Conseils

Comment empêcher les fraudes par e-mail, les plus coûteuses de toutes

Jeff Elder, 23 mai 2019

Un clic pourrait-il vous coûter 200 000 euros ? C’est ce qui est arrivé à l’acheteur d’une maison, qui n’a pas vu la « faute de frappe » dans une adresse e-mail frauduleuse.

Appelons ce cas Le clic à 200 000 euros.

Un cybercriminel a créé une adresse e-mail similaire à celle d’une société immobilière par une subtile « faute de frappe » bien évidemment intentionnelle. L’escroc envoie ensuite des e-mails depuis cette adresse similaire, comme celle-ci : exemple@ABCtItre.com au lieu de exemple@ABCtitre.com. (Vous remarquez la petite différence dans le mot titre ?) Habitué à recevoir des messages de l’entreprise, l’acheteur a suivi les instructions reçues, et envoyé le règlement du prix d’une maison... au criminel.

« Les fonds ont vite été acheminés hors du pays, avant que la victime ne s’en rende compte et qu’elle ait pu nous en informer, » raconte l’agent spécial du FBI, Kelsey Harris. « La perte lors de cet incident avoisinait les 200 000 euros. »

Auriez-vous remarqué cette erreur de frappe ? Beaucoup de gens ne la voient pas. En 2018, le FBI a reçu 20 373 plaintes pour escroqueries par e-mail, avec des pertes de plus de 1,2 milliard de dollars, ce qui en fait le cybercrime le plus couteux qui soit. Comme dans ce cas, l’escroquerie a souvent lieu lorsque le malfaiteur falsifie de vrais comptes de messagerie professionnels, puis envoie des e-mails à des clients ou des entreprises pour leur dérober de l’argent ou des données. Les adresses e-mail professionnelles falsifiées sont utilisées pour commettre des vols, parfois à une très grande échelle.

D’après la police indienne citée dans le Times of India, un gang de malfaiteurs chinois a récemment volé 18 millions d'euros à une entreprise italienne, en persuadant des dirigeants locaux en Inde que l’argent était nécessaire pour une acquisition. Dans un autre cas, un groupe d’escrocs en ligne a créé une liste de 50 000 cadres supérieurs à cibler dans leurs futures opérations, selon ZDNet.

L’agent spécial Kelsey Harris a confirmé que les escroqueries par e-mail ont été le cybercrime le plus coûteux de ces dernières années parmi ceux déclarés au Internet Crime Complaint Center du FBI. Dans les cas cités, la plupart des malfaiteurs se trouvent en dehors des États-Unis, affirmait-elle. « Les malfaiteurs emploient des « money mules », des internautes qui pensent travailler à domicile, pour créer un compte bancaire et y transférer l’argent frauduleux. Ces internautes envoient ensuite l’argent aux malfaiteurs. »

Ce que les consommateurs peuvent faire

Dans un cas comme l’erreur de frappe, le FBI encourage les consommateurs à regarder attentivement l’adresse et tous les éléments d’un e-mail suspicieux. « Ne vous fiez pas juste au titre d’un e-mail pour lui faire confiance, » conseille Kelsey Harris. « Observez bien l’adresse e-mail. » Même un e-mail qui paraît authentique mais qui vous demande de faire un paiement peut être une escroquerie. Il peut être judicieux d’appeler l’entreprise à partir d’une ancienne facture, ou d’un numéro sur son site, pour s’assurer du contenu de l’e-mail. Si vous avez été victime d’une BEC (Business Email Compromise, Falsification d’un e-mail professionnel), vous pouvez également déposer plainte auprès de l’IC3 (le centre qui s’occupe des escroqueries sur internet au FBI).

Ce que les entreprises peuvent faire

Le FBI suggère les approches suivantes aux entreprises :

  • Créez des systèmes de détection d’intrusion, qui repèrent les e-mails dont les adresses ressemblent à celle de l’entreprise. Par exemple, l’adresse authentique abc_entreprise.com servira à repérer des adresses comme abc-entreprise.com.
  • Créez une règle d’e-mail pour repérer les communications dans lesquelles l’adresse de « réponse » est différente de l’adresse affichée de l’expéditeur.
  • Vérifiez les changements dans la destination de paiement en ajoutant une identification à deux facteurs, comme une déconnexion secondaire du personnel de l’entreprise.
  • Confirmez les requêtes de transferts de fonds en utilisant la vérification par téléphone comme faisant partie de l’authentification à deux facteurs, utilisez des numéros antérieurs connus, et non les numéros indiqués dans l’e-mail.
  • Examinez attentivement toutes les requêtes de transferts de fonds pour déterminer si elles sortent de l’ordinaire.

« Les entreprises qui ont le plus investi dans la sécurité informatique s’en sont bien mieux sorties, » a reconnu Kelsey Harris.

Avast Email Security protège votre entreprise en filtrant les e-mails entrants, sortants et internes pour repérer les spam et les virus informatiques, qui sont ensuite retirés, et les messages indexés et chiffrés. Les e-mails envoyés sous forme non chiffrée peuvent être automatiquement chiffrés, redirigés ou bloqués s’ils ne sont pas conformes à la politique de chiffrement de l’entreprise. Pour en savoir plus, cliquez ici.