beazley.security
©2025 Beazley Security. Tous droits réservés
Les compromissions d’adresses mail professionnelles (BEC)
Bonnes pratiques en matière de prévention
Commencer
Introduction
Edge Device Exploitation: A Threat to Watch
Putting the Risks in Context: Case Studies & Data
What CISOs Should Know: Best Practices and Technical Solutions
To Learn More
How can you reduce the risk of financial losses?
What is business email compromise?
Business email compromise (BEC) usually involves social engineering techniques. Most often, a cybercriminal uses stolen email credentials or a spoofed email address that looks like a trusted address.
The goal is to trick an employee into bypassing normal procedures to gain wanted access to valuable assets.
The cybercriminal may steal funds by misdirecting electronic payments, or steal sensitive data, such as tax or pay information. Or they may convince the employee to open a malicious link or attachment, give up a password, or approve access.
We provide clients with the experience, training, and technology resources needed to reduce their risk of financial or data loss from a BEC.
Business email compromise is a targeted cyberattack where threat actors impersonate trusted contacts such as executives, suppliers, or partners to deceive employees into transferring money, sharing sensitive data, or granting access. These scams are often timed to real business activities, making them hard to spot. Below, we explore the most common methods attackers use.
How BEC occurs
Domain and Email spoofing
A cybercriminal conducts a phishing attack by using an email address that closely resembles a trusted source, often impersonating a legitimate business or individual. To increase credibility, they may also create a fake website or email domain that looks nearly identical to the real one, with subtle differences that are difficult to detect at first glance, tricking the victim into believing the communication is authentic.
Stolen email credentials
Using stolen email credentials, the cybercriminal can view all conversations in the inbox, making impersonation easier. The cybercriminal can also research other employees, monitor ongoing conversations, particularly around invoices or payments, and take steps to hide their activities.
Exploit the victim's trust
Having established trust, the cybercriminal can encourage the user to bypass normal procedures and security through a variety of social engineering techniques. Employees targeted in these attacks are often in HR, finance, or have the authority to approve the transfer of large sums of money (particularly in smaller organizations).
CEO fraud
Fraudulent instruction
Payroll redirect
Invoice manipulation
Loan fraud
Urgent requests
Posing as the CEO, the cybercriminal instructs the employee to make an immediate payment because of a confidential transaction, such as an acquisition or legal settlement.
Posing as a vendor or supplier, the cybercriminal instructs the employee to change payment instructions for an electronic payment, so it goes to an account controlled by the cybercriminal. Professional services firms are particularly at risk for incidents where the cybercriminal poses as a party in real estate/property sales or other transaction in order to misdirect payments.
The cybercriminal instructs an employee HR to change bank deposit instructions for employee pay.
The cybercriminal may pose as a vendor or supplier and send fraudulent invoices to misdirect payments, or request refunds for recently completed transactions.
The cybercriminal may impersonate several employees and subsequently take out several large loans in their name, with losses potentially in the six-figure range.
Other common forms of BEC include urgent requests to send sensitive data, such as employee tax statements, or to purchase gift cards, particularly common at smaller organizations.
Common forms of BEC
Business email compromise can take several forms, each designed to manipulate trust and urgency. Below are the most frequent tactics used by attackers.
Actively monitor for account takeover attempts
Missed payments may not be noticed for 45 or 60 days, so it’s important to look for signs earlier.
Restrict login attempts
Set an alert for multiple unanswered MFA prompts to prevent MFA fatigue. You can set an access policy to lock after 5 or 10 unanswered attempts.
Monitor changes to logging and configuration
Unusual changes to existing rules (such as those involving the RSS folder) or new external forwarding rules may be early signs of activity related to BECs.
Phishing-resistant MFA
Not all forms of MFA are equally secure. MFA should be configured to protect against social engineering attacks. While one-time passcodes and push-based notifications are not as resistant to these attacks, FIDO2 hardware tokens have been more successful. Block legacy email protocols that don’t support modern authentication.
Reduce exposure to phishing emails
Implement measures that could change the way suspicious emails are handled (SPF, DKIM, DMARC). Consider blocking email from new domains, which may have been set up by cybercriminals for phishing. Patch on-premises email servers to deprive cybercriminals of any low-hanging fruit.
Improve your email security
Properly securing email accounts and better detecting phishing will help protect against BEC.
Verify requests
Train employees on your procedures for authorized requests. Requests to change payment instructions or send sensitive data should be checked using out-ofband verification: don’t trust contact information the cybercriminal provided.
Avoid password recycling
Train employees on good password practices, including not reusing passwords for different accounts. Don’t recycle the same password for different work applications or for work and personal accounts. Using a password manager makes it easier to have strong, unique passwords for every account.
Recognize phishing emails and BEC attempts
Train employees to detect spoofed domain names and not to be confused by subdomains. Be alert for emails making unusual requests, particularly with a sense of urgency or secrecy.
Employees are the first line of defense
Train your employees to recognize and resist attempts at BEC, look carefully at unusual requests, use out-of-band verification, and resist the ways cybercriminals try to overcome your multi factor authentication (MFA).
How to protect against BEC
Awareness and preparedness are keys to success
While there are no silver bullets, understanding the risks, regularly training staff, and having well-defined policies for certain behaviors are key steps in preventing a BEC event. Additionally, tools and technologies can help identify and filter out suspicious activity to minimize potential risks ahead of human interactions.
Train your staff on what to watch out for and how to verify requests
©2025 Beazley Security. All rights reserved
Contact us
We help clients build cyber resilience
Beazley Security is a global cyber security firm committed to helping clients develop true cyber resilience: the ability to withstand and recover from any cyberattack.
We combine decades of cyber security protection, detection, response, and recovery expertise with the actuarial precision and risk mitigation capability of our parent company, Beazley Insurance.
Find out more about our cyber security solutions.
Mettez en place une procédure de vérification hors bande pour confirmer l’identité de la personne qui demande un transfert de fonds. Si la demande est envoyée par e-mail, contactez directement la personne en composant un numéro de téléphone préétabli pour obtenir une confirmation verbale. Si la demande est faite par téléphone ou par fax, demandez une confirmation par e-mail en envoyant un message sur une adresse mail dont l’exactitude est connue. Ne répondez pas à l’e-mail et n’effectuez pas de « vérification » en contactant directement le numéro de téléphone figurant dans cet e-mail. Si la demande est frauduleuse, le criminel aura également fourni de fausses coordonnées. Mettez en place un processus de confirmation des demandes pour les employés fréquemment en déplacement et habilités à demander des transferts de fonds. Par exemple, définissez un code prédéterminé à inclure dans toute demande et non documenté au sein du réseau. Dispensez périodiquement des formations anti-fraude qui apprennent aux employés à détecter et à éviter les escroqueries par hameçonnage et ingénierie sociale. Limitez le nombre d’employés habilités à soumettre ou à approuver des virements bancaires. Mettez en place une double approbation pour les transactions financières. Les deux parties responsables des doubles approbations ne doivent pas avoir de relation superviseur/subordonné, car cela nuirait à l’efficacité du processus. Mettez en place une authentification à deux facteurs pour accéder à distance à votre système de messagerie. Si vous ne disposez pas de procédures écrites, élaborez-en. Vérifiez périodiquement vos procédures et processus écrits pour vous assurer qu’ils sont adaptés à l’évolution des techniques d’ingénierie sociale.
Formez les employés à votre processus de vérification hors bande. Si un vendeur ou un fournisseur demande à modifier des détails de son compte (y compris, mais sans s’y limiter, les numéros d’acheminement bancaire, les numéros de compte, les numéros de téléphone ou les coordonnées) : Confirmez toutes les demandes en appelant directement le vendeur ou le fournisseur. Veillez à utiliser un numéro de téléphone que le vendeur ou le fournisseur a fourni avant la réception de la demande. Avant d’apporter des modifications, envoyez un avis de réception de la demande à une autre personne que le demandeur initial. Exigez l’examen de toutes les demandes par un superviseur ou un approbateur de niveau supérieur avant d’apporter des modifications. Si la demande émane d’un fournisseur, vérifiez si les pratiques commerciales ont changé : Les factures précédentes ont-elles été envoyées par la poste avant de recevoir la dernière par e-mail ? Les paiements antérieurs étaient-ils effectués par chèque tandis que la demande concerne un virement bancaire ? Un contact professionnel actuel a-t-il demandé à être contacté via son adresse e-mail personnelle alors que toute la correspondance officielle antérieure passait par l’adresse e-mail de l’entreprise ? L’adresse ou le compte bancaire auquel le paiement doit être envoyé diffèrent-ils des paiements précédents effectués à ce vendeur ? Méfiez-vous des petites modifications d’adresses e-mails qui imitent des adresses e-mails légitimes : Par exemple : .co vs. .com ; abc-company.com vs. abc_company.com ; ou hijkl.com vs. hljkl.com. Signalez tout cas suspect à l’InfoSec ou au service informatique pour examen. Si la demande concerne un transfert de fonds, assurez-vous qu’elle soit conforme à la manière dont les instructions de transfert de fonds précédentes ont été demandées : Le directeur général ou le directeur financier demande-t-il directement un virement bancaire ? La demande est-elle cohérente avec les virements antérieurs : y compris le moment, la fréquence, le destinataire et le pays vers lequel les virements antérieurs ont été envoyés
EN
DE
French
Deutsch
En quoi consiste la compromission d’une adresse mail professionnelle ?
La compromission d’e-mail professionnel (BEC) implique généralement des techniques d’ingénierie sociale. En règle générale, un cybercriminel utilise des identifiants volés ou une adresse mail usurpée qui ressemble à une adresse de confiance.
L’objectif est d’inciter un employé à contourner les procédures normales pour accéder à des biens ou des données de grande valeur.
Nous fournissons à nos clients l’expérience, la formation et les ressources technologiques nécessaires pour réduire le risque de pertes financières ou de données dues à une attaque BEC.
Le cybercriminel peut voler des fonds en détournant des paiements électroniques, ou voler des données sensibles comme des informations fiscales ou salariales. Il peut également convaincre l’employé d’ouvrir une pièce jointe ou un lien malveillant, de communiquer son mot de passe ou d’approuver un accès.
Comment survient une compromission d’adresse mail professionnelle
Formes courantes de BEC
Comment se protéger contre les attaques BEC
Comment réduire le risque de pertes financières ?
Nous contacter
Un cybercriminel mène une attaque par hameçonnage en utilisant une adresse électronique qui ressemble beaucoup à une source fiable, souvent en usurpant l'identité d'une entreprise ou d'une personne légitime. Pour accroître sa crédibilité, il peut également créer un faux site web ou un faux domaine de messagerie qui semble presque identique au vrai, avec des différences subtiles qui sont difficiles à détecter au premier coup d'œil, trompant ainsi la victime en lui faisant croire que la communication est authentique.
Usurpation de domaine et d'e-mail
Informations d’identification de messagerie volées
L’utilisation d’identifiants volés permet au cybercriminel d’accéder à toutes les conversations présentes dans la boîte de réception et de faciliter ainsi l’usurpation d’identité. Le cybercriminel peut également rechercher d’autres employés, surveiller les conversations en cours, notamment en ce qui concerne les factures ou les paiements, et prendre des mesures pour dissimuler ses activités.
Abus de confiance de la victime
Une fois la confiance établie, le cybercriminel peut encourager l’utilisateur à contourner les procédures normales et la sécurité par le biais de diverses techniques d’ingénierie sociale. Les employés visés par ces attaques travaillent souvent aux ressources humaines ou au service financier, ou sont habilités à approuver le transfert d’importantes sommes d’argent (notamment dans les petites entreprises).
La compromission d'un courriel professionnel est une cyberattaque ciblée dans laquelle les auteurs de la menace se font passer pour des contacts de confiance, tels que des cadres, des fournisseurs ou des partenaires, afin de tromper les employés et de les amener à transférer de l'argent, à partager des données sensibles ou à accorder un accès. Ces escroqueries sont souvent synchronisées avec des activités commerciales réelles, ce qui les rend difficiles à repérer. Nous examinons ci-dessous les méthodes les plus courantes utilisées par les attaquants.
Arnaque au PDG
Se faisant passer pour le PDG, le cybercriminel demande à l’employé d’effectuer un paiement immédiat au titre d’une transaction confidentielle : acquisition ou règlement judiciaire.
Instruction frauduleuse
Redirection de la paie
Manipulation des factures
Fraude au prêt
Demandes urgentes
Le cybercriminel se fait passer pour un vendeur ou un fournisseur et demande à l’employé de modifier les instructions d’un paiement électronique afin que ce dernier soit versé sur un compte qu’il contrôle. Les entreprises de services professionnels sont particulièrement exposées aux incidents dans lesquels le cybercriminel se fait passer pour un tiers dans une vente immobilière ou une autre transaction dans le but de détourner des paiements.
Le cybercriminel demande à un employé des ressources humaines de modifier les instructions de dépôt bancaire du salaire des employés.
Le cybercriminel peut se faire passer pour un vendeur ou un fournisseur et envoyer des factures frauduleuses afin de détourner les paiements. Il peut également demander le remboursement de transactions effectuées récemment.
Le cybercriminel peut se faire passer pour plusieurs employés et contracter ensuite plusieurs prêts importants en leur nom, avec des pertes potentielles à six chiffres.
Parmi les autres formes courantes de BEC particulièrement fréquentes dans les petites entreprises figurent les demandes urgentes d’envoi de données sensibles, comme les déclarations fiscales des employés, ou d’achat de cartes-cadeaux.
La compromission du courrier électronique professionnel peut prendre plusieurs formes, chacune conçue pour manipuler la confiance et l'urgence. Voici les tactiques les plus fréquemment utilisées par les attaquants.
Les employés constituent la première ligne de défense
Formez vos employés à reconnaître les tentatives de BEC et s’y opposer, examinez attentivement les demandes inhabituelles, utilisez la vérification hors bande et résistez aux méthodes utilisées par les cybercriminels pour contourner l’authentification multifacteur (MFA).
Vérification des demandes
Formez les employés à vos procédures concernant les demandes autorisées. Les demandes de modification des instructions de paiement ou d’envoi de données sensibles doivent faire l’objet d’une vérification hors bande : ne vous fiez pas aux coordonnées fournies par le cybercriminel.
Évitez de réutiliser les mêmes mots de passe.
Formez les employés aux bonnes pratiques en matière de mots de passe, notamment en ne réutilisant pas les mêmes mots de passe sur des comptes différents. Ne réutilisez pas le même mot de passe dans différentes applications professionnelles ou avec des comptes professionnels et personnels. L’utilisation d’un gestionnaire de mots de passe facilite l’utilisation de mots de passe forts et uniques pour chaque compte.
Reconnaissance des mails de phishing et des tentatives de BEC
Formez les employés à détecter les noms de domaine usurpés et à ne pas se laisser tromper par les sousdomaines. Soyez attentif aux e-mails contenant des demandes inhabituelles, en particulier des demandes urgentes ou confidentielles.
Amélioration de la sécurité de votre messagerie
Une sécurisation adéquate des comptes de messagerie et une meilleure détection de l’hameçonnage amélioreront la protection contre les attaques BEC
Une MFA résistante à l’hameçonnage
Toutes les formes d’MFA n’offrent pas le même niveau de sécurité. L’MFA doit être configurée pour garantir la protection contre les attaques d’ingénierie sociale. Si les mots de passe à usage unique et les notifications basées sur la technologie « push » ne sont pas aussi résistants à ces attaques, les jetons matériels FIDO2 rencontrent plus de succès. Bloquez les anciens protocoles de messagerie qui ne prennent pas en charge l’authentification moderne.
Réduction de l’exposition aux mails de phishing
Mettez en oeuvre des mesures susceptibles de modifier le traitement des e-mails suspects (SPF, DKIM, DMARC). Pensez à bloquer les e-mails provenant de nouveaux domaines, qui peuvent avoir été créés par des cybercriminels à des fins d’hameçonnage. Appliquez les correctifs aux serveurs de messagerie sur site afin de compliquer la tâche des cybercriminels.
Surveillance active des tentatives de prise de contrôle des comptes
Comme les défauts de paiements peuvent passer inaperçus pendant 45 ou 60 jours, il est important de les repérer plus tôt.
Limitation des tentatives de connexion
Définissez une alerte pour plusieurs demandes d’MFA restées sans réponse afin d’éviter la fatigue de l’MFA. Vous pouvez définir une politique de blocage d’accès après 5 ou 10 tentatives sans réponse.
Contrôle des modifications apportées à l’enregistrement et à la configuration
Parmi les signes précurseurs d’une activité liée aux BEC figurent les modifications inhabituelles des règles existantes (telles que celles concernant le dossier RSS) ou de nouvelles règles de transfert externe.
La sensibilisation et la préparation sont les clés du succès
S’il n’existe pas de solution miracle, la compréhension des risques, la formation régulière du personnel et l’instauration de politiques bien définies concernant certains comportements constituent des étapes clés dans la prévention d’un événement de type BEC. Les outils et les technologies facilitent également l’identification et le filtrage des activités suspectes pour minimiser les risques potentiels avant toutes interactions humaines.
Formation de votre personnel à la vigilance et à la vérification des demandes
Mise en place des processus appropriés pour minimiser les pertes potentielles
Nous aidons nos clients à renforcer leur résilience cyber
Beazley Security est une société internationale de cybersécurité qui s’engage à aider ses clients à développer une véritable résilience cyber : la capacité de faire face à une attaque cyber, et de s’en remettre.
Nous combinons des décennies d’expertise en matière de protection, de détection et de réponse aux incidents cyber avec la précision actuarielle et la capacité d’atténuation des risques de notre société mère, Beazley Insurance.
En savoir plus sur nos solutions de sécurité cyber.
