Un cybercriminel amasse des millions $ en piratant les emails Office365 de dirigeants d'entreprises cotées en bourse

Obtenant des informations sensibles non publiées pour réaliser des transactions lucratives

Des procureurs fédéraux ont récemment inculpé un individu pour un stratagème de « hack-to-trade » qui lui aurait permis de gagner des millions de dollars. Ce pirate informatique a réussi à accéder aux comptes Office365 de dirigeants d’entreprises cotées en bourse, obtenant des rapports financiers trimestriels avant leur publication officielle.

Le pirate informatique ciblait spécifiquement les boîtes de réception des dirigeants pour obtenir des informations sensibles et non publiées. En accédant à ces données, il pouvait anticiper les mouvements du marché et réaliser des transactions boursières extrêmement lucratives. Ce type de cybercriminalité, connu sous le nom de « hack-to-trade », représente une menace croissante pour la sécurité des informations et l’intégrité des marchés financiers.

Des procureurs fédéraux ont inculpé un homme pour un système présumé de « hack-to-trade » qui lui a rapporté des millions de dollars en s'introduisant dans les comptes Office365 de cadres de sociétés cotées en bourse et en obtenant des rapports financiers trimestriels avant qu'ils ne soient rendus publics.

La poursuite, engagée par le bureau du procureur du district du New Jersey, accuse Robert B. Westbrook, ressortissant du Royaume-Uni, d'avoir gagné environ 3,75 millions de dollars en 2019 et 2020 grâce à des transactions boursières qui capitalisaient sur les informations obtenues de manière illicite. Selon les procureurs, après avoir accédé à ces informations, il a effectué des transactions boursières. La notification préalable lui a permis d'agir et de tirer profit des informations avant que le grand public ne puisse le faire. La Securities and Exchange Commission des États-Unis a déposé une plainte civile distincte contre Westbrook afin qu'il soit condamné à payer des amendes civiles et à restituer tous les gains mal acquis.

Acheter à bas prix, vendre à prix fort

« La SEC est engagée dans des efforts continus pour protéger les marchés et les investisseurs des conséquences de la cyberfraude », a déclaré Jorge G. Tenreiro, chef intérimaire de la Crypto Assets and Cyber Unit de la SEC, dans un communiqué. « Comme le montre cette affaire, même si Westbrook a pris de nombreuses mesures pour dissimuler son identité, notamment en utilisant des comptes de messagerie anonymes, des services VPN et des bitcoins, les analyses de données avancées, la traçabilité des crypto-actifs et la technologie de la Commission peuvent permettre de découvrir des fraudes, même dans des cas impliquant un piratage international sophistiqué. »

Un acte d'accusation fédéral déposé devant le tribunal de district du New Jersey indique que Westbrook s'est introduit dans les comptes de courrier électronique de dirigeants de cinq sociétés cotées en bourse aux États-Unis. Il a réussi à pénétrer dans ces comptes en abusant du mécanisme de réinitialisation du mot de passe proposé par Microsoft pour les comptes Office365. Dans certains cas, Westbrook aurait créé des règles de transfert qui envoyaient automatiquement tous les courriels entrants à une adresse électronique qu'il contrôlait.


Le mode opératoire

Les procureurs ont allégué dans l'un de ces incidents :

« Le ou vers le 26 janvier 2019, WESTBROOK a obtenu un accès non autorisé au compte de messagerie Office365 du directeur des finances et de la comptabilité de la société-1 (« Individu- ! ») par le biais d'une réinitialisation non autorisée du mot de passe. Au cours de l'intrusion, une règle de transfert automatique a été mise en œuvre, conçue pour transférer automatiquement le contenu du compte de messagerie compromis de l'Individu-1 vers un compte de messagerie contrôlé par WESTBROOK. Au moment de l'intrusion, le compte de messagerie électronique compromis de l'Individu 1 contenait des informations non publiques sur les résultats trimestriels de l'Entreprise 1, qui indiquaient que les ventes de l'Entreprise 1 étaient en baisse ».

Une fois qu'une personne a obtenu un accès non autorisé à un compte de messagerie, il est possible de dissimuler la violation en désactivant ou en supprimant les alertes de réinitialisation de mot de passe et en enfouissant les règles de réinitialisation de mot de passe dans les paramètres du compte.

Les...