Sélection de la langue

Campagnes de fraudes par nom de sosie de domaine et par virement bancaire

Numéro : IN17-004
Date : Le 18 Octobre 2017

Objet

La présente note d’information a pour but d’attirer l’attention sur des campagnes de fraudes par sosie de nom de domaine et par virement bancaire.

On a constaté récemment une hausse considérable du nombre de domaines sosies signalés par des partenaires. Ces domaines sont pour la plupart liés à des tentatives de fraudes par virement bancaire. De telles fraudes sont de plus en plus courantes, tant au Canada qu’à l’étranger, et peuvent entraîner d’importantes pertes financières chez les organisations touchées. Divers stratagèmes sont employés pour perpétrer ces fraudes, dont l’utilisation de domaines conçus pour imiter ceux de votre organisation. La présente note d’information décrit ce stratagème.

Évaluation

Fraude par virement bancaire / Compromission de courriel d’affaires

La fraude par virement bancaire est une escroquerie dans laquelle des criminels utilisent des techniques de piratage psychologique et d’autres pratiques trompeuses pour convaincre des organisations d’effectuer un virement bancaire. Des noms de domaine trompeurs pour l’adresse électronique ou des comptes de cadres supérieurs qui ont été compromis sont souvent utilisés pour envoyer des factures frauduleuses aux membres de l’organisation responsables d’autoriser les virements bancaires. Contrairement aux fraudes par hameçonnage traditionnelles, les courriels liés à la fraude bancaire ont peu de chances de déclencher les filtres antipourriel, car ils sont ciblés au lieu d’être envoyés en masse.

Les personnes qui commettent ce type de fraude font souvent des recherches au sujet des responsabilités des employés en consultant l’information ouverte à leur sujet afin de comprendre la structure organisationnelle de leur cible. Prenons un exemple. Un agent malveillant inspecte le site Web d’une organisation, par exemple la page des contacts. Grâce à l’information qui s’y trouve, il envoie un courriel frauduleux à l’employé chargé des finances en prétendant appartenir à la même organisation pour lui demander d’effectuer une transaction financière.

Comment fonctionnent les tactiques de piratage psychologique?

Le piratage psychologique, dans le contexte de la cybersécurité, fait appel à des techniques psychologiques dont le but est de manipuler une personne à faire une action prédéterminée, par exemple, cliquer sur une pièce jointe contenant un programme malveillant. Pour mener des activités malveillantes dans le cyberespace, les auteurs de menaces peuvent procéder à une opération de reconnaissance dans le but d’adapter leurs techniques aux victimes ciblées. Au cours de cette reconnaissance, ils peuvent recueillir les renseignements disponibles sur le site Web d’une organisation, sur les sites Web de ses partenaires ou dans les médias sociaux dans le but de comprendre la structure hiérarchique d’une organisation. Cela peut aussi comprendre les cartes professionnelles, les renseignements d’inscription à une conférence ou les renseignements obtenus au moyen d’une précédente compromission dans le cyberespace. Le but est d’obtenir des renseignements sur les objectifs, les projets, les contrats, les partenaires et les clients d’une organisation.

Les entreprises qui mènent des affaires à l’échelle internationale sont plus susceptibles d’être ciblées puisque les virements vers des banques situées outremer sont courants. Les grandes et moyennes entreprises de commerce de détail sont également souvent visées puisqu’elles ont un grand volume de facturation entre de nombreux revendeurs et distributeurs. L’une des techniques qui semblent de plus en plus utilisées dans le cadre des fraudes par virement bancaire consiste à utiliser un « sosie du nom de domaine » pour donner l’apparence d’une provenance légitime au courriel envoyé par les auteurs de menaces.

Qu’est-ce qu’une campagne de fraude par sosie de nom de domaine?

Un sosie du nom de domaine est un nom de domaine enregistré légalement qui a été créé par des auteurs de menaces parce qu’il semble presque identique au nom de domaine légitime d’une organisation visée. Dans la plupart des cas, ces sosies de nom de domaine sont liés à des tentatives de fraude par virement bancaire. Un sosie de nom de domaine peut faciliter une telle activité puisqu’il peut être perçu à tort comme légitime par les personnes responsables d’autoriser les virements bancaires au sein de l’organisation. Par exemple, l’agent malveillant peut enregistrer le nom de domaine « mon0rganisation.ca » (où le « o » est en réalité un 0) pour tenter de tromper les utilisateurs du site « monOrganization.ca ».

Le fait que la reconnaissance des auteurs de menaces semble supposer la collecte de renseignements au sujet de l’organisation et des personnes qui y travaillent donne à penser qu’il est recommandé de réévaluer la quantité et le type d’information rendu disponible par l’organisation sur son site Web. De plus, puisque les médias sociaux semblent constituer l’une des sources examinées pour tirer des renseignements sur l’entreprise, il pourrait être dans l’intérêt des organisations de lire les conseils du Commissariat à la protection de la vie privée du Canada en matière de « Protection des renseignements personnels en ligne » pour apprendre des stratégies pouvant servir à réduire le risque que des renseignements personnels soient utilisés à des fins frauduleuses.

Mesures recommandées

Le CCRIC recommande aux organisations d’examiner les mesures d’atténuation ci-dessous :

  • Disposer d’un plan de recouvrement en cas de transfert frauduleux :
    • demander conseil à son institution financière;
    • dresser et tenir à jour une liste de contacts;
    • rédiger et tenir à jour des instructions sur le signalement d’un transfert frauduleux.
  • Si des fonds sont virés vers un compte frauduleux, il est important d’agir promptement :
    • consulter son institution financière pour savoir comment agir en cas de transfert frauduleux;
    • communiquer avec son institution financière dès qu’un virement frauduleux est découvert et lui demander de communiquer avec l’institution financière à laquelle il a été envoyé;
    • communiquer avec les autorités policières locales.
  • Traiter toute demande liée à une transaction financière importante avec la plus grande prudence. Demander que l’on en confirme le bien-fondé.
  • Valider la transaction en effectuant un nouvel échange de courriels avec les coordonnées exactes de la personne concernée ou en composant un numéro de téléphone connu.
  • Mettre en œuvre un système à deux signatures avec authentification mutuelle qui exige la signature d’au moins deux employés autorisés à effectuer des virements bancaires. On s’assure ainsi d’une plus grande légitimité du virement et du caractère approprié de la demande. Le système à authentification mutuelle (qui utilise un jeton de sécurité) peut empêcher l’utilisation de signatures falsifiées.
  • Envisager l’enregistrement des domaines Internet qui sont similaires au nom de domaine utilisé par son organisation ou de les bloquer dans son périmètre réseau.
  • Examiner le journal de courriels existant pour y détecter des anomalies quant à l’expéditeur ou au destinataire.
  • Examiner et vérifier périodiquement les transactions par virement bancaire. L’organisation est ainsi en mesure de repérer les transactions frauduleuses qu’elle n’a pas approuvées et de réagir plus rapidement.
  • Puisque les noms de domaine sosies servent souvent dans le cadre de campagnes d’hameçonnage, il convient également de se pencher sur les étapes que l’organisation peut suivre pour mieux sensibiliser son personnel à la cybersécurité :
    • ne pas répondre pas aux courriels suspects et ne divulgue aucun renseignement confidentiel lorsqu’une telle demande est présentée par courriel, même si ce dernier semble légitime. En cas de doute, en parler à un superviseur;
    • ne jamais cliquer sur un lien dans un courriel suspect;
    • ne jamais transférer le courriel à d’autres personnes; s’il faut le montrer à un superviseur, lui en remettre une copie sur papier ou lui demander de le voir à l’écran du poste de travail de l’employé touché;
    • si un courriel suspect semble provenir d’une organisation reconnue ou d’un client, communiquer avec l’organisation ou le client légitime par un autre moyen (p. ex., le téléphone, et ne jamais utiliser les coordonnées qui apparaissent dans le courriel reçu, mais plutôt celles que contiennent les listes de contacts préalablement établies) et demander s’il a envoyé un tel courriel.
  • La plupart des attaques de cette nature sont détectées par des utilisateurs diligents et bien informés. Le CCRIC recommande aux organisations d’informer leurs employés de la situation actuelle, notamment sur la façon de signaler au personnel de la sécurité des TI tout courriel suspect ou inhabituel. Passer en revue les politiques et exigences ministérielles et offrir de la formation ou de la sensibilisation à la sécurité peut aider à atténuer ce risque.

Références :

Date de modification :