing et le Smishing sont peu coûteux et nécessitent peu de connaissances techniques.

De nombreuses campagnes de Vishing sont étendues, utilisant un system d’appel automatique et à haut débit pour contacter des milliers de victimes potentielles par heure. Ils essaient de susciter des réactions fondées sur la peur : par exemple, un faux service bancaire de rappel qui prétend prévenir la victime de la fraude du compte bancaire, puis demande des renseignements détaillés par conséquent.

Ensuite, en ciblant les organisations, les pirates usurpent souvent l'identité d'un employé supérieur sollicitant une aide urgente. Ils peuvent prétendre d’être pressés afin de prendre contrôle de la conversation.

Le Smishing a ainsi commencé à dépasser le Vishing au niveau de la popularité. Avec de nombreuses victimes encore non habituées à recevoir des messages de spam - et la croissance des textes bancaires - il bénéficie actuellement d'un taux de réussite plus élevé.

Les textes de Smishing demandent généralement une action urgente, exigeant souvent de cliquer sur un lien malveillant qui à son tour permet le vol de données. Les filtres anti-spam empêchent de nombreux e-mails d'hameçonnage d'atteindre les boîtes de réception, mais aucune solution générale n'existe encore pour empêcher les textes d'atteindre leur cible.

Les risques au niveau des entreprises

  • Vol de données (ou cryptage pour rançon)
  • Réorientation frauduleuse de services bancaire sur Internet
  • Vol financier
  • Usurpation d'identité

Comment défendre mon entreprise contre le Vishing et le Smishing ?

  • Sensibilisez le personnel à l'impact potentiel du Vishing/Smishing sur votre entreprise et mettez en place une politique visant à signaler les cas suspects.
  • Formez le personnel à ne jamais partager des informations financières ou corporatives avec des appelants non vérifiés.
  • Apprenez à repérer les appels et les textes suspects, et ne jamais faire le suivant :
    • Être pressé de prendre une décision rapide suite à une demande urgente.
    • Fournir des informations personnelles ou financières par téléphone.
    • Utiliser les numéros fournis par l’appelant ou dans le texte, au lieu des numéros de contact déjà connus.
    • Cliquer sur un lien dans un texte imprévu.
  • Lorsqu'un appel de Vishing est censé provenir d'un membre du personnel, il peut y avoir plusieurs signes révélateurs :
    • L’appelant fait référence à l'organisation par son nom lors d'un appel supposé être interne.
    • L'appel est fait vers l’Algérie à partir d'un pays, pour obtenir des informations sur un autre pays.
    • L’appelant demande au destinataire d'utiliser les systèmes internes pour fournir des informations.

You are leaving the HSBC Bussiness Banking website.

Please be aware that the external site policies will differ from our website terms and conditions and privacy policy. The next site will open in a new browser window or tab.

Vous quittez le site Internet de HSBC CMB.

Vous devez savoir que les politiques des sites externes peuvent différer des conditions d'utilisation de notre site et de notre politique de confidentialité. Le site suivant va s'ouvrir dans une nouvelle fenêtre ou un nouvel onglet de votre navigateur.