Ce que vous apprendrez dans cet article
- La compromission des adresses e-mail des fournisseurs vise les relations avec les fournisseurs de confiance, les processus de paiement et les modes de communication avec ces derniers.
- Les pirates peuvent utiliser un compte de fournisseur compromis, un domaine usurpé, un domaine similaire ou un fil de discussion par e-mail actif pour faire passer des demandes frauduleuses pour des demandes légitimes.
- Ces attaques sont difficiles à détecter, car elles ne comportent souvent ni malware, ni pièce jointe suspecte, ni lien malveillant évident.
- Pour réduire les risques, il est nécessaire de mettre en place une sécurité des e-mails à plusieurs niveaux, une vérification des fournisseurs, une sensibilisation des utilisateurs, la prise en compte du contexte comportemental et la gestion des risques liés aux prestataires tiers.
- Mimecast peut aider les entreprises à renforcer leur protection contre l'usurpation d'identité, la prise de contrôlede compte et les menaces par e-mail ciblant les personnes.
Les relations avec les fournisseurs reposent sur la confiance. Les services financiers attendent les factures. Les équipes chargées des achats attendent des mises à jour concernant les contrats. Les divisions s'attendent à ce que les messages des fournisseurs leur parviennent dans les délais prévus. Les attaques visant à compromettre les comptes de messagerie des fournisseurs exploitent ce rythme habituel.
Au lieu de s'attaquer directement à une entreprise, les cybercriminels exploitent les communications avec des fournisseurs de confiance pour détourner des paiements, voler des données ou manipuler les processus des fournisseurs. Pour les organisations dont les chaînes d'approvisionnement sont complexes, cela transforme les e-mails quotidiens en un risque commercial majeur.
Qu'est-ce que la compromission des e-mails des fournisseurs ?
La compromission de la messagerie d'un fournisseur est une attaque ciblée visant la messagerie d'un tiers, dans laquelle des cybercriminels usurpent l'identité d'un fournisseur ou compromettent son compte de messagerie afin de tromper ses clients ou ses partenaires commerciaux. L'objectif est généralement la fraude financière, le vol de données ou l'accès non autorisé à des informations commerciales sensibles.
Les attaques par usurpation d'adresse e-mail de fournisseurs s'appuient sur de véritables relations commerciales. Les pirates peuvent se renseigner sur les coordonnées des fournisseurs, les délais de facturation, les cycles de facturation, les dates de renouvellement et les habitudes de communication habituelles avant d'envoyer des e-mails frauduleux. Cela rend les demandes de mise à jour des informations de paiement, de vérification des instructions de paiement ou de traitement d'une facture frauduleuse plus familières.
Compromission des adresses e-mail des fournisseurs vs BEC
La compromission des e-mails des fournisseurs est liée à business email compromise, mais son champ d'application est plus restreint. Une attaque de type BEC à plus grande échelle peut cibler les dirigeants, les services chargés de la paie, les déclarations fiscales, les cartes-cadeaux ou les autorisations de paiement internes. La compromission des e-mails des fournisseurs porte principalement sur l'identité des fournisseurs, la communication entre fournisseurs et clients, ainsi que la compromission de la chaîne d'approvisionnement financière.
Comment fonctionne l'usurpation d'identité par e-mail chez les fournisseurs ?
La compromission des comptes de messagerie des fournisseurs suit généralement un scénario d'attaque en plusieurs étapes. La méthode exacte peut varier, mais l'objectif reste le même : transformer l'accès accordé à un fournisseur de confiance en fraude. Les pirates passent souvent du temps à étudier les relations avec les fournisseurs et les processus de paiement avant d'envoyer une demande qui semble banale.
Étude des fournisseurs
Un pirate pratiquant l'attaque de type VEC commence par se renseigner sur les coordonnées publiques du fournisseur, ses domaines, ses dirigeants, ses clients et ses relations commerciales. Ils peuvent examiner des sites web, des communiqués de presse, des offres d'emploi, des profils sur les réseaux sociaux, des portails d'appels d'offres et des données ayant fait l'objet d'une fuite. Plus ils comprennent le mode de fonctionnement du fournisseur, plus il devient facile de créer des e-mails convaincants simulant une compromission de la messagerie de ce dernier.
Identification des cibles
Ensuite, les pirates identifient les personnes les plus susceptibles de traiter les demandes des fournisseurs. Il s'agit souvent de responsables des finances, des achats, des comptes fournisseurs, de la gestion des fournisseurs et des opérations. Un collaborateur qui gère régulièrement des factures, des bons de commande, des informations de paiement ou la mise en place de nouveaux fournisseurs peut devenir une cible de choix.
Étude sur les cycles de facturation
Les pirates peuvent analyser les délais de facturation, les renouvellements, les calendriers de paiement et les habitudes de communication habituelles des fournisseurs. Cela leur permet d'envoyer un e-mail suspect à un moment où la demande semble tout à fait normale. Une facture frauduleuse envoyée vers la fin d'une période de facturation peut sembler tout à fait normale. Les fausses factures liées à une véritable relation commerciale peuvent être encore plus difficiles à remettre en cause.
Cartographie des processus
Avant d'envoyer l'e-mail malveillant, les pirates peuvent définir les étapes de validation et les procédures d'escalade. Ils souhaitent savoir qui est habilité à approuver les modifications de paiement, qui peut débloquer des fonds et quels sont les documents requis. Dans les stratagèmes plus sophistiqués, les auteurs d'escroqueries de type BEC recherchent également des failles dans les procédures de modification des paiements ou des étapes de vérification insuffisantes.
Compromission ou usurpation d'identité
L'attaquant procède alors soit à la compromission d'un véritable compte de messagerie, soit en se faisant passer pour le fournisseur. Ils peuvent se faire passer pour le compte d'un fournisseur, usurper le nom de domaine d'un fournisseur, créer un nom de domaine similaire ou pirater un fil de discussion par e-mail en cours. Un compte piraté est particulièrement dangereux, car le message peut provenir d'une boîte mail légitime comportant un historique réel d'e-mails, des signatures et un contexte.
Manipulation des paiements
La dernière étape consiste en la demande frauduleuse. Les pirates peuvent envoyer des coordonnées bancaires mises à jour, des instructions de virement modifiées, des relances de paiement urgentes, de fausses factures ou une facture frauduleuse jointe à un échange de messages existant. Comme la demande semble provenir d'un fournisseur de confiance, l'organisation ciblée risque d'effectuer le paiement avant que quiconque ne se rende compte de la fraude.
Pourquoi est-il difficile de détecter la compromission des comptes de messagerie des fournisseurs ?
La compromission des adresses e-mail des fournisseurs est difficile à détecter, car elle exploite les relations de confiance établies avec l'organisation. Il se peut que les employés connaissent déjà le fournisseur, reconnaissent sa correspondance et s'attendent à recevoir une facture ou une demande de paiement à ce moment-là.
Les messages fiables semblent banals
Lorsqu'un message correspond au bon moment, au bon volume et au bon mode de communication, il peut paraître banal plutôt que suspect. Le risque est encore plus élevé lorsque le message provient d'un compte fournisseur piraté, car une boîte mail légitime peut passer les contrôles de base relatifs à l'expéditeur et comporter de véritables coordonnées, des signatures et des échanges antérieurs.
Les indicateurs traditionnels peuvent présenter certaines limites
De nombreuses attaques par hameçonnage visant des fournisseurs ne contiennent ni malware, ni pièce jointe suspecte, ni lien manifestement malveillant. L'e-mail peut simplement demander au destinataire de mettre à jour ses coordonnées bancaires, de confirmer ses informations de paiement ou de traiter une facture révisée.
La détection doit s'inscrire dans un contexte métier
La détection nécessite souvent une analyse comportementale, la prise en compte du contexte de risque lié aux fournisseurs, la détection des anomalies, l'exploitation des connaissances métier et la validation des processus de paiement. Un message peut paraître suspect non pas en raison d'un élément technique particulier, mais parce que le comportement de l'expéditeur, le type de demande ou la modification du mode de paiement s'écartent des schémas de communication habituels des fournisseurs.
Quels sont les risques pour l'entreprise liés à la compromission des comptes de messagerie des fournisseurs ?
La compromission de la messagerie électronique d'un fournisseur peut avoir des répercussions sur plusieurs paiements. Ces attaques tirant parti de la confiance accordée aux fournisseurs, du calendrier de facturation et des processus de paiement habituels, leur impact peut se répercuter sur les équipes chargées des finances, des achats, des affaires juridiques, de la conformité, de la gestion des fournisseurs et de la sécurité.
- Pertes financières et perturbations dans les paiements — Une escroquerie de type « VEC » réussie peut entraîner des paiements versés à tort à des fournisseurs, des virements bancaires frauduleux, des retards dans la prestation de services ou les expéditions, des litiges liés à des factures impayées, ainsi que des démarches fastidieuses pour récupérer les fonds. Même lorsque les fonds sont récupérés, les équipes peuvent tout de même perdre un temps précieux à enquêter sur le problème de paiement et à le résoudre.
- Conséquences opérationnelles et juridiques — Le service financier pourrait devoir suspendre certains paiements, le service des achats pourrait devoir revalider les dossiers des fournisseurs, et les équipes juridiques ou chargées de la conformité pourraient devoir réexaminer les obligations en matière de déclaration. Cela peut ralentir le déroulement normal des activités pendant que les équipes vérifient ce qui s'est passé et ce qui doit être consigné.
- Exigences en matière d'enquête de sécurité — Les équipes de sécurité peuvent être amenées à déterminer si l'incident a donné lieu à une compromission des e-mails, à une prise de contrôle de compte, à un accès non autorisé ou à une compromission plus large de la chaîne d'approvisionnement. Ils devront peut-être également examiner les messages associés, l'historique des connexions, les domaines des fournisseurs et les utilisateurs concernés.
- Préjudice causé aux fournisseurs et à la chaîne d'approvisionnement — Un fournisseur dont la sécurité a été compromise peut subir une atteinte à sa réputation, perdre la confiance de ses clients, s'exposer à des poursuites judiciaires et faire l'objet de litiges financiers. Les clients peuvent également se demander si le fournisseur a mis en place suffisamment de mesures de contrôle pour protéger les communications futures.
- Risque lié aux tiers à plus grande échelle — La compromission d'un seul compte fournisseur peut exposer plusieurs clients ou partenaires tout au long de la chaîne d'approvisionnement. Cela permet aux pirates d'utiliser une relation de confiance comme point d'entrée pour accéder à de nombreuses organisations interconnectées.
Ces risques montrent pourquoi la compromission des comptes de messagerie des fournisseurs doit être considérée à la fois comme un problème de sécurité des e-mails et comme un risque lié à la chaîne d'approvisionnement. Les organisations ont besoin de dispositifs de contrôle qui protègent les communications avec leurs fournisseurs de confiance avant qu'une demande courante ne se transforme en incident financier ou opérationnel.
Comment les organisations peuvent-elles prévenir la compromission des adresses e-mail de leurs fournisseurs ?
Pour prévenir la compromission des adresses e-mail des fournisseurs, il est nécessaire de mettre en place des contrôles à plusieurs niveaux portant à la fois sur la sécurité des e-mails, la vérification des fournisseurs, les processus de paiement et la sensibilisation des employés. L'objectif est de rendre les demandes frauduleuses moins crédibles et plus faciles à examiner.
Apprenez à connaître votre fournisseur
Sachez quels sont les fournisseurs à haut risque, ce qu'ils peuvent demander et comment ils communiquent habituellement. Tenez à jour des registres précis sur les fournisseurs, les moyens de paiement approuvés et les interlocuteurs vérifiés, afin de repérer plus facilement les demandes inhabituelles.
Sachez quand vos fournisseurs sont compromis
Soyez vigilant face à des changements soudains de coordonnées bancaires, à une urgence inhabituelle, à de nouvelles adresses de réponse, à des pièces jointes inattendues ou à des messages qui contournent les procédures habituelles. Vérifiez les demandes suspectes émanant de fournisseurs par le biais d'un canal connu avant tout transfert d'argent ou de données.
Mettez en œuvre des stratégies de protection à plusieurs niveaux
Associez la sécurité des e-mails, l'authentification, les contrôles des processus et la sensibilisation du personnel. Les contrôles techniques permettent de détecter les domaines usurpés, l'usurpation d'identité, les liens malveillants et les pièces jointes suspectes, tandis que les contrôles relatifs aux paiements réduisent le risque de fraude par virement bancaire.
Améliorez votre processus d'enquête
Facilitez la signalisation des e-mails suspects provenant de fournisseurs par les employés et permettez aux équipes de sécurité de les examiner rapidement. Des procédures d'escalade claires permettent aux services financiers et aux services des achats de vérifier les demandes, de suspendre les paiements et de mettre fin à la fraude avant que les dégâts ne s'aggravent.
Comment Mimecast peut-il contribuer à réduire le risque de compromission des e-mails liés aux fournisseurs ?
Mimecast peut contribuer à réduire le risque de compromission des messageries des fournisseurs dans le cadre d'une stratégie de défense multicouche contre l'usurpation d'identité, la prise de contrôle de compte et les menaces par e-mail ciblant les utilisateurs. Étant donné que le VEC abuse souvent des communications avec les fournisseurs de confiance, les mesures de protection doivent tenir compte à la fois des signaux techniques et des décisions prises par les employés.
- Protection avancée contre les menaces par e-mail — Permet de détecter les tentatives d'usurpation d'identité, les liens suspects, les pièces jointes malveillantes, les domaines usurpés et les menaces ciblées dans l'ensemble des communications des fournisseurs. Cela offre aux équipes une protection renforcée lorsque les messages frauduleux ne ressemblent pas aux attaques classiques de Phishing .
- Confiance envers les fournisseurs et contexte des messages — Apporte des informations contextuelles sur les messages à risque grâce à l'analyse sectorielle, à la protection des URL, à l'analyse des pièces jointes et à la détection des comportements suspects des expéditeurs. Cela permet aux équipes de sécurité de déterminer si la demande d'un fournisseur correspond aux schémas de communication habituels.
- Risques liés aux personnes et contexte comportemental — Accompagne les collaborateurs occupant des postes à haut risque, tels que ceux des services financiers, des achats et de la comptabilité fournisseurs, en les sensibilisant aux risques, en détectant les signaux comportementaux et en leur offrant une protection ciblée. Cela permet de réduire le risque qu'un salarié donne suite à une demande frauduleuse d'un fournisseur sous la pression.
- Une défense à plusieurs niveaux contre le VEC — Elle s'inscrit dans le cadre d'une approche globale comprenant la sensibilisation des utilisateurs, les processus de vérification, la gestion des risques liés aux tiers et les contrôles des paiements, afin de réduire les chances de réussite des fraudes. Cela permet aux organisations de disposer de plusieurs étapes de contrôle avant que les informations de paiement, les détails de la facture ou les fonds ne soient modifiés.
Ensemble, ces fonctionnalités permettent de détecter, de vérifier et de bloquer plus facilement les demandes frauduleuses des fournisseurs avant qu'elles n'entraînent des pertes financières.
Préserver la confiance des fournisseurs face aux attaques par e-mail visant les fournisseurs
La compromission des comptes de messagerie des fournisseurs ne se limite pas à une simple menace par e-mail. Il s'agit d'un risque lié à la chaîne d'approvisionnement qui repose sur la confiance, le respect des délais et une communication commerciale normale. Les pirates étudient les relations avec les fournisseurs, les cycles de facturation et les processus de paiement afin que leurs demandes semblent tout à fait courantes lorsqu'elles parviennent à l'employé chargé d'y donner suite.
La meilleure défense est une défense à plusieurs niveaux. Les entreprises doivent bien connaître leurs fournisseurs, détecter les signes d'une éventuelle compromission, vérifier les modifications apportées aux modalités de paiement, former leurs collaborateurs à reconnaître les e-mails de type VEC réalistes et recourir à des solutions avancées de sécurité des e-mails afin d'identifier les menaces que les indicateurs traditionnels pourraient ne pas détecter. La confiance envers les fournisseurs est précieuse, mais elle ne devrait pas reposer uniquement sur les e-mails.
Découvrez comment Mimecast renforce la protection contre l'usurpation d'identité, la prise de contrôle de compte, la compromission et les menaces par e-mail ciblant les personnes au sein de votre organisation.