Le phishing, le vishing, le smishing et d’autres tactiques malveillantes aident la criminalité organisée à voler des cargaisons. Aucune société spécialisée dans le fret, le transport et le stockage de marchandises ne semble à l’abri.
Autrefois, les escrocs suivaient les camions de transport et les détournaient. Aujourd’hui, ils utilisent le phishing, le vishing, le smishing, et l’usurpation d’identité pour trouver et détourner des cargaisons de valeur via les systèmes logistiques. C’est un défi pour les DSI et RSSI de suivre le rythme. Le dernier exemple en date de ces tactiques est une campagne menée par des cybercriminels qui utilisent des malwares diffusés par spear phishing pour pirater les systèmes informatiques des entreprises de transport afin de voler des cargaisons.
Proofpoint, qui a découvert cette offensive, a alerté sur une opération de phishing visant principalement les entreprises de transport nord-américaines. La campagne est active depuis juin, voir même depuis janvier. « L’acteur a fourni toute une gamme d’outils RMM (surveillance et gestion à distance) ou, dans certains cas, des logiciels d’accès à distance, notamment ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able et LogMeIn Resolve », indique le rapport. « Ces outils RMM/RAS sont souvent utilisés conjointement ; par exemple, PDQ Connect a été observé en train de télécharger et d’installer à la fois ScreenConnect et SimpleHelp. Une fois l’accès initial établi, le pirate procède à une reconnaissance du système et du réseau et déploie des outils de collecte d’identifiants tels que WebBrowserPassView. Cette activité indique un effort plus large visant à compromettre les comptes et à approfondir l’accès au sein des environnements ciblés. »
Le mode opératoire
Pour commencer, les escrocs tentent de compromettre une bourse de fret, une place de marché en ligne où les entreprises de transport routier peuvent enchérir sur des chargements. Ils peuvent publier une offre fictive ou s’immiscer dans une conversation par e-mail entre un transporteur et une entreprise à la recherche d’un camionneur pour livrer. Lorsque celui-ci répond par e-mail, les criminels lui renvoient un message contenant une pièce jointe infectée qui entraîne l’installation d’un RAT (trojan d’accès à distance). Les pirates peuvent alors enchérir sur de véritables chargements, qu’ils tentent ensuite de voler. Une autre stratégie consiste à se faire passer pour une entreprise officielle de transport et à demander à un client d’envoyer un paiement sur un compte bancaire contrôlé par le fraudeur. Une entreprise a décrit sur Reddit comment elle a été compromise au début de l’année : un soi-disant courtier a envoyé par e-mail un lien « de configuration » au répartiteur du transporteur. Lorsque celui-ci a cliqué dessus, son e-mail a été compromis, après quoi les réservations existantes ont été supprimées et les notifications du répartiteur bloquées. Le fraudeur a ensuite réservé des chargements au nom du transporteur piraté et a coordonné le transport. Le gang a ensuite tenté, sans succès, de voler huit camions de marchandises en Californie, après que l’entreprise victime ait compris ce qui se passait et que les chauffeurs aient été alertés. Cependant, quelques semaines plus tard, une autre entreprise de transport a été victime du même type d’attaque, ce qui suggère que le gang s’est tourné vers d’autres proies.
Les attaques de phishing de ce type fonctionnent car la pièce jointe téléchargée semble officielle et berne les commerciaux et les répartiteurs. Par ailleurs, elles peuvent échapper aux antivirus ou aux détections réseau, car les programmes d’installation sont souvent signés numériquement. Dans une interview, Selena Larson, co-auteure du rapport de Proofpoint, explique que cette technique fonctionne également parce que le secteur du transport routier a besoin que ses commerciaux et ses répartiteurs réagissent rapidement aux offres proposées. Pousser les cibles à agir rapidement est une stratégie essentielle pour de nombreuses campagnes de phishing. La stratégie d’attaque décrite dans le rapport Proofpoint n’est pas nouvelle : ses chercheurs avaient déjà publié en septembre dernier un avertissement similaire concernant des campagnes d’e-mails visant les entreprises de transport et de logistique, qui utilisaient souvent des messages contenant des URL Google Drive menant à un fichier de raccourci Internet (.URL) ou un fichier .URL joint directement au message. Une fois exécuté, il utilisait le protocole de partage de fichiers SMB (Server Message Block) pour accéder à un fichier exécutable sur un partage distant, qui installe le logiciel malveillant. Dans la dernière campagne, un acteur malveillant a ajouté l’utilisation d’outils d’accès à distance. Le fournisseur n’est pas certain que le même cybercriminel soit à l’origine des deux campagnes. M. Larson a convenu que les deux campagnes sont similaires aux attaques de phishing ciblées menées depuis des années contre un large éventail de secteurs et qui consistent à inciter un employé à cliquer sur un lien ou un document malveillant. L’éditeur affirme avoir observé près d’une vingtaine de campagnes similaires depuis août visant des entreprises de logistique afin de diffuser des RMM. L’auteur de la menace ne semble pas s’en prendre à des entreprises d’une taille particulière : ses cibles vont des petites entreprises familiales aux grandes sociétés de transport.
La valeur des envois volés a doublé
Il est difficile de déterminer l’ampleur de ce phénomène de vol de marchandises. Le National Insurance Crime Bureau américain estime que les pertes liées à ce type de fraude, toutes sources confondues, ont augmenté de 27 % l’année dernière par rapport à 2023, pour atteindre 35 milliards de dollars. Versik CargoNet, une société qui suit les crimes liés à la chaîne d’approvisionnement physique pour les forces de l’ordre, les compagnies d’assurance et les distributeurs aux États-Unis et au Canada, a estimé dans son rapport du troisième trimestre que les pertes trimestrielles les plus récentes dues au vol s’élevaient à plus de 111 millions de dollars pour 772 cas de vol de marchandises. Comme il n’y a pas d’obligation de signaler ces méfaits, le nombre réel serait plus élevé. Selon Keith Lewis, vice-président des opérations de Versik CargoNet, environ 40 % de ce total de 111 millions de dollars pourraient être des fraudes informatiques. Cela inclut le phishing, le smishing, le vishing, le vol de domaines Internet, l’usurpation d’identité, l’achat d’entreprises légitimes pour abuser de leur nom, etc.
Le piratage des systèmes ERP pour rediriger le fret n’est pas encore d’actualité, a-t-il ajouté. La valeur moyenne des cargaisons volées a doublé, passant de 168 448 dollars au troisième trimestre 2024 à 336 787 dollars, « preuve évidente que les voleurs de marchandises deviennent plus stratégiques dans le choix de leurs cibles », indique le rapport de Versik CargoNet. « Les groupes de la criminalité organisée sont en phase de transition, s’adaptant aux outils de lutte contre la fraude déployés dans l’ensemble du secteur de la logistique », ajoute le rapport. Une fois que les criminels savent où vont les camions, les lieux les plus courants pour le vol de marchandises sont les relais routiers et les parkings, les centres de distribution et les entrepôts, les ports et les gares de triage, les autoroutes et les aires de repos, selon le rapport.
Une campagne de phishing très efficace
Robert Beggs, directeur de la société canadienne DigitalDefence spécialisée dans la réponse aux incidents, qualifie le rapport Proofpoint de description d’« une technique de phishing classique, mais particulièrement efficace en raison de la nature des opérations logistiques ». Bien qu’il s’agisse d’une variante des campagnes précédentes, ces attaques ont également été couronnées de succès car le transport routier est une activité qui fonctionne 24 heures sur 24 et qui est en grande partie décentralisée, a-t-il déclaré, de sorte que les terminaux ne disposent pas toujours de la connectivité et des installations nécessaires pour garantir la confiance. Le risque est accru car il s’agit d’un secteur où le temps est un facteur essentiel, souligne-t-il. Un camionneur avec un chargement doit obtenir l’autorisation de circuler, s’assurer que ses papiers sont en règle et disposer de suffisamment d’argent liquide pour répondre aux demandes immédiates. « Ensemble, ces facteurs sont propices aux attaques d’ingénierie sociale », explique-t-il.
Le transport routier peut sembler être un secteur peu technologique, a fait remarquer M. Beggs, car il évite généralement les contrôles de cybersécurité stricts. Cependant, ses activités exigent que de tels contrôles existent, en particulier lorsqu’il s’agit d’avancer des fonds ou de contrôler les informations relatives aux chargements de grande valeur. Au minimum, les entreprises de ce secteur doivent utiliser une authentification multifactorielle pour les connexions et s’assurer que l’accès aux systèmes critiques est surveillé afin de garantir une utilisation appropriée et de détecter toute anomalie. Certaines entreprises utilisent des mots ou des expressions codés dans leurs messages pour identifier les chargements critiques afin de renforcer la confidentialité, ajoute-t-il. « Les camionneurs ont toujours été perçus comme un maillon faible, notamment en raison de leur pratique limitée de la cybersécurité », explique M. Beggs. Cependant, ils constituent un élément essentiel de l’infrastructure de tout pays et continueront probablement d’être la cible d’attaques d’ingénierie sociale et d’autres types d’attaques.
Des systèmes TMS vulnérables
Danielle Spinelli, ancienne courtière en transport et aujourd’hui chargée de clientèle chez Descartes Systems Group, intervient régulièrement auprès des acteurs du secteur sur les questions de cybersécurité et de vol de marchandises. Elle estime que l’un des problèmes réside dans le grand nombre de systèmes de gestion du transport (TMS) peu fiables, qui peuvent être facilement piratés. Les fournisseurs de TMS disposent en effet d’informations sur les clients et les chargements de camions qui intéressent les escrocs. Elle ajoute qu’un autre point vulnérable est le manque de sécurité des fournisseurs d’ELD (dispositifs d’enregistrement électronique) qui peuvent être piratés ou servir de point d’entrée aux systèmes TMS. Les ELD sont des dispositifs installés dans les camions qui enregistrent automatiquement le temps de conduite, le statut de service et d’autres informations sur les chauffeurs. Les entreprises de transport de marchandises composées d’une ou deux personnes et qui utilisent des comptes de messagerie gratuits sont les plus exposées, ajoute Mme Spinelli.
La Federal Motor Carrier Safety Administration (FMCSA) américaine met en œuvre des initiatives anti-fraude dont les services informatiques peuvent tirer parti, a-t-elle déclaré. Cela inclut notamment l’obligation pour les nouveaux candidats au permis de conduire commercial de faire correspondre leurs documents administratifs à un scan facial. Elle recommande également aux entreprises de logistique d’utiliser des plateformes technologiques qui combinent les données officielles de la FMCSA avec l’historique des performances de suivi, la vérification du numéro d’identification du véhicule, la géolocalisation et la validation de l’assurance avant l’envoi d’un camion. Le problème du vol de marchandises attire de plus en plus l’attention des dirigeants, a déclaré M. Lewis de Versik CargoNet. Ils font désormais pression sur leurs services de sécurité pour qu’ils embauchent des informaticiens ayant les mêmes compétences que ceux qui travaillent pour les institutions financières afin de traquer la fraude et le vol. Quant à l’avenir, il craint que les escrocs n’utilisent de plus en plus l’IA pour mener leurs cyberattaques.
Une formation de base en cybersécurité toujours nécessaire
Le secteur adopte des solutions technologiques pour lutter contre le vol de marchandises. Par exemple, CargoNet vient de lancer RouteScore API, qui utilise un algorithme pour créer un score de risque de vol de marchandises sur les itinéraires aux États-Unis et au Canada. Mais il faut également mettre en place les bases de la cybersécurité. Selon M. Spinelli, la première chose que les responsables IT et sécurité devraient faire est de renforcer la formation des employés en matière de sécurité afin qu’ils sachent reconnaître les attaques de phishing et résister à la tentation de cliquer sur toutes les pièces jointes. Ils devraient exiger des administrateurs et des utilisateurs d’applications liées à la logistique qu’ils réinitialisent leurs mots de passe d’administrateur et d’utilisateur tous les trois à six mois. Les entreprises devraient également s’assurer qu’elles disposent de bonnes procédures de départ pour annuler l’accès informatique lorsqu’un employé quitte l’entreprise. Proofpoint invite les entreprises du secteur du transport de marchandises à :
– Limiter le téléchargement et l’installation de tout outil RMM qui n’est pas approuvé et confirmé par les administrateurs informatiques d’une organisation ;
– Mettre en place des systèmes de détection réseau, notamment en utilisant l’ensemble de règles Emerging Threats, et utiliser une protection des terminaux. Cela permet d’alerter les serveurs RMM de toute activité réseau ;
– Ne pas autoriser les employés à télécharger et installer des fichiers exécutables (.exe ou .msi) provenant d’e-mails ou de SMS envoyés par des expéditeurs externes ;
– Former les employés à identifier et signaler les activités suspectes à leurs équipes de sécurité. Cette formation peut facilement être intégrée à un programme de formation des utilisateurs existant.