Le FBI affirme que la compromission des e-mails professionnels est une arnaque de 43 milliards de dollars

FBI IC3

Le Federal Bureau of Investigation (FBI) a déclaré aujourd’hui que le montant d’argent perdu à cause des escroqueries par compromission des e-mails professionnels (BEC) continue d’augmenter chaque année, avec une augmentation de 65 % des pertes mondiales exposées identifiées entre juillet 2019 et décembre 2021.

De juin 2016 à juillet 2019, IC3 a reçu des plaintes de victimes concernant 241 206 incidents nationaux et internationaux, avec une perte totale exposée en dollars de 43 312 749 946 $.

« Sur la base des données financières communiquées à l’IC3 pour 2021, les banques situées en Thaïlande et à Hong Kong étaient les principales destinations internationales des fonds frauduleux », a déclaré le FBI.

« La Chine, qui s’est classée parmi les deux premières destinations les années précédentes, s’est classée troisième en 2021, suivie du Mexique et de Singapour. »

Cela a été révélé dans une nouvelle annonce de service public publiée sur le site Internet Crime Complaint Center (IC3) en tant que mise à jour d’un message d’intérêt public précédent de septembre 2019, lorsque le FBI a déclaré que les pertes dues aux attaques BEC signalées par les victimes entre juin 2016 et juillet 2019 avaient atteint un total de plus de 26 milliards de dollars.

Selon le rapport IC3 2021 sur la criminalité sur Internet [PDF]les escroqueries BEC étaient le type de cybercriminalité avec les pertes totales de victimes signalées les plus élevées l’année dernière.

Les victimes ont signalé des pertes de près de 2,4 milliards de dollars en 2021, sur la base de 19 954 plaintes enregistrées liées à des attaques du BEC visant des particuliers et des entreprises.

Rapport sur la criminalité sur Internet 2021 du FBI Pertes BEC
Pertes BEC déclarées en 2021 (FBI)

Arnaque BEC ?

Les escrocs BEC emploient diverses tactiques – y compris l’ingénierie sociale, le phishing et le piratage – pour compromettre les comptes de messagerie professionnels qui seront utilisés pour rediriger les paiements vers des comptes bancaires contrôlés par les attaquants.

Dans ce type d’escroquerie (également connue sous le nom de EAC ou Email Account Compromise), les escrocs ciblent généralement les petites, moyennes et grandes entreprises. Pourtant, ils attaquent également des individus si le paiement en vaut la peine.

Leur taux de réussite est également très élevé, étant donné qu’ils se font généralement passer pour quelqu’un qui a la confiance de la cible, comme des partenaires commerciaux ou des dirigeants d’entreprise.

Cependant, « l’arnaque n’est pas toujours associée à une demande de transfert de fonds », comme l’a expliqué le FBI dans l’alerte PSA.

« Une variante consiste à compromettre les comptes de messagerie professionnels légitimes et à demander aux employés des informations d’identification personnelle, des formulaires de déclaration de salaire et d’impôt (W-2), ou même des portefeuilles de crypto-monnaie. »

Conseils de défense BEC

Le FBI aussi fourni des conseils sur la façon de se défendre contre les tentatives d’escroquerie BEC :

  • Utilisez des canaux secondaires ou une authentification à deux facteurs pour vérifier les demandes de modification des informations de compte.
  • Assurez-vous que l’URL dans les e-mails est associée à l’entreprise/à la personne dont elle prétend provenir.
  • Soyez attentif aux hyperliens qui peuvent contenir des fautes d’orthographe du nom de domaine réel.
  • S’abstenir de fournir des identifiants de connexion ou des PII de toute sorte par e-mail. Sachez que de nombreux e-mails demandant vos informations personnelles peuvent sembler légitimes.
  • Vérifiez l’adresse e-mail utilisée pour envoyer des e-mails, en particulier lorsque vous utilisez un appareil mobile ou portable, en vous assurant que l’adresse de l’expéditeur semble correspondre à l’expéditeur.
  • Assurez-vous que les paramètres des ordinateurs des employés sont activés pour permettre l’affichage des extensions de messagerie complètes.
  • Surveillez régulièrement vos comptes financiers personnels pour détecter les irrégularités, telles que les dépôts manquants.

L’agence fédérale d’application de la loi conseille aux personnes victimes de fraude BEC de contacter immédiatement leur banque pour demander un rappel de fonds.

Ils sont également invités à déposer une plainte auprès du FBI à BEC.ic3.govquel que soit le montant perdu, et dès que possible.