La fausse sollicitation met en lumière les attaques croissantes contre les fonctionnaires fédéraux

Nagesh Rao était assis à New York pour rendre visite à sa famille lorsqu’un membre de son équipe du Bureau de l’industrie et de la sécurité au siège du département du commerce l’a appelé au sujet d’une grande boîte qui venait d’arriver.

Le directeur de l’information du BRI ne s’attendait pas à une livraison donc, inutile de le dire, il a été un peu surpris.

Lorsque son équipe l’a ouvert, ils ont trouvé pour environ 10 000 $ d’ordinateurs portables Lenovo et de tablettes Microsoft Surface.

À ce moment-là, Rao savait que les fraudeurs étaient un peu trop proches pour être rassurés.

« Je ne connaissais pas l’étendue de la fraude. Il y a environ 3 à 5 mois, j’ai reçu des e-mails et des demandes LinkedIN concernant une sollicitation dans la rue. Mais je n’en avais pas là-bas, alors je l’ai signalé à notre équipe de sécurité », a déclaré Rao. “Certaines entreprises ont pensé qu’il s’agissait d’une véritable sollicitation et ont expédié des ordinateurs portables et nous ont facturé l’expédition dans le cadre de la fausse demande de prix.”

Rao est victime de la chasse à la baleine – un nouveau terme que tous les cadres supérieurs et les personnes nommées politiques doivent ajouter à leur lexique.

Pensez à une attaque de phishing, mais beaucoup plus importante. Pensez aux casinos et aux gros dépensiers, communément appelés « baleines ».

Un escroc a lancé une demande de devis sur du papier à en-tête du BIS au nom de Rao et l’a envoyée à de plus petites entreprises.

Le fraudeur a appelé la petite entreprise, essayant de lui faire envoyer l’équipement à une adresse à Atlanta. Les propriétaires de l’entreprise ont décidé que quelque chose n’allait pas et ont donc envoyé l’équipement à Washington, DC

«J’ai maintenant eu environ une demi-douzaine de fournisseurs qui m’ont contacté à ce sujet au cours des trois ou quatre derniers mois, y compris un malheureux propriétaire de petite entreprise qui a envoyé du matériel au siège du commerce, au lieu de l’adresse à Atlanta, parce qu’ils étaient comme , eh bien, nous ne sommes pas sûrs de l’adresse qu’ils pensaient suspecte, mais je vais l’envoyer à Nagesh », a déclaré Rao lors de la récente conférence ACT-IAC Emerging Technology and Innovation. “Nous avons dû le renvoyer et dire” non, ce n’est pas correct “. Mais ce sont des choses comme ça qui se passent et donc je dois être capable de sauter assez rapidement.

C’était la quatrième ou la cinquième fois que Rao était ciblé par ces escrocs ou similaires, émettant de faux appels d’offres. Il a dit que ce n’était pas seulement lui, mais plusieurs dirigeants du commerce avaient fait l’objet de ces fraudeurs.

Rao a déclaré qu’il avait essayé de faire passer le mot au cours des derniers mois pour s’assurer que les vendeurs sachent qu’il s’agissait d’une arnaque.

Il travaille également avec l’inspecteur général du Commerce sur une enquête.

“C’est que ça devient un peu trop fou quand on vous envoie l’équipement”, a déclaré Rao.

Rao a également publié des détails, y compris le faux RFQ, sur LinkedIn afin de faire passer le mot à la communauté.

Alors que les escrocs ont souvent utilisé le gouvernement fédéral comme couverture, pensez aux faux appels de l’IRS ou de l’administration de la sécurité sociale, c’est l’une des premières tentatives, ou du moins la plus publique, où les fraudeurs se font passer pour un cadre supérieur.

Les obstacles à la fraude sont réduits

Linda Miller, fondatrice et PDG du groupe Audient et experte en fraude, a déclaré que la chasse à la baleine se produit malheureusement trop souvent.

« Les acteurs de la fraude ciblent les hauts fonctionnaires pour des raisons évidentes. Ce sont des personnes qui ont plus d’influence sur l’organisation, en particulier sur le budget, l’accès à l’argent et d’autres choses de valeur. Ce sont des cibles de grande valeur pour les acteurs de la menace », a déclaré Miller, ancien directeur exécutif adjoint du Pandemic Response Accountability Committee (PRAC) et directeur adjoint du Government Accountability Office, qui se concentre sur les risques de fraude et les problèmes d’intégrité des programmes. “Si vous êtes une personne âgée dans une organisation, plus vous avez probablement de présence en ligne, que vous ayez pris la parole lors de conférences ou d’entretiens vidéo ou audio, et cela permet aux fraudeurs d’usurper plus facilement par des contrefaçons profondes ou même d’imiter votre écriture ou style de parole. Le ciblage de hauts fonctionnaires, que ce soit dans le secteur public ou privé, est très courant en ce moment.

Comme les agences l’ont vu pendant la pandémie, le taux de fraude subi par les programmes fédéraux a incroyablement augmenté. Une partie de la raison est les lacunes des programmes de protection contre les mauvais acteurs, mais plus directement, la faible barrière à l’entrée pour perpétrer ces attaques.

Miller a déclaré que n’importe qui peut aller sur le Web sombre ou ouvrir le Web profond et obtenir des outils, des manuels et de l’aide.

« Quelqu’un qui avait besoin de compétences autrefois n’en a plus besoin aujourd’hui. Il existe une fraude en tant que service, et vous pouvez même utiliser ChatGPT pour, par exemple, rédiger une demande de devis dans la même langue que celle-ci et leur donner un échantillon. Ce sera tellement similaire, aura les caractéristiques de l’organisation, donc pour les fournisseurs qui répondront, cela semble légitime. Il est beaucoup plus facile de créer de faux documents, appels d’offres, e-mails, factures, etc.

Miller a déclaré qu’elle n’était au courant d’aucune donnée sur le taux de réussite de ces types d’attaques, mais il existe de nombreuses preuves anecdotiques d’entreprises perdant des dizaines de milliers ou des centaines de milliers de dollars au profit de ces escrocs.

« Cet exemple du Commerce m’inquiète. C’est le genre de chose dont je parle depuis des années. La sophistication augmente et est un vrai problème », a-t-elle déclaré. « Je crains que les agences ne soient pas préparées à un type de stratagèmes de fraude plus coordonnés et sophistiqués, comme dans le cas de la RFQ. Je ne pense pas que ce soient les types de stratagèmes auxquels les évaluations des risques de fraude envisagent. Si je suggérais cela, les gens penseraient que je suis fou et diraient que cela n’arrivera pas, alors pourquoi concevoir des scénarios et des contrôles autour de cela. Mais ça se fait.

En ce qui concerne le point de Miller sur les cadres fédéraux ciblés, Rao a déclaré lorsqu’il était à la Small Business Administration il y a quelques années, des escrocs se sont fait passer pour le chef de cabinet de l’agence demandant au directeur financier d’envoyer des centaines de milliers de dollars sur un compte spécifique. À son crédit, le directeur financier a appelé le chef de cabinet avant de transférer de l’argent, sachant que quelque chose n’allait pas. Les escrocs n’ont pas réussi, mais ce n’est qu’un autre exemple des efforts déployés par ces mauvais acteurs.

Il s’agit plutôt d’un exemple classique d’attaque à la baleine.

Comment les fédéraux peuvent-ils se protéger ?

Miller a déclaré que les cadres supérieurs et les agences peuvent faire certaines choses pour mieux se protéger.

Premièrement, les dirigeants peuvent être plus conscients de leur présence en ligne, qu’il s’agisse de communications vidéo, audio ou écrites.

Deuxièmement, ils doivent travailler en étroite collaboration avec leurs cyber-équipes et utiliser des outils de reconnaissance des cyber-menaces.

“Si ce stratagème provient d’un forum sur le dark web, il existe des cyber-entreprises à la recherche de bavardages liés à votre agence ou à votre nom. Ils pourraient dire : « Nous avons relevé un fil de discussion intéressant sur une sorte de programme qui pourrait être planifié ou mis en œuvre autour de cette personne ou de cette organisation », a déclaré Miller. « Vous pouvez surveiller ce que ces gars font et où ils en parlent. C’est la beauté de l’open source car il n’y a pas d’honneur parmi les voleurs.

Miller a déclaré que si un cadre se trouvait être la cible d’une fraude, elle a recommandé d’appeler d’abord le FBI et l’inspecteur général de votre agence peu de temps après.

En ce qui concerne la petite entreprise, l’équipe de Rao a appelé le propriétaire de la petite entreprise et a confirmé qu’elle avait été dupée en envoyant les ordinateurs portables, mais heureusement sans aucun mal.

“Le propriétaire de la petite entreprise était choqué et reconnaissant que nous allions rendre l’équipement”, a déclaré Rao. “Nous leur avons dit que nous n’allions pas les rembourser pour l’expédition, mais nous nous assurerions que les ordinateurs portables leur reviennent.”

Rao et eux ont eu de la chance cette fois-ci, mais Miller a déclaré qu’il était clair que les dirigeants fédéraux devaient se protéger pour ne pas être harponnés par des escrocs.