Campagne de BEC utilisant de faux fils de discussion par e-mail générés par l'IA
11 août 2025
Par Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast
- Une campagne de fraude à la facture de type BEC à grande échelle cible des organisations internationales issues de nombreux secteurs d'activité, en recourant à des demandes de paiement urgentes pour exploiter des processus métier soumis à des délais stricts.
- Les pirates ont recours à des systèmes d'automatisation sophistiqués, notamment la génération de contenus d'e-mails par IA, la création programmatique de fichiers et la technologie de navigateur « headless » permettant de générer des factures au format PDF avant leur diffusion.
- Cette campagne utilise des techniques de tromperie sophistiquées, combinant de faux fils de discussion par e-mail, des confirmations falsifiées du PDG et la création automatisée de pages HTML visant à conférer une fausse légitimité.
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une campagne de « Business Email Compromise » (BEC) qui utilise de faux fils de discussion automatisés pour commettre des fraudes à la facturation à grande échelle (référencée en interne sous le code MCTO5003). Cette campagne marque une évolution significative des tactiques utilisées dans le cadre des escroqueries de type BEC, en combinant l'ingénierie sociale traditionnelle à une automatisation avancée reposant sur l'intelligence artificielle afin de créer des conversations fictives mais convaincantes entre des cadres dirigeants et des prestataires de services externes. Les cybercriminels créent de fausses chaînes d'e-mails qui semblent correspondre à une correspondance professionnelle légitime, chaque fil de discussion étant soigneusement élaboré pour inclure l'accord du PDG ou d'un cadre supérieur concernant le paiement urgent de factures. Ces campagnes présentent des signes évidents d'automatisation, qu'il s'agisse du contenu des e-mails généré par l'IA ou des pièces jointes au format PDF créées de manière programmatique à l'aide d'une technologie de navigateur « headless » juste avant l'envoi des e-mails
L'analyse technique de la campagne met en évidence plusieurs indicateurs laissant supposer un déploiement automatisé.
L'analyse linguistique et structurelle du corps du courriel a révélé des caractéristiques — telles qu'un langage d'une grande fluidité, un contexte cohérent et l'absence d'erreurs grammaticales courantes — qui indiquent clairement que le contenu a été généré par un grand modèle linguistique (LLM), plutôt que rédigé manuellement.
Le code HTML de l'e-mail contient plusieurs commentaires intégrés qui indiquent ce qui doit figurer dans chaque section de l'e-mail.
<!-- AVIS CONCERNANT LA FACTURE ORIGINALE --> (FAUX)
<!-- CONFIRMATION DU PDG --> (FAUX)
<!-- SUIVI DE LA COLLECTE --> (FAUX)
<!-- SUIVI PAR E-MAIL DU PDG -->
<!-- DERNIER AVIS À LA COMPTABILITÉ --> (PREMIER MESSAGE À L'ÉQUIPE FINANCIÈRE DE TARGET)
De plus, certaines campagnes utilisent des éléments de mise en forme non standard, tels que les balises <wbr />, ainsi que des séparateurs visuels insérés manuellement, ce qui indique une génération systématique plutôt qu'un véritable transfert d'e-mails.
Ces faux échanges d'e-mails suivent généralement un schéma prévisible : une facture initiale émanant d'un prétendu fournisseur, suivie d'une confirmation de la part d'un responsable, puis d'instructions de paiement urgentes. Parmi les objets de courriel courants, on trouve notamment : « "» (Facture relative aux dépenses publicitaires), «" » ( ", n° de commande [chiffres]»), «" » (Dernier rappel concernant votre paiement) et « "» (Dernier rappel concernant votre paiement), ainsi que «" » ( ), tous conçus pour susciter un sentiment d'urgence et donner une impression de légitimité. Ces campagnes se font passer pour des marques et des services connus, parmi lesquels figurent notamment LinkedIn, divers cabinets de conseil et des plateformes publicitaires. Chaque fil de discussion créé est adapté à l'entreprise ciblée, en intégrant les noms réels des employés et des éléments de contexte professionnel afin de renforcer la crédibilité.
Analyse de fichiers
Les pièces jointes au format PDF présentent des métadonnées cohérentes, toutes ayant été créées selon des spécifications techniques identiques : Mozilla/5.0 HeadlessChrome/138.0.0.0 avec Skia/PDF m138 comme générateur. Les horodatages de création des fichiers révèlent que les factures sont générées quelques instants avant l'envoi de l'e-mail ; la taille identique des fichiers d'une campagne à l'autre laisse supposer un traitement automatisé à partir de modèles.
D'après les campagnes similaires que nous avons observées, nous avons constaté deux niveaux de demandes de paiement : d'une part, celles portant sur des prestations de services professionnels généraux, pour lesquelles le montant demandé est généralement plus faible , compris entre 4 850 et 10 000 dollars. Toutefois, dans le cadre des campagnes qui usurpaient l'identité de marques connues, nous avons constaté une augmentation significative du nombre de requêtes ;
LinkedIn : environ 12 000 à 80 000
ZoomInfo : environ 50 000 à 90 000
Chiffre d'affaires prévisionnel : environ 50 000
Protection Mimecast
Mimecast a mis en place des fonctionnalités de détection complètes permettant d'identifier et de bloquer les e-mails liés à cette campagne automatisée de BEC. Nous continuons à surveiller l'évolution des tactiques et des techniques utilisées par ces acteurs malveillants afin de garantir que nos clients restent protégés contre cette menace sophistiquée. Consultez la page « Protection avancée BEC » pour en savoir plus sur la manière dont nos capacités avancées en matière d'intelligence artificielle et de traitement du langage naturel contribuent à la détection des menaces en constante évolution.
Objectifs:
Des organisations internationales dans tous les secteurs d'activité
Indicateurs de compromission (IOC)
Objets courants :
- Présentation de la facturation mensuelle effective
- Bilan mensuel des prestations de conseil évolutives
- Facture en souffrance n° INV103068 pour [entreprise]
- Dernier rappel concernant votre paiement relatif à la référence INV n° [numéro]
- Facture relative aux dépenses publicitaires pour la période du [dates]
Domaines d'expéditeurs :
- zuki.com.vc
- adspendplatf.onice.io
- consumercomplaintonline.com
- outboundemailprotecction-onmsn.com
- june1.tw
- active-r.co.jp
- Consultant.com
Modèles de fichiers :
- BS-INV-2025-0631.pdf
- DD-INV-2025-0631.pdf
- TG-INV-2025-0631.pdf
Indicateurs techniques :
- PDF Creator : Mozilla/5.0 (Windows NT 10.0 ; Win64 ; x64) AppleWebKit/537.36 (KHTML, comme Gecko) HeadlessChrome/138.0.0.0 Safari/537.36
- Générateur de PDF : Skia/PDF m138
- Taille des fichiers : 57 ko systématiquement, toutes campagnes confondues
- Commentaires HTML : <!-- SUIVI DE L'E-MAIL DU PDG --> , <!-- COMPTABILITÉ AU PDG -->
Recommandations
Mesures de sécurité relatives aux e-mails
- Mettez en place une protection avancée contre les escroqueries de type BEC afin d'identifier les fils de discussion de faux e-mails et les modèles de mise en forme HTML atypiques
- Mettez en œuvre l'analyse des pièces jointes afin de détecter les fichiers PDF générés par un programme et comportant des signatures de métadonnées suspectes
- Configurez des règles d'analyse du contenu afin de signaler les e-mails contenant des demandes de paiement urgentes et utilisant l'usurpation d'identité d'un dirigeant
Contrôles des processus
- Mettez en place des procédures de vérification multicanal pour tous les paiements de factures, en exigeant une confirmation par téléphone ou en personne pour les demandes urgentes
- Mettez en place une séparation des tâches pour le traitement des paiements, en veillant à ce qu'aucune personne ne puisse autoriser des paiements sur la single base d'instructions transmises par e-mail
- Mettez en place des processus standardisés d'intégration des fournisseurs, comprenant des coordonnées et des informations de paiement vérifiées
Formation de sensibilisation des utilisateurs
- Sensibilisez les équipes financières et comptables aux dernières tactiques de BEC, en particulier à l'utilisation de faux fils de discussion par e-mail impliquant l'usurpation d'identité de cadres dirigeants
- Organisez régulièrement des simulations de Phishing visant spécifiquement à tester la capacité à reconnaître des fils de conversation fictifs et des scénarios de paiement urgents
- Formez vos collaborateurs à repérer les indices techniques suspects, tels que les adresses de réponse inhabituelles et les incohérences au niveau du domaine de l'expéditeur.
Recherche proactive des menaces :
- Recherchez dans les journaux des e-mails reçus les indicateurs de compromission (IOC) mentionnés dans cette notification
- Surveillez les augmentations soudaines du nombre d'e-mails liés à des factures provenant de domaines nouveaux ou non vérifiés