Les pertes découlant des fraudes de type fraude au président (Business Email Compromise, ou BEC) et fraudes par courriels compromis (EAC) ont atteint près de 1,3 milliard $ US en 2018, soit près du double du montant perdu l'année précédente (675 millions $ US), selon le rapport Internet Crime Report (ICR), réalisé par le FBI américain.
Ces valeurs sont basées sur plus de 20 300 rapports d'escroquerie du BEC/EAC que le Centre des plaintes du FBI pour les crimes sur Internet (IC3) a traité l'année dernière. Ce nombre constituait d’ailleurs une hausse par rapport aux 15 700 rapports traités en 2017. Les pertes dues à ce type de fraude ont augmenté rapidement ces dernières années, ayant également doublé entre 2016 et 2017.
Les pertes globales causées par le vol, la fraude et l'exploitation par Internet ont également doublé l'an dernier, passant de 1,42 milliard $ US en 2017 à 2,7 milliards $ US en 2018. Tout comme en 2017, les escroqueries du BEC/EAC ont représenté près de la moitié des pertes totales de l'année dernière. En 2018, les fraudes romantiques ou de confiance et les escroqueries en matière d'investissement se sont classées respectivement au deuxième et au troisième rang, loin derrière.
Bonne nouvelle : l'IC3 a crédité son Recovery Asset Team (RAT) d'avoir récupéré avec succès 191 millions de dollars US perdus dans des escroqueries BEC depuis que l'équipe a été créée spécifiquement à cette fin en février 2018. Le RAT a traité 1061 incidents ayant causé des pertes d'une valeur de plus de 257 millions de dollars US, ce qui lui a permis d'atteindre un taux de recouvrement de 75 %.
Une escroquerie typique du BEC consiste à duper le service des finances d'une entreprise pour qu'il effectue un paiement par virement. Il est important de noter que la cible doit être dupée en croyant que la demande provient d'un cadre de l'entreprise ou d'une entreprise externe qui fait affaire avec elle, de sorte que l'escroquerie implique une mesure d'ingénierie sociale, de mystification par courriel ou d'intrusion informatique. Contrairement au BEC, qui s'adresse aux entreprises, la fraude EAC vise les particuliers.
Au-delà des BEC
Dans l'ensemble, l'IC3 a reçu plus de 351 000 signalements de vol, de fraude et d'exploitation par Internet l'an dernier, soit une hausse par rapport aux 301 000 de l'année précédente. Cela dit, on peut affirmer sans risque de se tromper que beaucoup plus de crimes ne sont pas signalés, de sorte que les chiffres réels seront probablement beaucoup plus élevés.
Quoi qu'il en soit, le type de crime le plus souvent signalé était l'escroquerie pour non-paiement/non-livraison, suivie de l'extorsion. Le nombre de plaintes pour fraude liée à l'extorsion de fonds - où les agresseurs exigent de l'argent en menaçant par exemple les victimes de dévoiler des documents sensibles, ou de lancer des attaques DDoS à leur endroit - a augmenté de 242 % par an.
Entre-temps, le nombre de victimes déclarées des rançongiciels est passé d'un peu moins de 1800 en 2017 à 1500 l'an dernier. Ceci dit, les pertes entrainées par ces cybercrimes ont augmenté considérablement, passant de 2,3 à 3,6 millions $ US, et ce, sans tenir compte des autres coûts tels que la perte d'entreprises, de productivité, etc. Évidemment, le montant réel pourrait être plus élevé, puisqu’on n’inclut ici que les cas qui ont été signalés à la CI3.