Centre de plaintes contre la criminalité sur Internet (IC3)







Compromis de messagerie d’entreprise : 43 milliards de dollars de fraude

Cette annonce de service public est une mise à jour et un complément au Business Compromise PSA I-091019-PSA publié sur www.ic3.gov. Ce message d’intérêt public contient de nouvelles informations sur les plaintes du centre de traitement des plaintes relatives à la cybercriminalité et des statistiques mises à jour d’octobre 2013 à décembre 2021.


DÉFINITION

Corporate Email Compromise / Email Account Threat (BEC / EAC) est une escroquerie complexe qui cible à la fois les entreprises et les particuliers effectuant des demandes de transfert légitimes.

La fraude est souvent commise lorsqu’un individu compromet des comptes de messagerie professionnels ou personnels légitimes par la manipulation sociale ou l’intrusion informatique afin d’effectuer des transferts d’argent non autorisés.

La fraude n’est pas toujours liée à une demande de transfert. Une variante consiste à compromettre les comptes de messagerie d’entreprises légitimes et à demander des informations d’identification des employés, des formulaires de paie et de déclaration de revenus (W-2), ou même des portefeuilles de crypto-monnaie.


STATISTIQUES

La fraude BEC / EAC continue de croître et de se développer, ciblant les petites entreprises locales vers les grandes entreprises et les transactions personnelles. Entre juillet 2019 et décembre 2021, le nombre identifié dans le monde a augmenté de 65 %. pertes révélées, c’est-à-dire la perte du dollar, qui comprend à la fois les pertes réelles et les tentatives de pertes en dollars américains. L’augmentation peut s’expliquer en partie par les restrictions sur les pratiques commerciales traditionnelles pendant la pandémie de COVID-19, qui ont conduit à plus d’emplois et à des personnes qui ont commencé à faire des affaires virtuellement.

La fraude BEC a été signalée dans les 50 États et 177 pays, et plus de 140 pays ont reçu des transferts frauduleux. Selon les données financières fournies à IC3 pour 2021, les banques de Thaïlande et de Hong Kong étaient les principales destinations internationales des fonds frauduleux. La Chine, qui figurait parmi les deux premières destinations les années précédentes, s’est classée troisième en 2021, suivie du Mexique et de Singapour.

Les statistiques BEC / EAC suivantes ont été transmises au FBI IC3, aux forces de l’ordre et obtenues à partir de documents soumis aux institutions financières au cours de juin 2016 et décembre 2021:















Incidents nationaux et internationaux : 241 206
Pertes en dollars ouvertes nationales et internationales : 43 312 749 946 $



Les statistiques BEC / EAC suivantes ont été fournies à IC3 dans les plaintes des victimes Octobre 2013 et décembre 2021 :



Nombre total de victimes américaines : 116 401
Perte totale en dollars américains : 14 762 978 290 $



Total des victimes non américaines : 5260
Perte totale en dollars non américains : 1 277 131 099 $



Les statistiques suivantes ont été rapportées dans les plaintes des victimes IC3 Juin 2016 et décembre 2021 :



Nombre total de destinataires américains : 59 324
Perte totale en dollars américains pour les bénéficiaires américains : 9 153 274 323 $



Total des bénéficiaires financiers non américains : 19 731
Perte totale en dollars pour les bénéficiaires financiers non américains : 7 859 268 158 $



BEC et crypto-monnaie

IC3 a reçu un nombre accru de plaintes BEC liées à l’utilisation de la crypto-monnaie. La crypto-monnaie est une forme de propriété virtuelle qui utilise la cryptographie (l’utilisation de messages cryptés pour sécuriser les communications) pour sécuriser les transactions financières et est populaire auprès des participants illégaux en raison du degré élevé d’anonymat et de la rapidité des transactions impliquées.

IC3 a suivi deux itérations de fraude BEC dans lesquelles les criminels ont utilisé la crypto-monnaie. Transfert direct vers l’échange de crypto-monnaie (CE) ou transfert “second saut” vers CE. Dans les deux cas, la victime ne sait pas que l’argent sera envoyé pour le convertir en crypto-monnaie.


LA DIFFUSION EN DIRECT – reflète le schéma traditionnel des affaires BEC dans le passé.




DEUXIÈME TRANSFERT DE HOUBLON – Utilise les victimes d’autres cyberescroqueries (telles que le chantage, le support technique et les escroqueries amoureuses). Ces personnes ont souvent fourni des copies de documents d’identité, tels que des permis de conduire, des passeports, etc., qui sont utilisées pour ouvrir les portefeuilles de crypto-monnaies à leur nom.



Graphiques représentant la deuxième itération de la fraude BEC / crypto-monnaie.  Transfère de l'argent vers un compte de crypto-monnaie contrôlé par Bad Actor

Dans le passé, l’utilisation de crypto-monnaies était régulièrement signalée dans d’autres types de crimes couverts par IC3 (par exemple, assistance technique, rançon, emploi), mais cela n’a été détecté dans les crimes spécifiques au BEC qu’en 2018. En 2019, les rapports avaient augmenté. , qui a culminé à son plus haut en 2021, avec un peu plus de 40 millions de dollars de dégâts. Sur la base des données croissantes reçues, IC3 s’attend à ce que cette tendance se poursuive dans les années à venir.


Diagramme montrant les pertes signalées liées aux plaintes BEC / crypto-monnaie en 2018, 2019, 2020 et 2021.

RECOMMANDATIONS POUR LA PROTECTION

  • Utilisez des canaux secondaires ou une authentification à 2 facteurs pour vérifier les demandes de modification des informations de votre compte.
  • Assurez-vous que l’URL dans l’e-mail est liée à l’entreprise / à la personne à qui il est allégué.
  • Faites attention aux hyperliens qui peuvent contenir des fautes d’orthographe du nom de domaine réel.
  • Évitez de soumettre des identifiants de connexion ou des PII par e-mail. Gardez à l’esprit que de nombreux e-mails nécessitant vos informations personnelles peuvent sembler légitimes.
  • Vérifiez l’adresse e-mail utilisée pour envoyer des e-mails, en particulier si vous utilisez un appareil mobile ou portable, pour vous assurer que l’adresse de l’expéditeur est identique à l’adresse de l’expéditeur.
  • Pour voir les extensions de messagerie complètes, assurez-vous que les paramètres sont activés sur les ordinateurs de vos employés.
  • Surveillez régulièrement vos comptes financiers personnels pour détecter les irrégularités, telles que les dépôts manquants.


Si vous découvrez que vous avez été victime d’une fraude, contactez immédiatement votre institution financière pour demander un remboursement. Quel que soit le montant perdu, portez plainte au plus vite sur www.ic3.gov ou BEC.ic3.gov pour les victimes BEC/EAC.

Leave a Comment