La menace croissante de compromission des e-mails professionnels de l’industrie du cannabis


L’industrie du cannabis est encore nouvelle, pleine de croissance rapide qui comprend la constitution de nouvelles équipes, de nouvelles relations avec les fournisseurs et de nouveaux protocoles. La nouveauté et la croissance rapide de cette industrie naissante représentent une opportunité incroyable pour les acteurs de la menace qui exécutent des attaques de compromission des e-mails professionnels (BEC).

Les acteurs de la menace ciblent le manque de familiarité et de politiques pour inciter les employés de l’industrie du cannabis, via des e-mails de phishing, à effectuer des actions et/ou à divulguer des informations confidentielles, y compris des informations d’identification et des mots de passe.

En 2019, le FBI a signalé plus de 1,7 milliard de dollars de pertes dues aux campagnes BEC, et cela ne représente que les incidents signalés par les entreprises.

La menace

Un BEC est un type spécifique de phishing conçu pour se faire passer pour un véritable employé, souvent un cadre, afin d’inciter d’autres employés ou fournisseurs à transférer des paiements vers des comptes bancaires inconnus qui sont rapidement épuisés, laissant les fonds difficiles à récupérer.

C’est en partie du phishing, en partie de l’ingénierie sociale intra-entreprise, utilisant la connaissance de la situation des relations d’affaires pour manipuler le mouvement de l’argent.

Ce qui rend le BEC particulièrement difficile à identifier et à signaler, c’est que l’auteur de la menace travaille souvent avec le compte de messagerie d’un authentique employé de l’industrie du cannabis.

Presque tous les BEC réussis commencent par une campagne de phishing dans laquelle un employé est trompé en lui faisant croire qu’il doit fournir son nom d’utilisateur ou son adresse e-mail et son mot de passe en réponse à un e-mail apparemment authentique.

Les schémas de phishing sont si sophistiqués que certains des tests de phishing les plus efficaces incitent près de 100 % des destinataires à cliquer sur un lien malveillant.

L’utilisation constante et la dépendance à l’égard du courrier électronique ont amené de nombreux employés à perdre de vue la rapidité avec laquelle ils peuvent être dupés. Par exemple, un test de phishing proposant un abonnement gratuit à Netflix en tant qu’avantage pour les employés a trompé près de 100 % de ses destinataires.

Au-delà des e-mails de phishing séduisants, il existe des astuces banales et très efficaces qui suggèrent que le compte Microsoft Outlook d’un employé nécessite une mise à jour ou une alerte concernant un grand nombre de fichiers supprimés d’un lecteur partagé.

Une fois qu’un employé est tombé dans le piège de l’e-mail de phishing initial et a fourni ses informations d’identification, l’auteur de la menace peut se connecter au compte de messagerie de cet employé et commencer à se faire passer pour lui.

Il est beaucoup plus facile d’identifier une escroquerie lorsqu’elle provient d’une personne inconnue associée à une entreprise non reconnue, mais il est beaucoup plus difficile de discerner qu’un collègue ou que le contact des comptes créditeurs d’un fournisseur familier n’est pas celui qu’il prétend être lorsqu’on reçoit un message. à partir de leur véritable adresse e-mail.

La redirection

Une fois que la tentative de phishing a réussi et que l’auteur de la menace est connecté avec un compte de messagerie authentique, l’acteur commence à explorer. Cela comprend souvent la collecte d’anciennes factures et la recherche des employés, fournisseurs ou clients qui sont les meilleures cibles pour un programme BEC.

Une tactique préférée consiste à identifier un nouveau directeur financier ou un nouveau fournisseur, toute partie qui n’est pas familière avec les pratiques de routine ou peu susceptible d’être suffisamment sophistiquée pour mettre en place des contrôles appropriés afin d’empêcher la redirection du paiement vers le compte de l’auteur de la menace.

Les auteurs de menaces établissent ensuite des règles dans le compte de messagerie, rendant les e-mails envoyés et reçus pratiquement invisibles pour l’employé de cannabis authentique pendant qu’il continue à utiliser son compte. Ces règles peuvent rediriger les e-mails vers une troisième adresse e-mail ou pousser discrètement l’e-mail vers des dossiers standard trouvés, et souvent inutilisés, dans chaque compte de messagerie, tels que les flux RSS ou l’historique des conversations dans Outlook.

Ces étapes peuvent permettre à un acteur malveillant de rester dans un compte pendant des semaines, voire des mois, redirigeant efficacement les paiements sans être détectés. Souvent, en raison du décalage entre la facture et le paiement, il peut s’écouler plusieurs mois et des dates de paiement manquées avant que la redirection des fonds ne soit identifiée.

Les retombées sont souvent une affaire de pointage du doigt consistant à déterminer quel côté d’un paiement redirigé est en faute. Un vendeur de l’industrie du cannabis demande le paiement des services fournis alors que le dispensaire affirme qu’il ne faisait que suivre les instructions de paiement mises à jour qu’il a reçues dans un e-mail du vendeur. Le fournisseur soutient qu’il n’existe pas de tels e-mails – parce que les e-mails ont été supprimés par l’acteur de la menace, ils attendent toujours un paiement pour leur service.

Le dispensaire lance une enquête médico-légale et fait appel à un avocat pour déterminer avec certitude que leur compte de messagerie n’a pas fait l’objet d’un accès non autorisé par un acteur malveillant. Et la situation s’aggrave – en termes de coûts, de perturbation des activités, d’atteinte à la réputation et de ressources.

Exigences de conformité des États intégrées au BEC

Outre la bataille trop courante qui s’ensuit entre deux parties victimes d’un BEC décrite ci-dessus, il existe des lois sur la conformité en matière de violation de données à traiter après la découverte d’un BEC.

Comme si l’industrie du cannabis n’avait pas suffisamment de lois pour suivre, il est impératif de considérer que lorsqu’un acteur non autorisé se trouve dans le compte de messagerie d’un employé du cannabis, il peut être considéré en vertu de la loi comme accédant ou téléchargeant des informations qui sont considérées comme des informations personnelles en vertu de la loi applicable. lois sur la notification des violations de données.

Chaque État a une loi sur la notification des violations de données, en vertu de laquelle des réponses spécifiques sont requises de la part d’une société de cannabis touchée, y compris la notification potentielle des personnes concernées, la notification des procureurs généraux et l’offre de services de surveillance du crédit aux personnes concernées.

Ces lois, ainsi que de nombreux contrats, obligent un fournisseur à aviser ses clients commerciaux dans une telle situation. Le résultat est une épée à double tranchant – il y a un coût à enquêter et à répondre à un BEC et un coût encore plus lourd à ignorer cette responsabilité légale uniquement pour que cette décision entraîne un litige ou une enquête réglementaire.

Et ensuite ?

Chaque jour, dans le domaine du cannabis, il y a de nouveaux développements bien connus. Nouvelles embauches effectuées, nouvelles fusions finalisées, nouvelles relations forgées et nouveaux marchés ouverts. En conséquence, c’est un terrain de plus en plus fertile pour les attaques BEC.

Il existe une myriade d’étapes importantes que les membres sophistiqués de l’industrie peuvent prendre – de la prévention, comme l’authentification multifacteur, à l’atténuation, comme la mise en œuvre d’une politique de conservation des dossiers solide et d’un protocole de changement de paiement.

Des conseillers techniques et juridiques expérimentés doivent être retenus pour aider au processus de navigation dans les lois et les améliorations de sécurité applicables aux entreprises lors de l’évaluation des exigences réglementaires et des garanties techniques, en particulier après la détection d’une compromission de messagerie professionnelle. ϖ

Leave A Comment