What is Business Email Compromise (BEC)?

La solution ThreatDown primée ThreatDown bloque les menaces que d'autres laissent passer

Découvrez MDR

Introduction

Le courrier électronique, également appelé e-mail, est l'une des inventions commerciales les plus importantes de la findu XXesiècle. Il permet aux professionnels d'échanger rapidement des messages entre des appareils situés à proximité ou à l'autre bout du monde. Bon nombre de ces messages contiennent des instructions, des commandes, des demandes, des pièces jointes et d'autres types de communication.

Les utilisateurs travaillant dans des environnements très dynamiques font souvent confiance au système de messagerie électronique pour optimiser leur productivité et leur flux de travail. Et les cybercriminels exploitent cette confiance dans le système pour lancer des attaques de type « business email compromise » (BEC) avec une grande efficacité. Les escroqueries et fraudes BEC constituent aujourd'hui une menace croissante, à tel point que le FBI les a qualifiées de « l'un des crimes en ligne les plus préjudiciables sur le plan financier ».

Lisez ce guide détaillé pour en savoir plus sur :

  • What is business email compromise?
  • The main goal of business email compromise.
  • BEC attack examples.
  • How to prevent business email compromise.

Business email compromise definition: What is business email compromise (BEC)

Voici une brève définition du piratage d'e-mails professionnels : le BEC est un type de cybercriminalité etd'attaque d'ingénierie socialedans lequel des fraudeurs utilisent des e-mails pour inciter une cible à envoyer de l'argent ou à partager des données sensibles à des fins de criminalité financière. L'auteur de la menace peut utiliser les e-mails de différentes manières pour mener à bien une escroquerie BEC, depuis uneattaque par usurpation d'identitéjusqu'au piratage réel d'un compte de messagerie (EAC).

How to prevent business email compromise

Secure email

Use your email’s anti-spam and anti-malware filters to block unsafe emails. Layer your email’s baked-in protection tools with security software to maximize your BEC defense. Consider encrypting sensitive data when sending it via email to prevent eavesdropping. Finally, flag emails where the from and reply email addresses mismatch.

Multifactor authentication (MFA)

MFA can mitigate the risk of a hacker using stolen login credentials to access an email account for a BEC scam. With MFA, a threat actor may need a second form of identification to access an email account. All high-risk employees in your organization, including executives, finance professionals, human resources, and administrators, must activate MFA on company email accounts.

Cybersecurity literacy

Your organization can significantly improve its cybersecurity posture through training. Here are some practices employees should try to follow:

  • Never click unsolicited email links, as they may lead users to malicious websites or malware.
  • Avoid sharing confidential information online, such as details of a business transaction or travel plans. Threat actors can use sensitive information to create more compelling spear phishing attacks.
  • Think twice before downloading unknown software.

Business email compromise exercises

Work with your security team to conduct social engineering attack simulations. These exercises will keep your staff sharp and help identify weak links in the fight against business email compromise scams. Please also regularly update your policies and training to maintain your hardened cybersecurity posture.

Secure payments

Always use secure payment mediums. Avoid sending payments via gift cards or cryptocurrency deposits. When sending a bank transfer, crosscheck the banking information with your records.

Email authentication

Learning to recognize phishing emails is essential to reducing the risk of BEC scams. Here are some tips that can help employees authenticate emails:

  • Watch out for unusual terminology, strange greetings, or grammatical and spelling errors.
  • Avoid opening unsolicited attachments.
  • Be wary of requests for passwords or other sensitive data.
  • Always check the email address to ensure it matches the sender’s actual email.
  • Carefully scrutinize email requests for fund transfers.
  • Watch out for invoices with short payment notices.
  • Double-check unusual payment requests, even if they’re from entities you trust.
  • Investigate payment requests that require you to skip authorization checks.
  • Trust your instincts if you notice something unusual about a payment request. Take a deep breath and investigate first.

Sécurité des terminaux

Use anti-malware software on all devices for safety against spyware. We recommend that companies roll out endpoint protection software to shield desktops, laptops, and smartphones from malicious programs that can assist scammers with BEC.

Server security

Les menaces qui pèsent sur vos serveurs peuvent être encore plus graves que celles qui pèsent sur vos terminaux. Après avoir piraté vos terminaux, les cybercriminels peuvent accéder à des données critiques telles que des informations financières, des propriétés intellectuelles, etc. afin de créer des escroqueries BEC presque identiques aux e-mails authentiques. Investissez dès aujourd'hui dansla sécurité de vos serveursafin d'éviter toute perte de temps, d'argent, de productivité et de réputation pour votre entreprise.

Supply chain management

Create security protocols to verify payment requests, emails, and inquiries from your suppliers and vendors. Authenticate any unusual requests, such as changes in contact or payment information.

How does business email compromise (BEC) work?

A typical business email compromise attack typically involves multiple phases:


de collecte de renseignementsLes attaquants recherchent leur cible, qu'il s'agisse d'un individu, comme le directeur financier d'une entreprise ou un agent de voyage dans une petite entreprise, ou d'une équipe, comme le service des ressources humaines ou le service comptable d'une organisation. Ils peuvent également recueillir des renseignements sur les fournisseurs, les partenaires commerciaux, les clients, les employés, les systèmes de messagerie électronique et les mesures de cybersécurité de l'organisation ciblée.

Les outils utilisés par les acteurs malveillants pour recueillir des renseignements comprennent les moteurs de recherche et les pages de réseaux sociaux comme LinkedIn. L'objectif de la collecte de renseignements est d'élaborer un profil précis pour mener une attaque d'ingénierie sociale convaincante et d'identifier les cibles les plus vulnérables.


de planificationAprès avoir recueilli des informations, les attaquants déterminent les méthodes et les outils les plus efficaces pour obtenir le meilleur retour sur investissement possible dans le cadre d'une attaque BEC. Ils peuvent par exemple utiliser un compte de messagerie falsifié, un site web falsifié, un compte de messagerie piraté, des attaques de phishing ou un ordinateur ou un appareilinfecté par un logiciel malveillant.


de grooming En fonction de la nature de l'attaque, les auteurs de menaces peuvent utiliser différentes tactiques d'ingénierie sociale pour manipuler leurs cibles et, à terme, user de leur pouvoir de persuasion pour les inciter à prendre de mauvaises décisions. Ils peuvent également tenter de reproduire des processus courants, par exemple en demandant un mot de passe ou en envoyant un document important.

Le grooming peut avoir l'un des objectifs suivants :

  • More intelligence gathering.
  • Dropping malware like Trojans or spyware.
  • Hacking an email account.
  • Preparing a target for the penultimate business email compromise attack phase.


d'exécutionBien que la nature de la phase d'exécution dépende du type d'attaque, elle implique presque toujours une usurpation d'identité par e-mail.
Voici quelques scénarios de BEC :

  • Finance employees in an organization receive an email from a company executive requesting a payment transfer. The email is from a spoofed email account that appears real because the address is only slightly varied from the actual address.
  • The hackers send an email from a CEO’s hacked account to a business partner asking for a wire transfer for a business transaction.
  • Defendants in an ongoing case receive an urgent email from their attorney asking for a deposit to a bank account.
  • After gaining access to an A/R manager’s email account with malware, the scammers send invoices with their own bank account numbers to all the company’s customers.
  • An email from a hacked retailer’s account asks customers for sensitive information such as credit card numbers.


à but lucratifQue les pirates utilisent des e-mails usurpés, des e-mails frauduleux ou des logiciels malveillants dans le cadre d'une escroquerie par compromission des e-mails professionnels, leur objectif est toujours lucratif. L'argent est souvent transféré vers des destinations offshore où il est difficile à retracer.

BEC vs EAC

LeFBIet plusieurs autres experts décrivent le compromis des e-mails professionnels (BEC) et le compromis des comptes de messagerie (EAC) comme étant la même chose. Cependant, certains experts considèrent l'EAC comme une variante proche du BEC. Si vous souhaitez entrer dans les détails, vous pouvez considérer l'EAC comme un sous-ensemble du BEC.

En résumé, le BEC est un terme générique qui désigne tout type de fraude par e-mail utilisé par les attaquants pour inciter les victimes à envoyer de l'argent. Par exemple, les attaquants peuvent utiliser des adresses e-mail usurpées, des sites web usurpés, le spear phishing et des comptes de messagerie piratés pour mener une attaque de type « business email compromise ».

L'EAC est un type de fraude par e-mail dans lequel les attaquants utilisent un compte de messagerie piraté. Les méthodes couramment utilisées pour pirater un compte de messagerie à des fins d'EAC comprennent le phishing, les attaques par force brute et le credential stuffing. Les attaquants peuvent également utiliser des enregistreurs de frappe pour voler les identifiants de connexion de la victime.

BEC vs Phishing


La question de la différence entre une attaque par compromission d'e-mails professionnels et une attaque par hameçonnage peut sembler confuse, mais elle est en réalité assez simple. Une attaque par hameçonnage est un type d'attaque d'ingénierie sociale dans laquelle les pirates utilisent des e-mails compromis à diverses fins, notamment l'usurpation d'identité, le vol de propriété intellectuelle, le trolling, les infections par des logiciels malveillants, la collecte de renseignements et le BEC.

Par exemple, ils peuvent utiliser le spear phishing pour pirater le compte e-mail d'un PDG ou le piéger afin qu'il effectue un virement bancaire vers le compte bancaire d'un fraudeur. Les attaques de spear phishing qui ciblent les PDG dans le cadre d'une escroquerie BEC peuvent également être définies comme du whale phishing.

Consultez notre section « Les bases de la cybersécurité » si vous vous demandez :Qu'est-ce qu'une attaque de whaling

Types of business email compromise

  • Business email account takeover: These attacks usually target professionals such as executives or finance professionals. After hacking the account, the threat actor requests money from the victim’s contacts, such as clients or vendors.
  • Spear phishing: Spear phishing is a more focused version of phishing targeting an individual or small group of people. Unlike typical phishing attacks, spear phishing attacks are more dangerous because they are customized to deceive a specific target.
  • Malware: BEC fraudsters can use different types of malicious software to hijack a finance executive’s account to initiate various scams.
  • Data theft: The act of stealing data is sometimes a stepping stone for a BEC attacker. They can use stolen sensitive data to create more believable BEC scams or hack into email accounts.
  • CEO fraud: In this scam, fraudsters hack or spoof a senior executive’s email account to trick an employee, business partner, or vendor into sending funds, typically via bank transfer. A scammer may also ask for gift cards or demand sensitive information. 
  • Lawyer impersonation: Law firms are the target of such scams. After hacking a lawyer’s email account, the scammer will try to defraud the firm’s clients, usually with fake invoices.
  • False invoice scheme: The clients of law firms aren’t the only businesses victimized by fake invoice scams. Clients of real estate agencies, web designers, and other small to medium-sized businesses can fall prey to these BEC attacks.
  • Vendor email compromise: American and European companies with overseas suppliers are typical targets for this type of BEC attack. Scammers pretend to be suppliers asking for payment. Different time zones and language barriers add to the confusion, convincing companies to pay the urgent-looking fraudulent invoices.
  • Git card scams: Instead of asking for wire transfers, many low-level BEC fraudsters ask for payments via gift cards because such payment mediums are almost impossible to trace. However, gift card BEC scams are usually less financially damaging than wire transfer business email compromise scams.
  • Payment diversion scams: A scammer pretending to be a CEO may ask the finance department to halt an ongoing payment and send it to a different account, as per the “request of the vendor” in this type of fraud.
  • Attaque de type « Man in the Middle » (MitM) : un pirate informatique intercepte le trafic entre deux entités afin de recueillir des informations ou de manipuler les communications. Une attaque MitM peut permettre aux auteurs d'attaques BEC de voler les identifiants de connexion à des comptes de messagerie électronique afin de lancer leur campagne frauduleuse.
  • Credential stuffing: When attackers “stuff” stolen “credentials” in a login system in hopes of gaining unauthorized access to an email account, the technique is called credential stuffing. Organizations that avoid changing passwords periodically are more prone to BEC scams fueled by credential stuffing.

Business email compromise examples

BEC is an emerging crime that can impact an organization of any size or industry. Small and large organizations must take precautionary measures to mitigate the risk of business email compromise. Here are some of the most infamous recent examples of business email compromise incidents:

  • 2013-2015: Technology leaders Facebook and Google lost over $120 million in a BEC scam that leveraged the name of a real hardware vendor.
  • 2015: IT business Ubiquiti lost over $45 million to a BEC scam where threat actors impersonated a vendor.
  • 2019: Renowned automobile company Toyota has been hit by several BEC attacks over the years. In 2019, a European subsidiary of the company lost nearly $40 million to a BEC scam.
  • 2020: Making headlines worldwide, the government of Puerto Rico was tricked by a scammer into sending $2.6 million into a fraudulent account.

Payment business email compromise example


Cher [Votre nom],
J'espère que vous allez bien. Nous avons une demande de paiement urgente qui nécessite votre attention immédiate. Notre société a récemment fourni des services à votre organisation, et nous n'avons pas encore reçu le paiement du solde impayé.
Nous vous prions donc de bien vouloir effectuer le paiement dès que possible afin d'éviter tout retard supplémentaire. Vous trouverez ci-joint la facture pour référence. Les détails du paiement sont les suivants :
Nom de la banque : [Nom de la banque]
Nom du compte : [Nom du compte]
Numéro de compte : [Numéro de compte]
Code Swift : [Code Swift]
Montant dû : [Montant dû]
Nous vous serions reconnaissants de bien vouloir régler ce paiement dans les prochaines 24 heures et de nous fournir les détails de confirmation une fois le paiement effectué. Si vous avez des questions, n'hésitez pas à nous contacter.
Nous vous remercions de votre attention.
Cordialement,
[Nom]
[Titre]
[Nom de l'entreprise]

Legal business email compromise example


Objet : Affaire juridique urgente – Veuillez répondre dès que possible
Cher [Votre nom],
J'espère que vous allez bien. Je m'appelle John Smith et je suis l'avocat représentant la société XYZ dans une affaire juridique impliquant votre entreprise. Notre client nous a demandé de vous contacter directement à ce sujet.
Nous avons été informés d'une affaire urgente qui doit être traitée immédiatement et nous vous demandons de répondre à cet e-mail dès que possible. Nous aimerions également organiser un entretien téléphonique afin de discuter des détails de l'affaire.
Veuillez noter que cette communication est confidentielle et privilégiée et ne doit être divulguée à aucun tiers sans notre consentement écrit explicite.
Nous vous remercions de l'attention que vous porterez à cette affaire.
Cordialement,
John Smith
Avocat

CEO fraud business email compromise example

Objet : Demande urgente – Virement bancaire
Cher [Votre nom],
J'espère que vous passez une bonne journée. Comme vous le savez, nous sommes en train de conclure une importante transaction commerciale qui nous oblige à transférer une somme considérable à nos partenaires étrangers. Malheureusement, le traitement du virement bancaire a pris du retard en raison d'un problème avec notre système bancaire.
Compte tenu de ce retard, je vous demande de transférer de toute urgence la somme de [montant] sur le compte suivant [coordonnées bancaires]. Veuillez vous assurer que le virement soit traité immédiatement, car le temps est un facteur essentiel dans cette affaire.
Je comprends qu'il s'agit d'une demande inhabituelle, mais je vous assure qu'il s'agit d'une mesure nécessaire pour garantir le succès de cette transaction.

Understanding the main goal of business email compromise

L'objectif principal des escroqueries par e-mail professionnel est d'inciter la victime à transférer de l'argent, généralement par virement bancaire. Certains fraudeurs demandent également des cartes-cadeaux, tandis que d'autres tentent de voler des données confidentielles pour pirater des comptes de messagerie.

Bien que l'objectif d'une escroquerie par e-mail professionnel soit presque toujours financier, les attaquants peuvent utiliser une combinaison de différentes méthodes pour atteindre leurs objectifs, telles que des logiciels malveillants, de fausses factures, l'usurpation d'identité et le spear phishing. Les cibles ultimes de ces attaques sont les personnes ayant la capacité d'envoyer de l'argent, telles que les dirigeants d'entreprise, les responsables financiers et les clients de cabinets d'avocats ou d'agences immobilières. Les fournisseurs sont également la cible de ces escroqueries, en particulier dans le cadre d'une attaque ciblée de la chaîne d'approvisionnement.

Risks of business email compromise (BEC)

  • Financial losses: Organizations can suffer significant financial losses.
  • Reputational damage: Business partners may lose trust in a company that’s deceived by a BEC scam.
  • Operational losses: Paying a scammer instead of the supplier can result in grave short-term and long-term cash flow challenges.
  • Compliance Issues: A data breach where sensitive client information is stolen can result in legal problems.

Ressources à la une

Foire aux questions (FAQ) sur

Why is business email compromise such a problem?

La compromission des e-mails professionnels est un problème, car les e-mails peuvent être vulnérables à différents types d'escroqueries en raison du rythme effréné des lieux de travail modernes, du télétravail et des failles de sécurité des systèmes de messagerie électronique. De plus, de nombreux employés travaillant dans des environnements hybrides ne disposent pas des technologies ou de la formation suffisantes pour se défendre contre la cybercriminalité.

La compromission des e-mails professionnels est également un problème important, car une attaque réussie peut nuire à la réputation, aux activités et au moral d'une entreprise, et l'exposer à des amendes et à des poursuites civiles.

Pour bénéficier d'une cybersécurité avancée, votre organisation doit investir dans uneplateforme EDR robuste. Endpoint Detection and Response de pointe peut empêcher différents types de logiciels malveillants, y compris les ransomwares, de nuire à votre entreprise.

Grâce à une technologie de pointe et à une sensibilisation accrue des employés, votre organisation peut prévenir les pertes liées aux attaques par compromission des e-mails professionnels et optimiser le flux de travail en toute confiance.

What are the indicators of compromise in an email?

Signs and symptoms of business email compromise (BEC) attack, include:

  • Unusual email address.
  • Strange link or website.
  • Spelling and grammatical errors.
  • Odd greetings, salutations, and language.
  • A heightened sense of urgency for payment.
  • Unsolicited attachment.
  • Attachment with a .exe or .zip extension.
  • Demand for confidential information.
  • Invoice with new banking information.
  • Requests for gift cards or cryptocurrency payments.

Le FBI dispose d'équipes spécialement formées à travers les États-Unis pour enquêter sur la cybercriminalité. Il demande aux victimes de crimes en ligne ou sur Internet de contacter leCentre de signalement des crimes sur Internet (IC3)pour obtenir de l'aide. La rapidité avec laquelle vous signalez un crime peut améliorer le résultat.

Who is most often targeted in BEC attack style emails?

Cybercriminals from any corner of the world can be responsible for a BEC attack. However, many scams originate from overseas, where such crimes are harder to trace. BEC attacks target businesses of all sizes, governments, and organizations but more often small businesses are attacked. BEC is a type of phishing attack where the cyber attacker seeks to steal critical information, data, or money. HR and Financial departments are increasingly targets of BEC.

What is the main goal of business email compromise?

The main goal of business email compromise is to fraudulently gain money.