Blog

Escroquerie par e-mail commercial (BEC) : Mettre 26 milliards de dollars de pertes connues en contexte

juin 1, 2022  |  5 min de lecture
Business Email Compromise (BEC): Putting $26 Billion in Known Losses into Context

Au cours des quatre dernières années, la communauté de la sécurité informatique a beaucoup appris sur l’escroquerie par e-mail commercial (BEC) et le fonctionnement interne des réseaux de cybercriminalité nigérians qui en ont fait leur principale activité.

Nous savons que la fraude BEC a été signalée dans les 50 États et dans 177 pays du monde entier. Nous savons que depuis juin 2016, plus de 26 milliards de dollars ont été perdus en raison de BEC. Mais nous savons aussi qu’à ce niveau, nous ne faisons peut-être que gratter la surface des dommages que les acteurs derrière l’escroquerie par e-mail commercial ont infligés aux entreprises et aux particuliers.

C’est parce que, comme nous l’avons tous appris, les mêmes acteurs de la menace derrière BEC sont responsables de nombreux autres crimes, notamment des escroqueries amoureuses, des arnaques de travail à domicile et des escroqueries à la loterie, ainsi que de la fraude par virement, des prises de contrôle de compte (ATOs), des détournements de paie, des fraudes W2, et bien plus encore.

Lors du suivi de BEC et des schémas 419 connexes (nommés d’après l’article 419 du code pénal nigérian), toute une série d’activités malveillantes différentes et discrètes sont souvent regroupées. Après tout, les frontières sont rarement aussi clairement définies que lors du suivi des crimes perpétrés à l’aide d’une famille de logiciels malveillants spécifique.

Pourtant, 26 milliards de dollars de pertes dues à l’escroquerie par e-mail commercial représentent un chiffre vraiment élevé, n’est-ce pas ? Pourtant, il est important de mettre ces pertes en contexte en les comparant avec d’autres menaces auxquelles l’industrie est confrontée. Comme vous êtes sur le point de le voir, ce que nous savons est assez effrayant. Mais c’est ce que nous ne savons pas qui me tient vraiment éveillé la nuit.

Pertes BEC : Plus du double des estimations du Trésor ?

Commençons par les bases. Nous avons tous vu les données provenant du Financial Crimes Enforcement Network (FinCEN) du Département du Trésor américain, qui estime que les pertes dues à BEC ont dépassé les 300 millions de dollars par mois en 2018. Cela représente plus de 3,6 milliards de dollars sur une base annualisée, et de quoi donner beaucoup de raisons de s’alarmer.

Mais cela semble aussi être très optimiste. En supposant que 100 % des rapports d’activité suspecte (SAR) sont synchronisés entre FinCEN et le Centre de plaintes pour crimes sur Internet (IC3) du FBI, les chiffres provenant de l’IC3 dressent un tout autre tableau.

Selon l’IC3, 26 milliards de dollars ont été perdus dans des escroqueries BEC entre juin 2016 et juillet 2019. Alors, combien cela représente-t-il par mois ?

26 milliards de dollars / 37 mois = 702 millions de dollars de pertes dues à BEC par mois

Cela représente 23 millions de dollars perdus par jour, 975 975,98 dollars perdus par heure, ou 16 266,27 dollars perdus chaque minute à cause de BEC. Prenez un moment pour assimiler cela — je vais attendre.

Les chercheurs en sécurité aiment critiquer les équipes marketing pour avoir exagéré les chiffres afin d’amplifier le drame. Mais dans ce cas, ces 26 milliards de dollars ne sont pas exagérés. En fait, ce ne sont pas des estimations du tout. Chaque dollar est lié à une victime. Et bien que certaines de ces sommes aient peut-être été inversées avec succès, elles représentent toujours l’exposition totale du monde des affaires (ou « dollars exposés », selon le langage de l’IC3) à BEC.

Mettre 26 milliards de dollars en contexte

26 milliards de dollars ne sont pas une somme négligeable. Cela équivaut à une entreprise du Fortune 500 – classée à peu près au même niveau que Kraft Heinz à la 115e place de la liste de cette année, juste au-dessus de Mondelez International et de US Bancorp. Si c’était un pays, il figurerait parmi les 30 plus grandes économies du monde en termes de PIB.

En effet, tandis que les ransomwares font plus de gros titres, BEC est désormais le principal moteur des demandes d’assurance cybernétique en EMEA, représentant 24 % de toutes les demandes, selon AIG. Mais pour vous donner vraiment un meilleur contexte de ce que cela signifie, regardons les chiffres.

Nous savons que BEC entraîne au moins 702 millions de dollars de pertes par mois. En utilisant l’équation suivante, nous pouvons convertir les pertes des autres campagnes sur une période donnée en nombre de jours nécessaires à BEC pour causer le même dommage.

(Pertes en dollars par campagne/ 702 millions de dollars) X 30 jours = nombre de jours

Regardons comment cela se compare aux dommages financiers causés par différentes formes d’attaques de logiciels malveillants, ainsi qu’à quelques autres points de référence. Il s’avère que les attaques spectaculaires qui font la une des journaux peuvent prendre des années pour créer le même montant de pertes générées par des escroqueries BEC réussies en seulement quelques jours.

Campagne ou objet Temps en fonctionnement Dommages confirmés totaux Nombre de jours qu’il faut à BEC pour causer le même dommage
GameOver ZeuS2 ans100 millions de dollars4,2 jours
WannaCry« Pourrait atteindre » 4 milliards de dollars de dommages171,4 jours
GandCrab1 an300 millions de dollars12,9 jours
NotPetya1,2 milliard de dollars51,4 jours
Attaques contre Sony35 millions de dollars1,5 jours
GozNymEnviron 3 ans100 millions de dollars 4,3 jours
Acquisition de CarbonBlack2,1 milliards de dollars89,7 jours
Tesla Model S entièrement équipée$114,990425 secondes
Salaire annuel moyen, Nigéria1 an15 463,68 USDMoins d’une minute
Salaire annuel moyen, États-Unis1 an56 516 USDMoins de 4 minutes
Pourquoi reconnaître les inconnues est si troublant

Au-delà des pertes financières dues à la cybercriminalité, il y a le tribut humain. Une attaque de ransomware frappant un hôpital pourrait avoir des conséquences désastreuses, y compris la perte de vies. Mais les réseaux de fraude par e-mail peuvent être tout aussi mortels. Le suicide parmi les victimes de fraude romantique par e-mail, par exemple, n’est guère un événement isolé, en raison du tourment émotionnel qu’il provoque – quelque chose que nous avons documenté dans nos propres données. Nous avons personnellement constaté plusieurs cas où des chercheurs d’amour tombent victimes d’ingénierie sociale et finissent ruinés financièrement, devant vendre leur maison, retirer leurs enfants de l’école, et plus encore. Tout cela à cause d’un Mr. ou Mrs. Wrong en ligne offrant l’amour et l’affection si absents dans la vie de leurs victimes.

C’est là que les inconnues entrent en jeu. Alors qu’un total de 15 000 escroqueries romantiques ont été identifiées en 2017, et un autre 18 000 en 2018, de nombreux autres cas ne sont pas signalés en raison de la stigmatisation sociale associée à la chute pour cette forme de fraude. Combien y a-t-il de victimes supplémentaires ?

Une escroquerie, un réseau de crimes connexes

Au cours des quatre dernières années, nous avons appris que de nombreux fraudeurs exploitent les comptes volés via des escroqueries romantiques pour lancer des attaques BEC. En fait, au cours de notre enquête sur le réseau de criminalité BEC Scattered Canary, nous avons découvert des liens jusqu’alors inconnus entre BEC et d’innombrables autres activités criminelles en ligne. Étant donné que 26 milliards de dollars de pertes sont déjà un sacré bazar, jetons de l’essence sur l’incendie avec quelques questions supplémentaires. Combien y a-t-il de victimes d’arnaques à la loterie ? Combien d’identifiants de connexion volés sont passés inaperçus, prêts à être exploités dans les prochains schémas de compromission des fournisseurs (VEC) et autres attaques ?

Combien d’escroqueries W2 les acteurs de BEC ont-ils commises qui sont restées non signalées ou non suivies ? Combien de personnes ont vu les informations volées dans ces attaques et d’autres utilisées pour pirater leurs comptes de messagerie à des fins d’autres jeux d’escroquerie par e-mail ? Combien d’étudiants ou de personnes âgées en difficulté ont-ils été recrutés à leur insu dans des escroqueries de travail à domicile, chargés d’envoyer de faux chèques à encore plus de victimes ? Combien d’incidents BEC ont été étouffés, considérés comme faisant partie du coût de faire des affaires ?

Si ce ne sont là que quelques-unes des questions que nous sommes en mesure de poser en raison des choses que nous savons, qu’en est-il des choses que nous ne savons pas ? Oui, 26 milliards de dollars de pertes connues dues à BEC sont effrayants. Mais ce que nous ne savons pas est absolument terrifiant.

https://www.agari.com/email-security-blog/bec-putting-26-billion-losses-into-context/

You might be interested in reading:

Explore the history of email, from its inception in the 1970s to its role in modern digital communication. Learn about key milestones and how email evolved into a global communication tool.
L'histoire de l'email octobre 11, 2023
"Learn about phishing, a cyber scam where attackers impersonate trusted entities to steal personal information. Discover how phishing works and ways to protect against online security threats."
Qu'est-ce que le phishing ? octobre 11, 2023

Vérifiez la conformité de la sécurité DMARC de votre domaine

Mettez en place DMARC, SPF et DKIM en quelques jours - pas en mois

Skysnag aide les ingénieurs occupés à mettre en place le DMARC, répond aux erreurs de configuration SPF ou DKIM, ce qui augmente la délivrabilité des e-mails, et élimine l'usurpation d'e-mails et l'usurpation d'identité.

Démarrer l'essai gratuit