Les attaques par hameçonnage se sont multipliées, les attaquants tirant parti des dernières vulnérabilités et opportunités offertes par le passage massif au travail à distance et au stockage dans le nuage.
Le phishing est une escroquerie dans laquelle les attaquants envoient des courriels, des messages ou des appels téléphoniques malveillants pour inciter les gens à cliquer sur des liens ou des pièces jointes nuisibles, à visiter des sites web frauduleux, à partager des données sensibles ou à les rendre vulnérables à des cyberattaques.
De nos jours, être la proie d’attaques par hameçonnage entraîne régulièrement des pertes financières considérables pour les particuliers et les entreprises. Voici quelques-unes des attaques de phishing les plus dommageables financièrement de l’histoire.
1. Facebook et Google
Entre 2013 et 2015, Facebook et Google ont été victimes d’une escroquerie aux fausses factures, perdant ainsi plus de 100 millions de dollars. Dans cette escroquerie, Evaldas Rimasauskas, un pirate lituanien, a créé une fausse entreprise qui s’est fait passer pour Quanta Computer, un fabricant d’ordinateurs basé à Taïwan qui travaille avec Facebook et Google.
L’agresseur a également ouvert des comptes bancaires pour le blanchiment d’argent dans plusieurs pays, dont Chypre et la Lettonie, sous le même nom que la fausse société.
Evaldas a ensuite envoyé des factures à des employés de Facebook et de Google, les amenant à lui virer les fonds demandés. Cependant, il a finalement été arrêté, formellement accusé de fraude par câble et contraint de renoncer à 49,7 millions de dollars.
2. Sony Pictures
Sony a été victime d’une attaque de spear-phishing (un des nombreux types d’attaques d’hameçonnage) qui a empêché la société de sortir un film comique dans le monde entier. L’attaque était liée à « Guardians of Peace », le groupe de pirates informatiques qui a divulgué d’énormes quantités de données confidentielles sur les employés de l’entreprise et son portefeuille de films en 2014.
Pour exécuter l’attaque, les cybercriminels ont envoyé des courriels aux employés de Sony, y compris au PDG Michael Lynton, leur demandant de vérifier leur identifiant Apple en raison d’un « comportement de compte suspect ». Les messages électroniques contenaient également des liens vers des sites de phishing créés pour voler les identifiants de connexion des employés.
Quelques mois plus tard, les pirates se sont introduits dans le System Center Configuration Manager (SCCM) de Microsoft. Cela leur a permis d’installer des logiciels malveillants sur tous les appareils des employés, de voler des téraoctets de données privées et de supprimer les copies originales des ordinateurs de Sony.
Les cybercriminels ont divulgué quatre films inédits et de nombreux documents confidentiels, notamment des communications privées entre cadres, des numéros de sécurité sociale et des salaires d’employés, via des réseaux de partage de fichiers. Pour faire avancer leur projet, le groupe d’hacktivistes a demandé à Sony d’annuler la sortie prévue de « The Interview », un film comique.
Bien que Sony n’ait pas publié d’estimation officielle des coûts, les premières évaluations de l’étendue des dommages subis par l’entreprise indiquent des pertes dépassant les 100 millions.
3. Banque Crelan
En 2016, la banque belge Crelan a été la cible d’une escroquerie de type Business Email Compromise (BEC), qui a entraîné une perte de 75,8 millions de dollars. L’auteur de l’escroquerie, se faisant passer pour le PDG de la banque, a demandé au service financier d’approuver le transfert du montant, ce qu’il a fait.
L’attaque a été découverte lors d’un audit interne et signalée au ministère de la justice, mais les agresseurs n’ont jamais été identifiés. La banque a réagi en adoptant des mesures strictes pour renforcer ses procédures de sécurité internes.
4. FACC
Fischer Advanced Composite Components (FACC) est une entreprise autrichienne spécialisée dans la fabrication de pièces pour l’aérospatiale. Elle compte parmi ses clients des leaders de l’industrie tels que Boeing, Airbus et Rolls-Royce.
L’année 2015/16 a été fatidique pour l’entreprise qui a été victime d’une escroquerie BEC et a perdu environ 55 millions de dollars. L’incident s’est déroulé lorsqu’un auteur, se faisant passer pour le PDG de l’entreprise dans un courriel, a demandé au service comptable de transférer les fonds vers une banque étrangère dans le cadre d’un « projet d’acquisition ».
Se rendant compte de l’escroquerie, la FACC a mis en place des contre-mesures qui ont permis de bloquer le transfert de 12 millions de dollars. Malgré cela, le PDG de la société, Walter Stephan, et le directeur financier ont été licenciés après l’incident. L’entreprise a également intenté une action en justice contre eux, invoquant leur incapacité à mettre en œuvre des contrôles de sécurité et une surveillance.
5. Laboratoires Upsher-Smith
Upsher-Smith Laboratories, une société pharmaceutique du Minnesota, est une autre victime très médiatisée d’une attaque frauduleuse du PDG. L’entreprise a succombé à l’escroquerie en 2014 lorsque des fraudeurs se faisant passer pour le PDG de l’entreprise ont envoyé un courriel au coordinateur des comptes fournisseurs de l’entreprise.
Cette escroquerie a donné lieu à neuf virements électroniques en l’espace de trois semaines, entraînant une perte de plus de 50 millions. L’entreprise a toutefois détecté l’attaque en cours et a réussi à révoquer un virement, réduisant la perte à 39 millions de dollars.
6. Réseaux Ubiquiti
En 2015, Ubiquiti Networks, un fabricant de technologies de réseau basé à San Jose, a perdu 46,7 millions de dollars à cause d’une fraude au PDG. Dans ce cas, l’attaquant s’est fait passer pour le PDG et l’avocat de l’entreprise, informant le service financier que des fonds étaient nécessaires pour faciliter une acquisition confidentielle.
À l’aide de courriels de spear-phishing, l’auteur a convaincu le service financier de l’entreprise de transférer des fonds de la filiale de l’entreprise à Hong Kong vers les comptes à l’étranger de l’attaquant.
Ubiquiti a ensuite effectué 14 virements en l’espace de 17 jours vers plusieurs pays, dont la Chine, la Russie, la Hongrie et la Pologne. Après avoir découvert la fraude, la société a entamé des poursuites judiciaires dans plusieurs juridictions étrangères, récupérant ainsi 8,1 millions de dollars.
7. Leoni AG
Leoni AG, un important fabricant de fils et de câbles dont le siège se trouve en Allemagne, a subi une perte d’environ 44 millions de dollars à la suite d’une attaque par courrier électronique de type « phishing ». L’incident de 2016 a impliqué des escrocs qui, se faisant passer pour des cadres supérieurs allemands de l’entreprise, ont trompé un employé des finances du bureau roumain de l’entreprise pour qu’il transfère les fonds sur des comptes étrangers.
8. Toyota Boshoku Corporation
En 2019, Toyota Boshoku Corporation, une filiale européenne du groupe Toyota et l’un des principaux fournisseurs de pièces automobiles Toyota, a été la cible d’une attaque BEC. Un pirate s’est fait passer pour un partenaire commercial de la filiale et a demandé un transfert de fonds immédiat vers un compte bancaire inconnu.
L’auteur de l’attaque a justifié l’urgence de la transaction en déclarant que tout retard entraverait la production de pièces. Le service financier et comptable de l’entreprise a ainsi perdu plus de 37 millions de dollars.
9. Xoom Corporation
Une escroquerie par hameçonnage qui a ciblé Xoom Corporation, un important fournisseur de services de transfert électronique de fonds, a entraîné une perte de 30,8 millions de dollars. Le rapport du quatrième trimestre 2014 de la société a cité BEC comme cause de la perte.
L’attaque a impliqué des escrocs se faisant passer pour des employés de Xoom et demandant au service financier de déposer les fonds sur des comptes frauduleux à l’étranger. À la suite de l’incident, le directeur financier de Xoom, Matt Hibbard, a démissionné.
Protégez-vous et protégez votre entreprise contre les attaques de phishing
Bien que les grandes entreprises soient les principales cibles, les escroqueries par hameçonnage qui touchent des millions d’utilisateurs individuels sont beaucoup trop courantes. Ces attaques entraînent non seulement des pertes financières directes, mais aussi des pertes de productivité et de données, des atteintes à la réputation et l’attrition de la clientèle.
Le coût des attaques de phishing modifie déjà la façon dont les individus et les entreprises fonctionnent et gèrent les risques. Pour se défendre contre les attaques de phishing, il est essentiel d’adopter des mesures de protection, notamment l’utilisation de mots de passe forts, la mise en place d’une authentification à deux facteurs et une formation de sensibilisation à la sécurité pour les employés.
