Au cours des quatre dernières années, la communauté de la sécurité de l'information a beaucoup appris sur la compromission des courriers électroniques professionnels (BEC) et sur les rouages des réseaux de cybercriminels nigérians qui en ont fait leur cheval de bataille.

Nous savons que la fraude BEC a été signalée dans les 50 États et dans 177 pays à travers le monde. Nous savons que depuis juin 2016, plus de 26 milliards de dollars ont été perdus à cause des BEC. Mais nous savons aussi que même à ce niveau, nous ne faisons qu'effleurer la surface des dommages que les acteurs malveillants à l'origine de la compromission des courriels d'entreprise ont infligés aux entreprises et aux particuliers.

En effet, comme nous l'avons tous appris, les mêmes acteurs qui sont à l'origine des BEC sont responsables d'une myriade d'autres délits, allant de l'escroquerie à l'amour, de l'escroquerie au travail à domicile et de l'escroquerie à la loterie, à la fraude électronique, à la prise de contrôle de comptes, à l'escroquerie au détournement de salaires, à la fraude W2, et à bien d'autres choses encore.

Lorsqu'il s'agit de traquer les BEC et les systèmes 419 (d'après l'article 419 du code pénal nigérian), une multitude d'activités malveillantes différentes et discrètes sont souvent mises dans le même sac. Après tout, les lignes de démarcation sont rarement aussi nettes que lorsqu'il s'agit de repérer des crimes perpétrés à l'aide d'une famille de logiciels malveillants spécifique.

Pourtant, 26 milliards de dollars de pertes dues à la compromission des courriels d'entreprise, c'est un chiffre vraiment important, n'est-ce pas ? Il est toutefois important de replacer ces pertes dans leur contexte en les comparant à d'autres menaces auxquelles le secteur est confronté. Comme vous allez le voir, ce que nous savons est déjà assez effrayant. Mais c'est ce que nous ignorons qui m'empêche de dormir.

Pertes de la BEC : Plus de deux fois les estimations du Trésor ?

Commençons par les bases. Nous avons tous vu les données provenant du Financial Crimes Enforcement Network (FinCEN) du département du Trésor américain, qui estime que les pertes dues aux BEC ont dépassé 300 millions de dollars par mois en 2018. Cela représente plus de 3,6 milliards de dollars sur une base annuelle, et de nombreuses raisons de s'alarmer.

Mais il semble également très optimiste. En supposant que 100 % des rapports d'activité suspecte (SAR) soient synchronisés entre le FinCEN et l'Internet Crime Complaint Center du FBI, les chiffres fournis par l'IC3 brossent un tableau complètement différent.

Selon l'IC3, 26 milliards de dollars ont été perdus à cause des escroqueries BEC entre juin 2016 et juillet 2019. Combien cela représente-t-il par mois ?

26 milliards de dollars / 37 mois = 702 millions de dollars de pertes BEC par mois 

Cela représente 23 millions de dollars perdus par jour, 975 975,98 dollars perdus par heure, ou 16 266,27 dollars perdus chaque minute au profit de BEC. Allez-y, laissez vous imprégner de ces chiffres un instant - je vous attends.

Les chercheurs en sécurité aiment reprocher aux équipes de marketing de gonfler les chiffres à l'excès pour amplifier l'effet dramatique. Mais dans le cas présent, ces 26 milliards de dollars ne sont pas exagérés. En fait, il ne s'agit pas du tout d'estimations. Chaque dollar est lié à une victime. Et bien qu'une partie de cet argent ait pu être reversée avec succès, il représente toujours l'exposition totale du monde des affaires (ou "dollars exposés", dans le jargon de l'IC3) aux BEC.

Mettre 26 milliards de dollars en contexte

26 milliards de dollars, ce n'est pas rien. C'est l'équivalent d'une entreprise du classement Fortune 500 - classée à peu près au même niveau que Kraft Heinz (115e sur la liste de cette année), juste au-dessus de Mondelez International et de US Bancorp. S'il s'agissait d'un pays, il se classerait parmi les 30 plus grandes économies du monde en termes de PIB.

En effet, bien que les ransomwares fassent davantage la une des journaux, le BEC est désormais le principal facteur de sinistres de cyber-assurance dans la région EMEA, représentant 24 % de l'ensemble des sinistres, selon AIG. Mais pour mieux comprendre ce que cela signifie, regardons les chiffres.

Nous savons que le BEC entraîne des pertes d'au moins 702 millions de dollars par mois. À l'aide de l'équation suivante, nous pouvons convertir les pertes des autres campagnes au fil du temps en nombre de jours nécessaires à la BEC pour causer les mêmes dommages.

(Pertes en dollars par campagne / 702 millions de dollars) X 30 jours = nombre de jours

Comparons ces chiffres aux dommages financiers causés par différentes formes d'attaques de logiciels malveillants, ainsi qu'à quelques autres points de référence. Il s'avère que les attaques spectaculaires qui font la une des journaux peuvent prendre des années pour générer le même montant de pertes que les escroqueries BEC réussies en quelques jours seulement.

Pourquoi la reconnaissance des inconnues est si déconcertante

Au-delà des pertes financières liées à la cybercriminalité, il y a le prix à payer sur le plan humain. Une attaque par ransomware contre un hôpital peut avoir des conséquences désastreuses, y compris la perte de vies humaines. Mais les réseaux de fraude par courriel peuvent être tout aussi meurtriers. Le suicide des victimes de fraudes amoureuses par courriel, par exemple, est loin d'être un événement isolé, en raison des bouleversements émotionnels qu'il provoque - ce que nous avons documenté dans nos propres données. Nous avons personnellement vu de nombreux cas où des chercheurs amoureux ont été la proie de l'ingénierie sociale et se sont retrouvés en ruine financière, obligés de vendre leur maison, de retirer leurs enfants de l'école, et plus encore. Tout cela à cause d'un M. ou d'une Mme Wrong en ligne qui offre l'amour et l'affection qui manquent tant dans la vie de ses victimes.

C'est là qu'interviennent les inconnues. Alors qu'un total de 15 000 escroqueries à la romance ont été identifiées en 2017, et 18 000 autres en 2018, de nombreux autres cas ne sont pas signalés en raison de la stigmatisation sociale qui va de pair avec le fait de tomber dans cette forme d'escroquerie. Combien de victimes y a-t-il encore ?

Une escroquerie, un réseau de délits connexes

Au cours des quatre dernières années, nous avons appris que de nombreux fraudeurs utilisent des comptes volés dans le cadre d'escroqueries amoureuses pour lancer des attaques BEC. En fait, au cours de notre enquête sur le réseau criminel BEC Scattered Canary, nous avons découvert des liens jusqu'alors inconnus entre les BEC et d'innombrables autres activités cybercriminelles. 26 milliards de dollars de pertes, c'est déjà un beau gâchis, alors jetons de l'huile sur le feu avec quelques questions supplémentaires. Combien y a-t-il de victimes d'arnaques à la loterie ? Combien d'identifiants de connexion hameçonnés sont passés inaperçus, prêts à être exploités dans les prochaines attaques de type Vendor Email Compromise (VEC) et autres ?

Combien d'escroqueries de type W2 ont été commises par des acteurs de la BEC sans être signalées ou suivies ? Combien de personnes ont vu les informations volées dans le cadre de ces attaques et d'autres encore utilisées pour détourner leurs comptes de messagerie et les utiliser dans d'autres escroqueries par courrier électronique ? Combien d'étudiants ou de personnes âgées en difficulté ont été recrutés à leur insu dans le cadre d'escroqueries au travail à domicile, avec pour mission d'envoyer de faux chèques à d'autres victimes ? Combien d'incidents liés aux BEC ont été dissimulés, mis sur le compte du coût des affaires ?

S'il ne s'agit là que de quelques-unes des questions que nous pouvons poser en raison des éléments que nous connaissons, qu'en est-il des éléments que nous ignorons? Oui, les 26 milliards de dollars de pertes connues dues aux BEC sont effrayants. Mais ce que nous ignorons est absolument terrifiant.