High-tech

La fraude au faux fournisseur : 45 % des tentatives*

Se faire passer pour un fournisseur pour demander à « son » client un changement de coordonnées bancaires est la fraude externe la plus répandue.

Jean-Pierre travaille au service comptable d’une centrale d’achat alimentaire. Un jour, il reçoit un courriel d’un gros fournisseur, une coopérative agricole, qui lui indique un changement de coordonnées bancaires et un changement de numéro de téléphone. Le courriel est signé par son interlocuteur habituel, M. Jean, le directeur administratif de la coopérative. Jean-Pierre compose le nouveau numéro. On lui indique que M. Jean est en déplacement et on lui confirme le changement de numéro de compte. Au cours des 6 mois suivants, Jean-Pierre met en paiement trois factures pour un total de 230 000 €.

Un jour, M. Jean appelle Jean-Pierre car il n’a pas été payé. Ensemble, ils découvrent la fraude.

Comment se protéger ?

En cas de demande de changement de coordonnées bancaires d’un fournisseur, il faut, surtout si le nouveau compte est à l’étranger :
– contacter directement le fournisseur en question sans utiliser les coordonnées présentées dans le courriel ou le courrier papier ;
– mettre en place un système de double validation pour tout changement de ce type.

Comment réagir ?

Si un virement vient d’être effectué, sans attendre, il convient :
– d’alerter sa banque pour bloquer le paiement ;
– de saisir les autorité ;
– de prévenir le fournisseur.

Une variante : les escrocs ne manquent pas d’imagination ! Certains d’entre eux n’hésitent pas à contacter les entreprises en se faisant passer pour l’administration. Le motif : obtenir une copie des factures impayées de leurs clients à des fins prétendument statistiques. En réalité, grâce à ces factures, ils n’ont plus qu’à contacter les clients « en retard » en se faisant passer pour une société de recouvrement et à les faire payer.

*Baromètre Fraude 2022, Allianz Trade

La fraude au président : 41 % des tentatives*

Même si elle émane de sa hiérarchie, une demande de paiement pressante et inhabituelle doit éveiller l’attention.

Directeur financier de la filiale néerlandaise d’un groupe français de cinéma, Edwin reçoit un courriel venant de la direction générale française. Dans ce courriel, il est question de l’acquisition d’une société à Dubaï. Une opération qui doit être menée avec discrétion et rapidité au risque d’être compromise et qui nécessite que la filiale néerlandaise procède à une avance de fonds. Par prudence, Edwin en informe sa directrice. Puis, tous deux persuadés du caractère légitime de la demande, ils ordonnent plusieurs virements. La fraude ne sera détectée que quelques semaines plus tard. Au total, 19,2 M€ auront été détournés.

Comment se protéger ?

La fraude au président est un cas typique d’abus de confiance. Elle s’appuie sur la connaissance que les fraudeurs ont de l’entreprise cible, sur la mise en place d’un scénario crédible et sur leur capacité à contrôler psychologiquement la personne qui, malgré elle, va devenir leur complice. Pour limiter ce risque de fraude, il faut :
– assurer la confidentialité des organigrammes (au moins en extraire le nom et les coordonnées des responsables financiers et comptables) ;
– limiter la communication de l’entreprise autour de ses partenariats et de ses grands projets ;
– sensibiliser les salariés en leur présentant la mécanique de cette fraude ;
– rappeler aux salariés qu’ils doivent systématiquement mettre en place une procédure de validation permettant de s’assurer de l’identité du demandeur et du caractère légitime de la demande (par exemple, contacter directement le chef d’entreprise, un cadre, le cabinet d’expertise comptable, même s’ils sont en vacances) quand la demande est insolite et/ou formulée par un interlocuteur inconnu faisant preuve d’insistance (flatterie, intimidation) ;
– mettre en place un protocole de double signature ou un principe de supervision pour tout virement supérieur à 1 000 €.

Comment réagir ?

Si le virement vient d’être effectué, il n’est peut-être pas trop tard. Les banques disposent, en effet, d’une possibilité de rappel des fonds durant les premières heures qui suivent l’ordre. Sans attendre, il convient :
– d’alerter sa banque (y compris en dehors des heures d’ouverture, via son numéro d’urgence) ;
– de saisir les autorités (la police dispose de services spécialisés).

Attention : mettre la pression sur sa victime et l’isoler est la base de toute escroquerie. Aussi, pour rompre cette emprise, le réflexe doit consister, en cas de doute, même léger, à toujours en parler à un tiers.

*Baromètre Fraude 2022, Allianz Trade

Les cyber-fraudes : 41 % des tentatives*

Les courriels inhabituels invitant à télécharger des pièces jointes ou à renseigner des mots de passe doivent finir dans la corbeille.

Cadre administratif dans une société de transport de marchandises, Gilles est en télétravail. Comme tous ses collègues dans le même cas, il passe plusieurs heures par jour à participer à des visioconférences. Et d’ailleurs, il vient de recevoir un courriel aux couleurs de Zoom. L’outil de visioconférence lui indique qu’il peut, pendant 48 heures, visionner l’enregistrement de la dernière réunion de direction. Une réunion à laquelle il n’a pas pu assister. Il se connecte, via ce courriel, sur une page d’accueil où ses code et mot de passe Microsoft lui sont demandés. Il ne s’en étonne pas et les renseigne. Or il n’accédera jamais à l’enregistrement de la conférence mais apprendra, quelques jours plus tard, que le serveur de son entreprise a été victime d’une attaque de rançongiciel qui a bloqué son fonctionnement pendant une semaine.

Comment se protéger ?

Le phishing (tentative d’extorsion de mots de passe ou de coordonnées bancaires via des mails ou des interfaces web imitant ceux d’une entreprise ou d’une administration) et les rançongiciels (logiciels cryptant les données et réclamant une rançon pour les libérer) se répandent comme tous les logiciels malveillants. Dès lors, il convient :
– de mettre à jour les antivirus et systèmes d’exploitation ;
– de ne jamais ouvrir les pièces jointes des courriels douteux (inhabituels, expéditeurs inconnus, style impersonnel, texte mal traduit…) ;
– d’effectuer une sauvegarde quotidienne des données stockées sur des supports déconnectés du réseau.

Comment réagir ?

Dès qu’une machine est touchée, immédiatement, il faut :
– la déconnecter du réseau ;
– alerter les services techniques (internes ou externes à l’entreprise) ;
– porter plainte ;
– ne pas payer la rançon demandée (rançongiciel).

*Baromètre Fraude 2022, Allianz Trade

Nous inciter à cliquer

Les escrocs font souvent appel à des émotions, comme la crainte ou l’envie, pour nous inciter à donner suite à leur SMS.

« Info ANTAI : Vous avez une contravention à payer de 45 €. Consultez votre dossier d’infraction via : https://dossier-antai-gouv.info ». Si vous cliquez sur le lien, vous serez dirigé vers un site qui ressemble comme deux gouttes d’eau à celui du service de paiement en ligne des amendes et vous serez invité à livrer vos coordonnées bancaires, bien malgré vous… à un escroc.

Baptisées « smishing » et appartenant à la famille du hameçonnage (phishing), ces arnaques, très faciles à monter, même par des hackers débutants, grâce à des kits clé en main vendus sur le darknet, se multiplient. Pour vous inciter à donner suite à ces SMS, les escrocs vont vous inquiéter ou vous faire miroiter un gain. L’amende impayée est le sujet du moment, mais il en existe d’autres comme « CRIT’AIR, nos agents ont constaté que vous n’étiez pas muni de la vignette réglementaire… » ou encore « SERVICE-PUBLIC : Vous pouvez effectuer votre demande d’indemnité carburant de 100 €… ».

Une usurpation d’identité

En général, les pirates usurpent l’identité d’une administration ou d’une grande entreprise pour parvenir à tromper plus facilement leurs victimes. Ainsi, vont-ils utiliser leurs logos et leur identité graphique pour créer les pages du « faux site » sur lequel vous atterrirez si jamais vous cliquez sur le lien intégré dans le SMS frauduleux. Ces escrocs, histoire de parfaire la ressemblance, n’hésitent pas, non plus, à s’appuyer sur des noms de domaine (adresse de site – URL) se rapprochant de ceux des sites copiés. Les tentatives d’hameçonnage sont généralement adressées par courriel ou par SMS.

Jamais par SMS

Pour rappel, ni l’Agence nationale de traitement automatisé des infractions (Antai), ni les services qui gèrent les vignettes Crit’Air, ni les services fiscaux n’adressent de SMS aux usagers pour signaler une verbalisation, vendre une vignette ou faire la promotion d’un dispositif d’aide.

D’une manière générale, les administrations communiquent peu par SMS et ne réclament pas de paiements directs via ce type de média, et encore moins la communication de données personnelles (codes d’accès, coordonnées bancaires…). Les grandes entreprises du e-commerce comme Amazon, les banques ou encore la Sécurité sociale ne vous demanderont jamais, elles non plus, de leur fournir des données personnelles par SMS.

Adoptez les bons réflexes

Par principe, tout SMS émanant d’une administration ou d’une grande entreprise portant un contenu inhabituel doit inciter à la prudence.

Nous recevons des dizaines de SMS chaque jour. Identifier une tentative de smishing dans le lot n’est donc pas toujours aisé d’autant que les pirates sont de plus en plus ingénieux. Toutefois, certains éléments doivent toujours attirer notre attention. Le premier, le plus important, est le caractère inattendu du message. Un message qui, rappelons-le, émane d’une organisation connue (administration, banque, fournisseur…). Typiquement, une banque vous signale avoir perdu votre mot de passe et vous demande de le renseigner en ligne ou une administration souhaite vous rembourser un trop-perçu et réclame vos coordonnées bancaires… Un message aussi inhabituel doit créer un doute. Et en cas de doute, il convient, a minima, avant de donner suite à la demande, de vérifier l’authenticité du message et l’identité de son expéditeur.

Pour cela, bien entendu, il ne faut jamais cliquer sur le lien intégré dans le message suspect, ni utiliser les coordonnées contenues dans le SMS (mail, téléphone…).

Plus largement, méfiez-vous :
– des SMS alléchants ou alarmistes (problème de paiement, de livraison, incitation à payer une amende au risque de voir son montant augmenter, remboursement d’un trop versé…) ;
– des SMS émanant d’un service ou d’une société dont votre entreprise ou vous-même n’êtes pas client ;
– des SMS adressés par une entreprise partenaire ou une administration mais non signés ou signés par un expéditeur inhabituel ;
– des demandes adressées par SMS par une entreprise partenaire ou une administration mais à la mauvaise personne (par exemple, une facture adressée au mauvais commercial ou marketing) ;
– des SMS mal rédigés (mauvaise traduction) ou utilisant un ton inadéquat (trop incitatif, menaçant…) ;
– des SMS incitant à faire quelque chose d’inhabituel comme fournir des coordonnées bancaires, prétendument perdues.

Dans tous les cas, ne communiquez jamais d’informations sensibles par SMS ou à la suite d’une demande adressée par SMS.

Et si vous pensez vous être fait avoir :
– faites opposition immédiatement (en cas d’arnaque bancaire) ;
– changer vos mots de passe divulgués ou compromis ;
– n’hésitez pas à porter plainte.