Campagnes de fraudes par nom de sosie de domaine et par virement bancaire

Numéro : IN17-004
Date : Le 18 Octobre 2017

Objet

La présente note d’information a pour but d’attirer l’attention sur des campagnes de fraudes par sosie de nom de domaine et par virement bancaire.

On a constaté récemment une hausse considérable du nombre de domaines sosies signalés par des partenaires. Ces domaines sont pour la plupart liés à des tentatives de fraudes par virement bancaire. De telles fraudes sont de plus en plus courantes, tant au Canada qu’à l’étranger, et peuvent entraîner d’importantes pertes financières chez les organisations touchées. Divers stratagèmes sont employés pour perpétrer ces fraudes, dont l’utilisation de domaines conçus pour imiter ceux de votre organisation. La présente note d’information décrit ce stratagème.

Évaluation

Fraude par virement bancaire / Compromission de courriel d’affaires

La fraude par virement bancaire est une escroquerie dans laquelle des criminels utilisent des techniques de piratage psychologique et d’autres pratiques trompeuses pour convaincre des organisations d’effectuer un virement bancaire. Des noms de domaine trompeurs pour l’adresse électronique ou des comptes de cadres supérieurs qui ont été compromis sont souvent utilisés pour envoyer des factures frauduleuses aux membres de l’organisation responsables d’autoriser les virements bancaires. Contrairement aux fraudes par hameçonnage traditionnelles, les courriels liés à la fraude bancaire ont peu de chances de déclencher les filtres antipourriel, car ils sont ciblés au lieu d’être envoyés en masse.

Les personnes qui commettent ce type de fraude font souvent des recherches au sujet des responsabilités des employés en consultant l’information ouverte à leur sujet afin de comprendre la structure organisationnelle de leur cible. Prenons un exemple. Un agent malveillant inspecte le site Web d’une organisation, par exemple la page des contacts. Grâce à l’information qui s’y trouve, il envoie un courriel frauduleux à l’employé chargé des finances en prétendant appartenir à la même organisation pour lui demander d’effectuer une transaction financière.

Comment fonctionnent les tactiques de piratage psychologique?

Le piratage psychologique, dans le contexte de la cybersécurité, fait appel à des techniques psychologiques dont le but est de manipuler une personne à faire une action prédéterminée, par exemple, cliquer sur une pièce jointe contenant un programme malveillant. Pour mener des activités malveillantes dans le cyberespace, les auteurs de menaces peuvent procéder à une opération de reconnaissance dans le but d’adapter leurs techniques aux victimes ciblées. Au cours de cette reconnaissance, ils peuvent recueillir les renseignements disponibles sur le site Web d’une organisation, sur les sites Web de ses partenaires ou dans les médias sociaux dans le but de comprendre la structure hiérarchique d’une organisation. Cela peut aussi comprendre les cartes professionnelles, les renseignements d’inscription à une conférence ou les renseignements obtenus au moyen d’une précédente compromission dans le cyberespace. Le but est d’obtenir des renseignements sur les objectifs, les projets, les contrats, les partenaires et les clients d’une organisation.

Les entreprises qui mènent des affaires à l’échelle internationale sont plus susceptibles d’être ciblées puisque les virements vers des banques situées outremer sont courants. Les grandes et moyennes entreprises de commerce de détail sont également souvent visées puisqu’elles ont un grand volume de facturation entre de nombreux revendeurs et distributeurs. L’une des techniques qui semblent de plus en plus utilisées dans le cadre des fraudes par virement bancaire consiste à utiliser un « sosie du nom de domaine » pour donner l’apparence d’une provenance légitime au courriel envoyé par les auteurs de menaces.

Qu’est-ce qu’une campagne de fraude par sosie de nom de domaine?

Un sosie du nom de domaine est un nom de domaine enregistré légalement qui a été créé par des auteurs de menaces parce qu’il semble presque identique au nom de domaine légitime d’une organisation visée. Dans la plupart des cas, ces sosies de nom de domaine sont liés à des tentatives de fraude par virement bancaire. Un sosie de nom de domaine peut faciliter une telle activité puisqu’il peut être perçu à tort comme légitime par les personnes responsables d’autoriser les virements bancaires au sein de l’organisation. Par exemple, l’agent malveillant peut enregistrer le nom de domaine « mon0rganisation.ca » (où le « o » est en réalité un 0) pour tenter de tromper les utilisateurs du site « monOrganization.ca ».

Le fait que la reconnaissance des auteurs de menaces semble supposer la collecte de renseignements au sujet de l’organisation et des personnes qui y travaillent donne à penser qu’il est recommandé de réévaluer la quantité et le type d’information rendu disponible par l’organisation sur son site Web. De plus, puisque les médias sociaux semblent constituer l’une des sources examinées pour tirer des renseignements sur l’entreprise, il pourrait être dans l’intérêt des organisations de lire les conseils du Commissariat à la protection de la vie privée du Canada en matière de « Protection des renseignements personnels en ligne » pour apprendre des stratégies pouvant servir à réduire le risque que des renseignements personnels soient utilisés à des fins frauduleuses.

Mesures Recommandées

Le CCRIC recommande aux organisations d’examiner les mesures d’atténuation ci-dessous :

Références :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :