RSA Conference 2020

Qu'est-ce que l'Email Account Compromise (EAC) ?

Vous avez probablement déjà entendu parler du terme "Business Email Compromise" (BEC). Mais peut-être pas de l'EAC, ou Email Account Compromise, qui est un cousin proche du BEC. En fait, BEC et EAC sont tellement liés que le FBI traque ces escroqueries comme un seul type de crime depuis 2017. Alors, qu'est-ce que l'EAC exactement ?

Qu'est-ce que l'EAC, Email Account Compromise ou piratage de compte mail ?

L'EAC (Email Account Compromise) est une attaque très sophistiquée dans laquelle les attaquants utilisent diverses tactiques, telles que la pulvérisation de mots de passe, le phishing, les logiciels malveillants, pour compromettre les comptes de messagerie des victimes, en accédant à des boîtes aux lettres légitimes. 

L'EAC conduit également à la fraude par email, où l'attaquant utilise l'ingénierie sociale pour tromper ou menacer la cible afin d'effectuer un paiement financier frauduleux. Dans le cas de l'EAC, il y a presque toujours deux victimes : la personne dont le compte de courrier électronique a été compromis et l'autre personne qui tombe sous le charme de la demande frauduleuse provenant du compte de courrier électronique compromis.

Comment fonctionnent l'EAC et le piratage d'email ?

Il existe plusieurs moyens pour les attaquants d'obtenir l'accès à une boîte mail légitime. L'attaque par force brute est l'une des méthodes de craquage de mots de passe les plus populaires, dans laquelle les attaquants utilisent des outils automatisés pour essayer les noms d'utilisateur et les mots de passe encore et encore, jusqu'à ce qu'ils parviennent à entrer. 

Parmi les autres tactiques d'attaque courantes, citons le phishing, qui consiste à envoyer un courrier électronique contenant un lien vers un faux site web conçu pour voler des informations d'identification. Parfois, les attaquants utilisent des logiciels malveillants, comme les enregistreurs de frappe (keyloggers), pour s'introduire dans le compte de la cible. Quelle que soit la tactique utilisée, l'objectif est que l'attaquant devienne vous.

Une fois que les attaquants ont obtenu un accès légitime au compte de messagerie de la cible, ils ont accès à un trésor d'informations - messages, calendrier, réunions clés avec des fournisseurs ou des clients, répertoire d'entreprise et même fichiers dans les partages de fichiers - pour établir le profil de leur victime. Plus important encore, les attaquants conservent l'accès en créant des règles de transfert de courrier électronique ou en modifiant les autorisations du compte, afin de pouvoir surveiller de près la victime et étudier l'entreprise. Ils imitent la victime, élaborent des messages très convaincants et opportuns en utilisant les connaissances acquises pour envoyer des courriers électroniques au moment opportun.

Les cibles des attaques de l'EAC sont vos employés, qu'il s'agisse de courriers électroniques personnels ou d'entreprise, vos partenaires commerciaux et vos clients. Le compromis de compte de messagerie électronique ressemble souvent aux schémas suivants :

Détournement de la supply chain

Scénario I : Votre service comptable a été compromis

L'attaquant compromet le compte de courrier électronique d'un employé de votre service comptable. Une fois à l'intérieur, l'attaquant crée une règle de transfert au sein de la plateforme de messagerie et commence à rassembler des copies de tous les messages. Il utilise ensuite les connaissances qu'il tire du compte compromis, telles que la cadence de facturation et l'interaction avec les clients, pour créer des factures d'apparence identique, en utilisant la terminologie et les logos appropriés, et les envoyer à votre client. 

Lorsque le client paie la facture, l'argent va directement sur le compte bancaire du fraudeur au lieu de celui de votre entreprise. Le client pense qu'il paie votre société, mais en réalité, il paie le fraudeur sans le savoir. Le client pense qu'il paie votre société, mais en réalité, il paie le fraudeur sans le savoir. Par conséquent, votre société perd non seulement l'argent qui vous est dû, mais elle a également un sérieux problème de satisfaction de la clientèle. 
 

Se protéger de l'EAC, ou Email Account Compromise : la fraude par email nouvelle génération

Scénario II : le service comptable de votre fournisseur a été compromis

L'agresseur compromet le compte de messagerie de votre fournisseur. 

Tout comme dans l'exemple ci-dessus, l'attaquant apprend tous les détails et l'interaction entre vous et votre fournisseur. Il crée ensuite des factures d'apparence identique et les envoie à votre entreprise. Mais cette fois, l'attaquant remplace les informations bancaires par le compte bancaire sur lequel il veut que vous transfériez l'argent. 

Par conséquent, votre fournisseur ne reçoit jamais de paiement de votre entreprise et votre entreprise subit une perte financière en raison du paiement erroné au fraudeur. Cela nuit également à votre relation commerciale avec votre fournisseur.

Redirection de la paie des employés

L'agresseur compromet le compte de messagerie d'un employé et envoie un courriel aux RH demandant de mettre à jour le dépôt direct de l'employé victimisé avec le compte bancaire de l'agresseur. Dans certains cas, l'attaquant compromet le compte de messagerie d'un cadre dirigeant et étudie les activités de la victime, comme les fusions et acquisitions. L'agresseur envoie alors un courrier électronique au service comptable en utilisant le compte du cadre compromis, demandant d'effectuer une opération de virement bancaire afin de réaliser une acquisition, mais cette fois-ci, le compte bancaire a été remplacé par l'agresseur.   

BEC et EAC : quelles différences ?

Le point commun entre le BEC et l'EAC est qu'ils ciblent les gens, s'appuient sur l'ingénierie sociale et sont conçus pour solliciter des virements ou des paiements frauduleux, ou pour voler des informations. La plus grande différence entre le Business Email Compromise (BEC) et l'Email Account Compromise (EAC) est que dans le cas du BEC, l'attaquant se fait passer pour vous, alors que dans le cas de l'EAC, l'attaquant EST vous. 

Dans le cas du BEC, les attaquants utilisent souvent des tactiques d'usurpation d'identité comme l'usurpation de domaine, l'usurpation de nom d'affichage et les domaines ressemblants, pour inciter les gens à effectuer des paiements sur des comptes frauduleux. Quant au CCE, les attaquants trouvent différents moyens de compromettre votre compte de courrier électronique afin de pouvoir "être vous". 

Lorsqu'ils utilisent votre courrier électronique légitime pour commettre des fraudes en interne ou avec vos partenaires commerciaux ou clients, ils contournent les contrôles d'authentification du courrier électronique comme SPF, DKIM et DMARC.

Comment se protéger contre la fraude par email, le BEC et l'EAC ?

L'EAC et le BEC étant si étroitement liés, il est essentiel d'adopter une approche globale pour protéger votre organisation. En d'autres termes, si vous ne résolvez que pour l'EAC, vous ne vous attaquez qu'à une partie du problème. Pour une protection efficace, vous devez résoudre à la fois pour le CEB et le CCE.

Compte tenu de la complexité des multiples tactiques et canaux de ces attaques, vous avez besoin d'une solution globale qui s'attaque à toutes les tactiques des attaquants. Le fait de ne s'appuyer que sur un seul contrôle technique ou une seule formation de sensibilisation à la sécurité laisse votre organisation exposée. Pour en savoir plus sur la manière de protéger votre organisation contre les attaques BEC et EAC, cliquez ici. Ou consultez le webinaire "Comment résoudre le problème de 26 milliards de dollars que représente le compromis sur les comptes et les courriers électroniques d'entreprise".