Hypertrucage et cyberespionnage : Est-ce vraiment votre patron au téléphone?
Aperçu
Imaginez qu’un responsable des finances reçoit un appel téléphonique urgent et tardif d’un chef de la direction. Le cadre supérieur demande le transfert de 5 millions de dollars à un compte précis, et le responsable des finances s’y conforme. Le problème? L’appel provient d’un cybercriminel qui utilise la technologie d’hypertrucage pour se faire passer pour le chef de la direction.
L’étendue d’Internet et la nature malveillante du Web profond ont rendu les outils permettant la cyberfraude plus accessibles et plus convaincants que jamais. Deux cybermenaces – les hypertrucages et la vente d’accès aux renseignements d’entreprise par des personnes à l’interne – exposent les organisations à un risque de pertes financières plus élevé et bien pire.
L’hypertrucage utilise de la vidéo ou du son modifié pour créer une ressemblance troublante avec une autre personne. Bien que les hypertrucages vidéo soient relativement connus, les hypertrucages audio représentent une menace croissante pour les organisations. La technologie audio d’hypertrucage devient de plus en plus sophistiquée et accessible selon Dennis Lawrence, conseiller principal, Groupe du renseignement, Solutions de risques cybernétiques d’Aon. « Les délinquants ordinaires sont plus nombreux à pouvoir se livrer à cette activité qu’il y a un an ou deux.»
Les cybercriminels ciblent également les entreprises et les chefs de la direction en tentant d’accéder aux dossiers de l’entreprise par l’intermédiaire de personnes à l’interne, un phénomène qui a probablement empiré dans le contexte du passage mondial au travail à distance pendant la pandémie, où les employés travaillant à domicile sont moins surveillés. Bien que de nombreuses menaces ciblant des entreprises soient entièrement externes, Catarina Kim, directrice générale du Groupe du renseignement chez Solutions de risques cybernétiques d’Aon, affirme que les cybercriminels font parfois appel à des employés actuels. « Les menaces internes sont devenues plus préoccupantes dans l’environnement de travail actuel en raison de l’accélération de l’embauche et des départs, car une fois que vous êtes au service de l’entreprise et que vous avez accès aux données de l’entreprise, vous avez l’impression d’être un collègue de confiance. » indique Kim.
Examen approfondi
La fraude liée à la technologie est une activité importante pour les cybercriminels. Le vol de données peut mettre des renseignements d’entreprise de la plus haute importance entre de mauvaises mains, et la manipulation de l’audio peut frauder les chefs de la direction, les entreprises et leurs représentants peu méfiants et leur faire perdre de grosses sommes d’argent.
Certaines entreprises pourraient avoir honte d’avoir été victimes de ce type d’activité selon M. Lawrence. Mais les chefs d’entreprise doivent reconnaître que même les cadres les plus avisés peuvent être trompés par une usurpation d’identité.
Hypertrucage et hyperrisques
Par le passé, les cybercriminels qui cherchaient à frauder une entreprise pouvaient cibler des employés qui ne connaissaient pas la voix de leur chef de la direction. Maintenant, grâce aux médias sociaux et aux vidéos d’entreprise, les employés sont beaucoup plus susceptibles de reconnaître leurs gestionnaires. Mais par contre, grâce aux vidéos disponibles sur YouTube et sur d’autres sites fréquemment consultés, un créateur d’hypertrucages peut trouver un enregistrement vocal d’un dirigeant d’entreprise, faire exécuter l’enregistrement par un programme d’apprentissage automatique, et utiliser l’enregistrement modifié pour avoir une conversation téléphonique interactive visant à manipuler un employé pour qu’il effectue un paiement vers un compte bancaire tiers. La technologie audio d’hypertrucage peut reproduire des accents, des façons de parler et d’autres caractéristiques vocales pour créer une imitation étonnamment convaincante d’un dirigeant.
Bien que M. Kim souligne que les hypertrucages ont été utilisés dans le passé dans le cadre d’opérations gouvernementales et militaires, cette technologie est maintenant facilement accessible en ligne et prête à être utilisée à de nombreuses fins criminelles. La disponibilité croissante des enregistrements, combinée aux progrès de la technologie audio, signifie que les fraudeurs sont de plus en plus en mesure d’escroquer d’importantes sommes d’argent aux organisations. « Ce que nous avons vu se produire dans le secteur commercial est en grande partie attribuable à des considérations monétaires », affirme M. Kim.
Comment les cybercriminels arrivent à convaincre
N’importe quel employé peut se laisser piéger par un hypertrucage y compris les cadres chevronnés. M. Kim affirme que la compréhension du comportement humain est essentielle à la tromperie électronique, et que les criminels utilisent cette approche pour cibler les cadres de direction occupés ainsi que les employés dont les connaissances organisationnelles sont limitées. « Ils utilisent soit un moyen pour vous de connecter rapidement avec eux, quelque chose qui vous interpelle et qui leur donne envie d’établir des liens, ou ils sont convaincants parce qu’ils tirent parti du jargon commercial et font des recherches sur la structure hiérarchique. »
Les fraudeurs s’appuient également sur le pouvoir d’intimidation lorsqu’ils usurpent l’identité d’un cadre supérieur, selon Lawrence. « Lorsqu’un chef de la direction appelle le contrôleur ou toute autre personne responsable de superviser les virements aux fins de ce type d’opération, la personne est plus encline à se soumettre à la demande. »
À vendre : Accès
Les cybercriminels cherchent des moyens d’accéder aux données de l’entreprise et à tous les gains financiers qu’elles peuvent apporter. Parfois, l’aide d’autres personnes est plus efficace qu’une simple supercherie technologique. Kim et Lawrence soulignent que les groupes cybercriminels ciblent les employés pour mieux accéder à des réseaux sécurisés. « En général, ils recherchent un utilisateur administrateur, une personne qui a non seulement des droits, mais aussi beaucoup d’identifiants différents pour accéder aux systèmes. Dans certains cas, les auteurs de menaces et les fraudeurs recherchent des employés mécontents ou des personnes qui peuvent être incitées financièrement à vendre l’accès, a déclaré M. Kim.
Ce que les organisations peuvent faire
Bien que la cybersécurité robuste et l’information accrue sur les menaces puissent aider les entreprises, selon M. Lawrence, des stratégies simples peuvent aussi avoir une incidence. « Le mot du jour est l’une des méthodes les plus simples et rentables qu’une entreprise puisse utiliser. Les employés ont accès à un intranet et, s’ils reçoivent un appel d’une personne qu’ils ne connaissent pas et qui prétend être un employé, ils lui demandent : « quel est le mot du jour? » Comme les deux parties devraient y avoir accès, il s’agit d’une demande très simple et très raisonnable. Même si ce dont nous parlons est de nature hautement technologique, cette solution est très peu technique. »
Pour repérer les menaces internes potentielles dans le processus de dotation, les entreprises doivent déterminer comment elles examineront soigneusement les candidats et les méthodes qu’elles utiliseront. Les gouvernements utilisent des modèles d’attestation rigoureux pour effectuer des recherches sur les employés potentiels, dans le but d’empêcher les candidats d’enfreindre les règles de sécurité des institutions nationales. Les entreprises peuvent également vérifier les candidats à des postes pour repérer d’éventuels signaux d’alarme, mais M. Kim explique que les entreprises doivent adapter leur processus d’entrevue en fonction des besoins de leurs domaines. « Dans le secteur privé, les gens ne veulent pas passer par un long processus constitué de nombreuses étapes simplement pour être autorisés à faire un travail comme dans certaines parties du secteur public », affirme M. Kim, ajoutant que certaines entreprises achètent des programmes concernant les menaces internes pour détecter les risques pour la sécurité.
Conclusion
Les cybermenaces auxquelles les entreprises d’aujourd’hui font face ne se limitent plus aux programmes courants comme les rançongiciels ou les fraudes par courriel. Les cybercriminels font appel à la technologie en développement et à la volonté des personnes mécontentes, ou ayant des motivations financières, d’enfreindre les règles de sécurité de l’entreprise pour accéder à des données et à des fonds. Bien que ces fraudes soient de plus en plus convaincantes, les dirigeants peuvent se protéger et protéger leur entreprise en étant vigilants, informés et proactifs dans leur approche de la sécurité numérique.
Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers professionnels ou votre propre service des TI avant de mettre en œuvre toute recommandation ou de suivre l’orientation fournie dans les présentes. De plus, les renseignements fournis et les déclarations exprimées ne sont pas destinés à traiter des circonstances d’une personne ou d’une entité en particulier. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information soit exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir.