Escroquerie par e-mail, type de cybercriminalité le plus coûteux

Comptes trompeurs : escroquerie par e-mail, type de cybercriminalité le plus coûteux

Sherry Williams, directrice exécutive de One Treasure Island, pose pour une photo à son bureau le mardi 5 avril 2022 à San Francisco. Les escroqueries par compromission de messagerie professionnelle sont un type de crime où les criminels piratent des comptes de messagerie, prétendent être quelqu’un qu’ils ne sont pas et trompent les victimes en leur faisant envoyer de l’argent à des endroits où elles ne sont pas censées le faire. Dans le cas de Williams, le directeur de l’association à but non lucratif de San Francisco, les voleurs ont piraté le compte de messagerie du comptable de l’association, puis se sont insérés dans un long fil de discussion, ont envoyé des messages demandant de modifier les instructions de paiement par virement pour un bénéficiaire de la subvention et ont emporté 650 000 $. Crédit : AP Photo/Eric Risberg

C’est un crime qui siphonne des milliards de dollars de l’économie, mais beaucoup de gens n’en ont jamais entendu parler.

Les escroqueries de compromis de messagerie professionnelle impliquent des criminels qui piratent des comptes de messagerie, prétendent être quelqu’un qu’ils ne sont pas et trompent les victimes en leur envoyant de l’argent là où il n’appartient pas.

Bien qu’elles attirent beaucoup moins l’attention que les attaques massives de rançongiciels qui ont déclenché une réponse puissante du gouvernement, les escroqueries BEC sont de loin le type de cybercriminalité le plus coûteux aux États-Unis depuis des années, selon le FBI.

Les énormes gains et les faibles risques associés aux escroqueries BEC ont attiré des criminels du monde entier. Certains affichent leurs richesses mal acquises sur les réseaux sociaux, posant sur des photos à côté de Ferrari, de Bentley et de piles d’argent.

Presque toutes les entreprises sont vulnérables aux escroqueries BEC, des entreprises Fortune 500 aux petites villes. Même le département d’État américain a été dupé en envoyant aux escrocs du BEC plus de 200 000 dollars de subventions destinées à aider les agriculteurs tunisiens, selon les archives judiciaires.

“Les escrocs sont extrêmement bien organisés et les forces de l’ordre ne le sont pas”, a déclaré Sherry Williams, directrice d’une organisation à but non lucratif de San Francisco qui a récemment été victime d’une arnaque au BEC.

Les pertes aux États-Unis dues aux escroqueries au BEC en 2021 s’élevaient à près de 2,4 milliards de dollars, selon un nouveau rapport du FBI. C’est une augmentation de 33 % par rapport à 2020 et plus que décuplé par rapport à il y a seulement sept ans.

Et les experts disent que de nombreuses victimes ne se manifestent jamais et que les chiffres du FBI ne montrent qu’une petite fraction de la somme d’argent volée chaque année.

Les escrocs BEC utilisent diverses techniques pour pirater des comptes de messagerie professionnels légitimes et inciter les employés à envoyer des virements ou à effectuer des achats qu’ils ne devraient pas. Les e-mails de phishing ciblés sont un type d’attaque courant, mais les experts affirment que les escrocs ont rapidement adopté de nouvelles technologies, comme le “deep fake” audio généré par l’intelligence artificielle pour se faire passer pour les cadres d’une entreprise et tromper leurs subordonnés pour qu’ils envoient de l’argent.

Dans le cas de Williams, le directeur de l’association à but non lucratif de San Francisco, les voleurs ont piraté le compte de messagerie du comptable de l’association, puis se sont insérés dans un long fil de discussion par e-mail, ont envoyé des messages demandant de modifier les instructions de paiement par virement pour un bénéficiaire de la subvention et ont emporté 650 000 $. .

Après avoir découvert ce qui s’est passé, a déclaré Williams, ses appels aux forces de l’ordre n’ont abouti à rien.

Le FBI lui a dit que le bureau du procureur américain local ne prendrait pas son cas. Elle s’est envolée pour Odessa, au Texas, où se trouvait la banque qui avait initialement reçu l’argent volé. L’argent avait alors disparu depuis longtemps et le détective local était impuissant à aider. Williams a demandé de l’aide à ses sénateurs américains et a appris plus tard que les services secrets enquêtaient, mais elle a déclaré qu’ils ne lui avaient donné aucune mise à jour.

Crane Hassold, un expert des escroqueries au BEC et ancien cyber-analyste du FBI, a entendu parler de procureurs fédéraux refusant de prendre en charge les affaires du BEC à moins que plusieurs millions de dollars ne soient volés, un seuil minimum qui montre à quel point le problème est incontrôlable.

“Il y en a tellement qu’ils ne peuvent pas tous les utiliser”, a déclaré Hassold, maintenant directeur du renseignement sur les menaces chez Abnormal Security.

Le ministère de la Justice a lancé des opérations de plusieurs mois ces dernières années qui ont entraîné des centaines d’arrestations dans le monde.

“Notre message aux criminels impliqués dans ces types de stratagèmes BEC restera clair : la mémoire et la portée du FBI sont longues et étendues, nous vous poursuivrons sans relâche, où que vous soyez”, a déclaré Brian Turner, directeur exécutif adjoint de la branche Criminal, Cyber, Response, and Services Branch du FBI.

Mais les experts en sécurité affirment que la vague d’arrestations a eu peu d’impact, et les propres chiffres du FBI montrent que les escroqueries au BEC continuent de croître à un rythme rapide.

Les escroqueries BEC sophistiquées ciblant les entreprises et d’autres organisations ont commencé à décoller au milieu des années 2010. C’est également à cette époque que les attaques de rançongiciels, dans lesquelles les pirates pénètrent dans les réseaux et chiffrent les données, ont commencé à augmenter en fréquence et en gravité.

Pendant des années, les escroqueries BEC et les attaques de rançongiciels ont été traitées en grande partie comme un problème d’application de la loi. C’est toujours vrai pour les attaques BEC, mais les ransomwares sont désormais un problème majeur de sécurité nationale après une série d’attaques perturbatrices contre des infrastructures critiques comme celle de l’année dernière contre le plus grand pipeline de carburant aux États-Unis qui a entraîné des pénuries de gaz le long de la côte Est.

Les pirates de la National Security Agency ont pris des mesures pour perturber les réseaux des opérateurs de ransomwares. Le ministère de la Justice a mis en place un groupe de travail spécial sur les rançongiciels pour mieux organiser la réponse des forces de l’ordre. Et le président américain Joe Biden a abordé la question directement avec le président russe Vladimir Poutine, où se trouvent de nombreux opérateurs de rançongiciels.

Rien de proche de ces efforts n’a été déployé contre la fraude BEC malgré les énormes pertes financières.

Si les États-Unis devaient lancer une réponse pangouvernementale à la fraude BEC, elle se concentrerait presque certainement fortement sur le Nigéria. Nulle part les fraudeurs du BEC ne sont plus actifs que dans le pays le plus peuplé d’Afrique, où les escrocs ont pu opérer presque sans contrôle pendant des décennies.

Ramon Abbas, un influenceur nigérian bien connu des médias sociaux qui s’appelait Hushpuppi, comptait plus de 2 millions d’abonnés sur Instagram avant d’être arrêté à Dubaï. Les publications d’Abbas sur les réseaux sociaux l’ont montré vivant une vie de luxe total, avec des jets privés, des voitures ultra chères et des vêtements et des montres haut de gamme.

“J’espère qu’un jour j’inspirerai plus de jeunes à me rejoindre sur cette voie”, a lu un post Instagram d’Abbas, qui a plaidé coupable aux États-Unis de blanchiment d’argent international lié au BEC et à d’autres cybercrimes l’année dernière. Sa condamnation est actuellement fixée à juillet.


Un Canadien extradé vers les États-Unis pour faire face à des accusations de ransomware


© 2022 L’Associated Press. Tous les droits sont réservés. Ce matériel ne peut être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: Comptes trompeurs : escroquerie par e-mail, type de cybercrime le plus coûteux (9 avril 2022) récupéré le 9 avril 2022 sur https://techxplore.com/news/2022-04-accounts-email-scam-costliest-cybercrime.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.