Twitter, victime de vishing en 2020
Coût de l’attaque : plus de 118 000 dollars de bitcoins volés aux utilisateurs de la plateforme, et une chute du cours de l’action Twitter de 4%
Durant l’été 2020, 130 comptes Twitter de personnes célèbres, tous certifiés, ont été compromis. Les comptes d’Elon Musk, Barack Obama, Kim Kardashian ou encore Warren Buffet ont relayé une demande de versement en bitcoins sur un portefeuille donné, promettant le doublement de la somme transférée. Pour obtenir les informations d’administration de ces comptes certifiés, les escrocs ont procédé en 2 étapes. D’abord par téléphone (vishing), en ciblant des salariés que Twitter qualifie de « niveau inférieur », n’ayant pas accès aux outils d’administration. Ceux-ci ont divulgué leurs informations d’identification, permettant aux pirates d’ensuite contacter des salariés plus haut placés, disposant d’une autorisation pour l’utilisation d’outils d’administration. Ils ont ainsi réussi à pénétrer les systèmes internes de l’entreprise. À la suite de cet incident, raconté sur le blog de Twitter, la société a annoncé le déploiement de nouveaux protocoles pour éviter d’autres attaques d’ingénierie sociale, en mettant notamment en place des clés de sécurité résistantes au phishing et en dispensant aux salariés en lien avec les utilisateurs et les clients une formation dédiée.
Crelan, victime de fraude au président entre 2015 et 2016
Coût de l’attaque : 75,8 millions de dollars
La banque belge Crelan a été victime d’arnaque au président. L’e-mail de celui-ci, compromis, a été utilisé par des criminels pour soutirer 75,8 millions de dollars à l’organisation, en prétextant des virements à effectuer « en urgence » vers un compte frauduleux. Le président de la banque, Luc Versele, explique la fraude par « des fautes humaines ». À l’origine : 2 salariés qui n’ont pas observé le principe de contrôle d’opérations financières par une tierce personne.
Facebook et Google, victimes de BEC (business e-mails compromission) entre 2015 et 2017
Coût de l’attaque : plus de 100 millions de dollars (récupérés en partie)
En 2017, le magazine Fortune révèle qu’un hacker lituanien a escroqué Facebook et Google. Pour parvenir à ses fins, le coupable s’est simplement fait passer par message pour un salarié de Quanta Computer, une entreprise d’électronique taïwanaise avec laquelle collaborent régulièrement les entreprises victimes. À coups de faux contrats, de fausses factures et de fausses relances adressés aux services comptables, le pirate a réussi à obtenir 100 millions de dollars. Pour ne pas éveiller les soupçons, il s’était même créé des comptes bancaires à Taïwan. Une fois le hacker démasqué, Google et Facebook ont réussi à récupérer la majorité des fonds versés.
Sony Pictures Entertainment, victime de spear phishing en 2014
Coût de l’attaque : plus de 100 millions de dollars
À l’automne 2014, 5 films produits par Sony Pictures Entertainment sont dévoilés sur des plateformes de téléchargement avant leur sortie officielle au cinéma. À l’origine de cette fuite, le groupe de pirates Guardians of Peace. Pour s’emparer des données de Sony Pictures Entertainment, les hackers se sont fait passer par e-mail pour des équipes d’Apple. En demandant à certains salariés de vérifier leur identifiant Apple, ils ont réussi à s’introduire sur les serveurs de l’entreprise, à s’emparer de plus de 100 téraoctets de données puis à effacer les disques durs des machines infectées. Entre le manque à gagner lié aux sorties en salles, les coûts liés à l’enquête pour identifier les hackers et le remplacement du matériel infecté, les pertes sont estimées à plus de 100 millions de dollars.
Les coupables ne sont toujours pas formellement identifiés. Les États-Unis accusent le gouvernement nord-coréen. Des accusations rejetées par la République populaire démocratique de Corée.
