Transfert de joueurs : La Lazio victime d’un BEC (business email compromise) à 2 millions d’euros !

Cybercriminalité

Selon des journalistes sportifs, la Lazio a apparemment payé la somme finale de 2 millions d’euros, dans le cadre d’un transfert de joueur, … sur le mauvais compte bancaire, après avoir été incité à changer le numéro de compte via un SCAM envoyé par email par des cybercriminels.

business email compromise

Le football est un sujet d’actualité central partout dans le monde, quel que soit le type de jeu que vous affectionnez.

Sans surprise, il existe d’énormes quantités d’argent au plus haut niveau dans tous les types de football : l’Américain, l’Australien, qui sont deux différents types de rugby, et la variante la plus largement pratiquée, l’Association Football, connu sous le nom de football a proprement parlé.

Beaucoup d’argent, du moins dans le football européen, servent à payer les coûts de transferts, lorsque les joueurs passent d’une équipe à une autre, parfois d’ailleurs entre équipes au sein de la même ligue, mais souvent avec un départ pour un autre pays.

Par exemple, le joueur hollandais Stefan de Vrij a quitté le club hollandais, de haut niveau, Feyenoord, pour rejoindre le célèbre club de la Lazio il y a quelques années.

Nous ne sommes pas sûrs du montant total des coûts de transfert, mais apparemment les paiements ont été effectués en plusieurs versements, avec un paiement final, dû en 2018, de 2 000 000 €.

Voici le récit de cette histoire plutôt effrayante !

Selon des journalistes sportifs du monde entier, plutôt étonnés, la Lazio a apparemment payé la somme finale de 2 millions d’euros …

… sur le mauvais compte bancaire, après avoir été incité à changer le numéro de compte via un SCAM envoyé par email par des cybercriminels.

Comme un journaliste sportif l’a souligné :

Il n’existe rien de plus merveilleux au monde que ce fameux dossier de spams […]. Dieu sait la quantité d’absurdités qu’il peut contenir, mais apparemment la Lazio aurait besoin de meilleurs filtres au niveau de sa boîte de réception … “. 

J’ai beaucoup ri en lisant ce commentaire, mais la vérité est à coup sûr certainement beaucoup plus complexe qu’un simple spam non filtré.

Le Whaling : le phishing de haut niveau !

BEC, l’abréviation de Business Email Compromise, également connu sous le nom de “whaling” (car il s’agit de phishing de haut niveau), est un cybercrime de plus en plus commun dans lequel les cybercriminels prennent le temps, tout d’abord, d’installer la confiance, avant de mettre en œuvre, au final, une seule et unique arnaque massive.

Le Business Email Compromise tire son nom du fait que les cybercriminels prennent souvent la peine de pirater un ou plusieurs mots de passe au sein de l’entreprise prise pour cible.

Les cybercriminels, ayant un accès complet à votre compte de messagerie, peuvent non seulement envoyer des emails en votre nom depuis l’intérieur de votre réseau, mais ils peuvent également :

  • Parcourir l’historique de vos emails afin de découvrir le genre de phrases, de formules de politesse et les phrases de clôture que vous avez tendance à utiliser.
  • Garder une trace des affaires sur lesquelles vous travaillez, et des paiements qui sont sur le point d’être effectués.
  • Faire des copies de factures officielles et d’autres documents afin de pouvoir y faire référence dans le futur, en citant notamment des détails tels que les numéros de compte, les montants à payer ainsi que les dates d’échéance.
  • Supprimer les emails frauduleux au niveau du dossier Envoyés afin de ne pas vous permettre de remarquer que votre compte a été piraté, et utilisé pour envoyer des emails non autorisés.
  • Supprimer des emails entrants d’avertissement de la part de collègues, y compris ceux en provenance de l’équipe informatique, qui pourraient lever le voile sur l’arnaque en question.
  • Configurer des règles au niveau des emails afin de rediriger les messages entrants vers un sous-dossier d’emails, pour que les cybercriminels puissent voir vos emails et les lire avant vous, y répondre et les supprimer sans que vous vous en rendiez compte.

En d’autres termes, une fois que les cybercriminels contrôlent votre compte de messagerie, vous ne pouvez plus partir du principe que votre Boîte de réception contient absolument tout ce que vous avez réellement reçu, et vous ne pouvez plus non plus considérer que votre dossier Envoyés a effectivement enregistré tous les éléments envoyés depuis votre compte.

Forte valeur, faible volume

Rappelez-vous que les cybercriminels pratiquant le BEC (business email compromise) ne sont pas comme les adeptes du phishing traditionnel, à faible valeur/fort volume, qui espèrent gagner 20€ pour chaque mot de passe, parmi des centaines de milliers dérobés.

Au lieu de cela, les “whalers” ont une stratégie opposée, comme par exemple récupérer 100 000 € auprès de 20 entreprises ciblées, ou encore des millions d’euros auprès d’une ou deux entreprises sélectionnées.

En conséquence, les cybercriminels ont tout le temps qu’ils veulent pour accumuler des informations interne à l’entreprise, s’assurer de leur fiabilité, et affiner leur discours hypnotique avant de passer à l’action.

Quoi faire ?

  • Méfiez-vous des emails apparemment inoffensifs qui tentent d’établir le contact, par exemple, “Bonjour, êtes-vous au bureau aujourd’hui?”, “Je suis sur la route cette semaine, pouvez-vous parler au service informatique pour moi ?”, ou “J’ai perdu mon téléphone à l’aéroport, pouvez-vous m’appeler sur cette carte SIM temporaire que j’ai dû acheter en … [en général le pays que votre patron ait censé visiter cette semaine, comme mentionné sur votre blog d’entreprise] ?”.
  • En cas de doute, demandez de l’aide en interne pour vérifier la véracité de tout message que vous venez de recevoir. Par exemple, si les personnes du service RH en appelant votre patron sur son téléphone soi-disant perdu, tombe sur ce dernier justement, alors vous aurez déjoué une arnaque en amont, en dévoilant le stratagème que les cybercriminels essayaient de mettre en place.
  • Suivre un processus strict et multi-personnes pour modifier les données financières des clients et des fournisseurs. Même si la voix du directeur financier (ou de celui qui prétend l’être !) doit suffire pour changer les bénéficiaires de paiements, insister pour avoir une deuxième validation. Comme les charpentiers aiment à dire : “mesurer deux fois, couper une fois”.
  • Utilisez l’authentification à deux facteurs (2FA) pour les connexions au niveau de votre compte professionnel chaque fois que vous le pouvez. Le 2FA, qui vous envoie un code unique en plus de votre mot de passe chaque fois que vous vous connectez, n’est pas parfait, mais il rend les attaques telles que le piratage  de comptes de messagerie beaucoup plus difficile pour les cybercriminels.
  • Si vous remarquez quelque chose, dites quelque chose. Les phishers et les whalers n’essaient pas seulement de duper un utilisateur, puis ensuite abandonnent, ils continueront à tenter leur chance avec d’autres personnes au sein de l’entreprise, jusqu’à ce qu’ils obtiennent ce qu’ils veulent. Ainsi, plus l’alerte sera donnée tôt, plus votre équipe sécurité (même si c’est juste vous !) pourra anticiper et prévenir l’ensemble du personnel, et claquer la porte au nez des cybercriminels !

Espérons, pour la Lazio et Feyenoord, que l’argent détourné dans cette arnaque a été stoppé à temps par le système bancaire et puisse donc être récupéré …


Billet inspiré de Football team pays $2.5 million to criminals in transfer fee scam, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.