Les acteurs de la menace utilisent de plus en plus des tiers pour exécuter leurs escroqueries

Abnormal Security a publié une nouvelle étude qui met en évidence une tendance croissante à la compromission de la chaîne d’approvisionnement financière alors que les acteurs de la menace se font passer pour des fournisseurs plus que jamais auparavant.

En janvier 2022, le nombre d’attaques de compromis de messagerie professionnelle (BEC) se faisant passer pour des tiers externes a dépassé pour la première fois celles se faisant passer pour des employés internes et a continué à dépasser les usurpations d’identité internes traditionnelles chaque mois depuis.

En mai 2022, l’usurpation d’identité externe par un tiers représentait 52 % de toutes les attaques BEC vues par Abnormal, tandis que l’usurpation d’identité interne est tombée à 48 % de toutes les attaques. À peine un an auparavant, l’usurpation d’identité interne représentait 60 % de toutes les attaques, ce qui représente une augmentation de 30 % d’une année sur l’autre de l’usurpation d’identité par des tiers.

La compromission de la chaîne d’approvisionnement financière est un sous-ensemble de la compromission des e-mails professionnels dans laquelle les cybercriminels profitent de relations tierces connues ou inconnues pour lancer des attaques sophistiquées. L’objectif est d’utiliser la légitimité du nom du fournisseur pour inciter un employé peu méfiant à payer une facture frauduleuse, à modifier les détails du compte de facturation ou à fournir des informations sur d’autres clients à cibler. Ces tactiques sont de plus en plus dangereuses, avec une attaque stoppée par Abnormal demandant 2,1 millions de dollars pour une fausse facture.

Alors qu’une attaque par compromission des e-mails d’un fournisseur nécessite que l’auteur de la menace comprenne les relations commerciales et les calendriers des transactions financières, une attaque tierce aveugle exploite simplement les tactiques d’ingénierie sociale traditionnelles pour demander des paiements en utilisant des prétextes tels que des actions en justice imminentes. Alors que les quatre types d’attaques ont connu du succès, celles qui utilisent des comptes compromis légitimes sont extrêmement difficiles à détecter et peuvent être désastreuses pour les entreprises qu’elles ciblent.

“Bien que la compromission de la chaîne d’approvisionnement financière ne soit pas nouvelle, l’augmentation de l’utilisation de tactiques d’usurpation d’identité par des tiers est inquiétante”, déclare Grue Hassold, directeur du renseignement sur les menaces chez Abnormal Security. “Notre équipe de renseignement sur les menaces a découvert des attaques de plus en plus sophistiquées qui sont presque impossibles à détecter pour les systèmes hérités ou les utilisateurs finaux, en particulier parce qu’elles proviennent de comptes de fournisseurs réels, détournent des conversations en cours et font référence à des transactions légitimes.”

Selon le FBI, la compromission des e-mails professionnels a exposé les organisations à 43 milliards de dollars de pertes au cours des six dernières années, et les pertes réelles continuent d’augmenter d’année en année, représentant 35 % de toutes les pertes dues à la cybercriminalité en 2021 seulement. Cette nouvelle tendance n’est qu’un exemple de la sophistication croissante de ces menaces de messagerie modernes et de la façon dont les cybercriminels continuent d’évoluer et d’optimiser leurs stratégies pour réussir. Alors que les employés deviennent plus conscients des attaques BEC traditionnelles qui reposent sur l’usurpation d’identité de la direction, les acteurs de la menace ont commencé avec succès à se faire passer pour d’autres entités, souvent avec plus de succès.

Selon Hassold, “Ce passage aux attaques de la chaîne d’approvisionnement financière est une autre étape importante dans l’évolution des acteurs de la menace, des menaces à faible valeur et à faible impact comme le spam vers des attaques ciblées à forte valeur et à fort impact. Et parce qu’ils réussissent, nous nous attendons à ce que cette usurpation d’identité externe continue d’augmenter en pourcentage de toutes les attaques, dominant finalement le paysage BEC dans un avenir prévisible.

Pourquoi ce changement de comportement des attaquants est-il important ? D’une part, cela signifie que les victimes ultimes des attaques de la chaîne d’approvisionnement financière ne contrôlent pas le compromis initial, ce qui rend plus important que jamais pour les entreprises de maintenir une solide compréhension de leur chaîne d’approvisionnement.