Recrudescence d’attaques utilisant des méthodes d’ingénierie sociale et visant des entreprises suisses

21.08.2014 - La Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a reçu ces dernières semaines plusieurs annonces de sociétés suisses visées par des tentatives d’escroquerie utilisant des méthodes d’ingénierie sociale (« social engineering »). A l’aide de ces méthodes, les auteurs veillent tout d’abord à gagner la confiance de leurs cibles, avant de chercher à obtenir un versement d’argent. Des entreprises de toute taille et actives dans divers secteurs d’activités sont visées.

Un travail d'information sur l'entreprise cible est mené préalablement à l'attaque, ce qui permet aux escrocs de se faire une idée précise de l'environnement  visé : secteur d'activité, postes clefs, modèles utilisés pour les adresses E-mails. Ce sont en particulier des sources d'information ouvertes, telles que le site web de l'entreprise,  qui sont utilisées pour cette collecte d'information. Ce travail de préparation peut également être nourri par des premières prises de contacts (appels, E-mails) visant à obtenir les informations souhaitées.

Par la suite, les auteurs mèneront l'attaque à proprement parler. Typiquement, un courriel semblant venir d'un cadre dirigeant, et imitant en réalité son E-mail, sera envoyé à un employé du service de comptabilité. Dans certains cas, cet E-mail proviendra directement d'un compte préalablement piraté. Le comptable sera informé d'une opération commerciale confidentielle en cours et mis en contact avec un « cabinet juridique » chargé de lui fournir les indications en vue du versement.  Là encore, les escrocs se feront passer pour un cabinet existant. Les auteurs insisteront notamment sur le caractère exceptionnel de la demande, la nécessité de discrétion, mais également sur l'urgence de la situation. Des appels téléphoniques sont parfois également effectués en parallèle ou préalablement à l'attaque pour appuyer le scénario que les escrocs ont mis en place.

Les méthodes d'ingénierie sociale peuvent être comme ici mobilisées en vue d'aboutir à un virement d'argent vers un compte contrôlé par les escrocs, mais d'autres cas de figure sont envisageables. Suite à de premiers contacts visant à gagner la confiance de leur cible, les auteurs peuvent par exemple  également envoyer un courriel contenant une pièce jointe malicieuse, ou un lien vers une page servant à propager un virus. 

MELANI recommande les mesures suivantes face à ces phénomènes :

  • La règle de base consiste à ne fournir aucune information interne ni ne procéder à aucune action lors de prises de contacts semblant douteuses ou inhabituelles

  • Il est fortement recommandé de vérifier par téléphone à l'interne la légitimité d'une demande ou d'une prise de contact, lorsque celle-ci paraît douteuse ou inhabituelle

  • Les processus, en particulier ceux concernant les transferts d'argent, devraient être clairement définis à l'intérieur de l'entreprise et suivis en toute circonstance

  • MELANI recommande de mettre un accent particulier sur la prévention du personnel envers ces phénomènes, notamment aux postes clefs

  • Les victimes ont la possibilité, en particulier en cas de dommage, de déposer une plainte pénale auprès de la police cantonale.

Dernière modification 21.08.2014

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/recrudescence-d_attaques-utilisant-des-methodes-dingenierie-soci.html