Vous pouvez perdre beaucoup dans une escroquerie par hameçonnage. Ces attaques montrent à quel point.
Les attaques de phishing ont explosé, les attaquants tirant parti des dernières vulnérabilités et opportunités du passage massif au travail à distance et au stockage dans le cloud.
L'hameçonnage est une escroquerie par laquelle les attaquants envoient des e-mails, des messages ou des appels téléphoniques malveillants pour les inciter à cliquer sur liens ou pièces jointes nuisibles, visiter des sites Web frauduleux, partager des données sensibles ou les rendre susceptibles de cyber-attaques.
Devenir la proie d'attaques de phishing entraîne désormais régulièrement des pertes financières substantielles pour les particuliers et les entreprises. Voici quelques-unes des attaques de phishing les plus dommageables financièrement de l'histoire.
1. Facebook et Google
Entre 2013 et 2015, Facebook et Google ont été victimes d'une arnaque à la fausse facture, perdant plus de 100 millions de dollars. Dans l'escroquerie, Evaldas Rimasauskas, un hacker lituanien, a créé une fausse entreprise qui se faisait passer pour Quanta Computer, un fabricant d'ordinateurs basé à Taiwan qui travaille avec Facebook et Google.
L'agresseur a en outre ouvert des comptes bancaires pour blanchiment d'argent dans plusieurs pays, dont Chypre et la Lettonie, sous le même nom que la fausse société.
Evaldas a ensuite envoyé des factures aux employés de Facebook et de Google, les amenant à lui virer les fonds demandés. Cependant, il a finalement été arrêté, officiellement accusé de fraude par câble et contraint de renoncer à 49,7 millions de dollars.
2. Images Sony
Sony a été victime d'une attaque de harponnage (l'une des de nombreux types d'attaques de phishing) qui a empêché la société de sortir un film comique dans le monde entier. L'attaque était liée aux "Gardiens de la paix", le groupe de piratage qui a divulgué d'énormes quantités de données confidentielles sur les employés de l'entreprise et son portefeuille de films en 2014.
Pour exécuter l'attaque, les cybercriminels ont envoyé un e-mail aux employés de Sony, dont le PDG Michael Lynton, les exhortant à vérifier leur identifiant Apple au "comportement de compte suspect". Les e-mails comprenaient également des liens vers des sites de phishing créés pour voler les identifiants des employés. crédits.
Des mois plus tard, les pirates ont piraté le System Center Configuration Manager (SCCM) de Microsoft. Cela leur a permis d'installer des logiciels malveillants sur tous les appareils des employés, de voler des téraoctets de données privées et de supprimer les copies originales des ordinateurs Sony.
Les cybercriminels ont divulgué quatre films inédits et de nombreux documents confidentiels, y compris privés les communications entre les dirigeants, les numéros de sécurité sociale et les salaires des employés, via le partage de fichiers réseaux. Pour faire avancer leur programme, le groupe hacktiviste a demandé à Sony d'annuler la sortie prévue de "The Interview", un film comique.
Bien que Sony n'ait pas publié d'estimation officielle des coûts, les premières évaluations de l'étendue des dommages aux entreprises indiquent des pertes dépassant les 100 millions.
3. Banque Crelan
En 2016, la banque belge Crelan a été ciblé par une arnaque Business Email Compromise (BEC), entraînant une perte de 75,8 millions de dollars. L'agresseur, se faisant passer pour le PDG de la banque, a demandé au service financier d'approuver le transfert du montant, ce qu'il a fait.
L'attaque a été découverte lors d'un audit interne et signalée au ministère de la Justice, mais les agresseurs n'ont jamais été identifiés. En réponse, la banque a adopté des mesures strictes pour renforcer ses procédures de sécurité internes.
4. FACC
Fischer Advanced Composite Components (FACC) est une société autrichienne spécialisée dans la fabrication de pièces aérospatiales. Sa clientèle comprend des leaders de l'industrie comme Boeing, Airbus et Rolls-Royce.
2015/16 a marqué une année commerciale fatidique pour l'entreprise car elle a été la proie d'une escroquerie BEC, perdant environ 55 millions de dollars. L'incident s'est déroulé lorsqu'un auteur, se faisant passer pour le PDG de l'entreprise dans un e-mail, a demandé au service comptable de transférer les fonds à une banque étrangère dans le cadre d'un "projet d'acquisition".
En réalisant qu'ils avaient été arnaqués, la FACC a mis en place des contre-mesures qui ont conduit à bloquer le transfert de 12 millions de dollars. Malgré cela, le PDG de la société, Walter Stephan, et le directeur financier ont été licenciés après l'incident. L'entreprise a également intenté une action en justice contre eux, invoquant leur incapacité à mettre en œuvre des contrôles et une surveillance de la sécurité.
5. Laboratoires Upsher-Smith
Upsher-Smith Laboratories, une société pharmaceutique du Minnesota, est une autre victime très médiatisée d'une attaque frauduleuse d'un PDG. L'entreprise a succombé à l'escroquerie en 2014 lorsque des fraudeurs se faisant passer pour le PDG de l'entreprise ont envoyé un e-mail au coordinateur des comptes fournisseurs de l'entreprise.
Cette escroquerie a conduit à neuf virements électroniques en trois semaines, entraînant une perte de plus de 50 millions. La société, cependant, a détecté l'attaque en cours et a réussi à révoquer un virement bancaire, réduisant la perte à 39 millions de dollars.
6. Réseaux Ubiquiti
En 2015, Ubiquiti Networks, un fabricant de technologies de réseau basé à San Jose, a perdu 46,7 millions de dollars à cause de la fraude du PDG. Dans ce cas, l'agresseur s'est fait passer pour le PDG et l'avocat de l'entreprise, informant le service financier que des fonds étaient nécessaires pour faciliter une acquisition confidentielle.
À l'aide d'e-mails de harponnage, l'agresseur a convaincu le service financier de l'entreprise de transférer des fonds de la filiale de l'entreprise à Hong Kong vers les comptes à l'étranger de l'attaquant.
Ubiquiti a ensuite effectué 14 virements électroniques en 17 jours vers plusieurs pays, dont la Chine, la Russie, la Hongrie et la Pologne. Après avoir découvert la fraude, la société a engagé des poursuites judiciaires dans plusieurs juridictions étrangères, récupérant 8,1 millions de dollars.
7. Leoni AG
Leoni AG, l'un des principaux fabricants de fils et de câbles dont le siège est en Allemagne, a subi une perte d'environ 44 millions de dollars après une attaque par e-mail de phishing. L’incident de 2016 impliquait des escrocs qui, se faisant passer pour les hauts dirigeants allemands de l’entreprise, ont trompé un employé des finances du bureau roumain de l’entreprise pour transférer les fonds sur des comptes étrangers.
8. Société Toyota Boshoku
En 2019, Toyota Boshoku Corporation, une filiale européenne du groupe Toyota et l'un des principaux fournisseurs de pièces automobiles Toyota, a été la cible d'une attaque BEC. L'incident impliquait un attaquant se faisant passer pour un partenaire commercial de la filiale, demandant un transfert de fonds immédiat vers un compte bancaire inconnu.
L'auteur a justifié l'urgence de la transaction en déclarant que tout retard entraverait la production des pièces. Cela a conduit le service des finances et de la comptabilité de la société à perdre plus de 37 millions de dollars.
9. Xoom Corporation
Une escroquerie par hameçonnage qui visait Xoom Corporation, l'un des principaux fournisseurs de services de transfert électronique de fonds, a entraîné une perte de 30,8 millions de dollars. Le rapport du quatrième trimestre 2014 de la société a cité BEC comme la cause de la perte.
L'attaque impliquait des escrocs se faisant passer pour des employés de Xoom et demandant au service financier de déposer les fonds sur des comptes frauduleux à l'étranger. À la suite de l'événement, le directeur financier (CFO) de Xoom, Matt Hibbard, a démissionné.
Protégez-vous et votre entreprise contre les attaques de phishing
Bien que les grandes entreprises soient les principales cibles, les escroqueries par hameçonnage affectant des millions d'utilisateurs individuels sont beaucoup trop courantes. Ces attaques entraînent non seulement des pertes monétaires directes, mais également des pertes de productivité et de données, des atteintes à la réputation et l'attrition des clients.
Les coûts des attaques de phishing remodèlent déjà la manière dont les individus et les entreprises opèrent et gèrent les risques. Pour se défendre contre les attaques de phishing, il est crucial d'adopter des mesures de protection, y compris l'utilisation de mots de passe, en mettant en œuvre une authentification à deux facteurs et en offrant une formation de sensibilisation à la sécurité pour employés.