À propos de l’arnaque au président

L’arnaque au président est la tendance la plus récente en matière de cybercrime. Elle implique l’usurpation de l’identité du président ou d’autres cadres supérieurs en utilisant des attaques d’ingénierie sociale pour tromper une personne au sein de l’entreprise en incitant celle-ci à virer de l’argent aux cybercriminels en question. Le FBI (Federal Bureau of Investigation) américain a mis en garde contre une augmentation spectaculaire de scams utilisant les emails professionnels, connuus sous le nom “d’arnaque au président”, qui a coûté plus de 2,3 milliards de dollars (soit environ 2 milliards d’euros) aux entreprises ces trois dernières années. De nombreuses entreprises pensent que les escroqueries par email sont faciles à repérer, et commettent donc l’erreur de sous-estimer la fraude au président. Cependant, dans la plupart des cas, de nombreux emails sont échangés avant que l’arnaque ne produise ses effets. Cela prouve que les escroqueries de ce type sont très sophistiquées et presque impossibles à contenir sans l’aide d’un véritable outil puissant. LogPoint est là pour vous soulager de cette lourde tâche, car LogPoint peut entièrement extraire et corréler les événements en fonction des besoins de votre entreprise. LogPoint peut détecter les scams par email tels que l’arnaque au président, entre autres, tout en améliorant les standards en matière de sécurité informatique de l’entreprise.

Comment fonctionne l’arnaque au président ?

Il existe principalement deux techniques d’arnaque au président : celle qui compromet les comptes de messagerie de la direction et celle qui utilise un nom de domaine de messagerie similaire à celui de l’entreprise. Dans le premier cas, les voleurs/pirates commencent par compromettre les comptes de messagerie appartenant aux employés les plus séniors, puis persuadant un membre de l’entreprise de transférer des fonds vers d’autres comptes. Dans ce dernier cas, le typosquatting est utilisé pour usurper l’identité des employés séniors de l’entreprise.

Vous pouvez rechercher les comportements suivants, révélés par l’application, via le tableau de bord ou les alertes :

  1. Domaines avec des caractères suspects.
  2. Demandes de messagerie provenant de sources de menace.
  3. Expéditeurs dont l’email contient des sujets suspects en particulier s’ils proviennent de managers et de cadres supérieurs.
  4. Et surtout, surveillez le comportement des emails avec les attributs suivants dans un email ou une série d’emails :
    • L’expéditeur semble être un manager ou un cadre supérieur.
    • Domaine émetteur anormal, cela peut être extrait à partir de l’ID du message dans de nombreux cas.
    • Le client ou le serveur qui envoie l’email n’appartient pas à une liste de serveurs de confiance.

Nous voyons ici que l’expéditeur usurpe l’identité d’une adresse email légitime et que, simultanément, l’email provient de deux adresses sources différentes, qui ne figurent pas dans la liste des serveurs de messagerie en vigueur. Les deux exemples présentés ci-dessus permettent de conclure qu’il pourrait s’agir d’un cas d’arnaque au président.

Les incidents générés par les règles d’alerte incluses dans l’application CEO Fraud (Arnaque au Président) de LogPoint :

Comment LogPoint peut-il détecter une arnaque au président ?

LogPoint vous offre la fonctionnalité nécessaire pour rester informé et pour faire remonter les informations concernant d’éventuels scams ciblant des emails professionnels. Dès l’installation, vous pouvez utiliser les widgets CEO Fraud v1 pour analyser tout incident éventuel au sein de, et en périphérie de votre infrastructure. De plus, la base répertoriant les scams peut également être enrichie en mettant à jour la liste. Vous pouvez personnaliser le tableau de bord et les alertes en fonction du type de source de données que vous intégrez.

Pour commencer à détecter les emails suspects, vous devez suivre les étapes suivantes :

  • Téléchargez le package CEO Fraud à partir du centre d’aide et installez-le. Assurez-vous d’avoir installé toutes les autres applications requises, y compris les renseignements sur les menaces et Exchange.
  • Recueillez et standardisez les données des sources d’email souhaitées.
  • Utilisez le tableau de bord et les alertes.

Veuillez noter que l’application CEO Fraud s’appuie sur les données d’Exchange MT. L’application nécessite des événements collectés à partir de Microsoft Exchange Message Tracking (MT) 2010, 2013 au format défini par des espaces et des virgules. Utilisez l’option de collecte de fichiers dans LogPoint Agent pour transférer les logs de MT Exchange. Vous pouvez également enrichir la création du log à l’aide de la règle de flux d’email du serveur de messagerie.

De plus, cette approche peut être utilisée dans la validation d’autres types de comportements de menace par email, tels que le spear phishing, qui vous permet de connaitre la liste d’adresses IP à partir desquelles vous êtes censé recevoir les emails. L’approche globale est également déterminée par le fait que le serveur de messagerie dispose d’un mécanisme de logging structuré et informatif.

Plus d’information ?

N’hésitez pas à nous contacter si vous avez des questions ! N’attendez plus pour trouver votre représentant LogPoint local.