Recrudescence des arnaques au président dans les PME

0

En 2016, l’Office Central pour la Répression de la Grande Délinquance Financière (OCRGDF) constate une baisse des escroqueries par rapport à 2015. Les efforts de sensibilisation effectués auprès des structures importantes ont porté leurs fruits. Les grandes entreprises redoublent de prudence vis-à-vis de ces arnaqueurs professionnels. Malheureusement, il semble que les fraudeurs se soient orientés vers d’autres cibles plus faciles. 2017 aura été l’année de l’augmentation du nombre d’ « arnaques au président » dans les PME.

L’escroquerie aux faux ordres de virements (FOVI) est la première tentative de fraude dans l’entreprise. C’est une technique qui consiste à inciter une entreprise à effectuer un virement en urgence d’une forte somme d’argent au motif d’une opération importante et confidentielle (fusion, acquisition, offre publique d’achat, etc.). Cette fraude nécessite une connaissance accrue de l’entreprise ciblée, de son organisation, et de ses dirigeants. Cette phase d’ingénierie sociale est effectuée par le prélèvement d’informations sur l’entreprise notemment grâce aux réseaux sociaux comme Facebook et LinkedIn. Les escrocs se procurent également des procès-verbaux d’assemblée, des lettres d’informations internes et des messages des dirigeants. Les pirates récoltent un très grand nombre de renseignements pour préparer leur attaque et s’adresser au bon interlocuteur. Pour réaliser cette escroquerie, les fraudeurs usurpent l’identité d’un des dirigeants ou du président (d’où le nom : « arnaque au président ») par email ou téléphone en insistant sur l’aspect confidentiel et urgent de la demande. Ce sont surtout les assistants de direction ou le personnel du service comptabilité qui sont visés. Le pirate n’hésite pas à relancer sa victime, en lui mettant la pression ou bien, au contraire, en s’efforçant de gagner sa confiance. Les informations précédemment récoltées permettront de crédibiliser ses arguments et sa requête.

De véritables sociétés organisées et très bien préparées coordonnent ces arnaques. Leurs techniques se sont considérablement sophistiquées avec le temps. Hier, elles étaient plus orientées sur les grosses structures (RyanAir, Nestlé, Facebook, Google…). Aux USA, le montant des vols avoisine un total de 2,3 milliards de dollars. Le préjudice record a été de 42 millions d’euros pour une société autrichienne. Dans l’hexagone, l’arnaque au président représente 430 millions d’euros de préjudices subis en 3 ans. Les sommes généralement constatées s’élèvent entre 100 000 euros et 2 millions d’euros. Michelin par exemple s’est fait déposséder de 1,6 million d’euros1

Aujourd’hui, le procédé s’est industrialisé pour toucher un plus grand nombre d’entreprises, avec des montants moindres. Les arnaques sont rodées, les pirates n’hésitent pas à créer des noms de domaine très proches de ceux de vos partenaires pour vous inciter à payer de fausses factures d’entreprises que vous pensez connaitre. Sachez qu’il existe des sociétés spécialisées dans la détection d’enregistrement de noms de domaine proches de votre marque (Brand Alert). Quelquefois, les voleurs vont même jusqu’à créer une véritable structure juridique pour crédibiliser l’action (ça a été le cas pour l’attaque sur Google). D’autres techniques de masse utilisent de vraies adresses email de l’entreprise, mais demandent une réponse (reply-to) sur une adresse externe ou jouent sur l’usurpation de l’adresse de l’expéditeur en cachant la véritable adresse email. Ces techniques sont normalement facilement détectables par un antispam performant. La faille MailSploit, découverte en décembre 2017, permet de rendre complètement invisible la véritable adresse de l’expéditeur.

arnaques

Aujourd’hui, 100% des entreprises sont victimes d’attaques de fraude de masse par email, selon Altospam. Il est impératif de protéger ses emails avec une solution efficace de protection de la messagerie. D’après l’OCRGDF, seulement 2300 plaintes ont été déposées en France en 5 ans. Pourtant, une étude réalisée par Euler Hermes montre qu’une arnaque sur cinq a abouti au détournement d’argent.

Pour éviter ce genre d’attaques et protéger son entreprise, il est fort recommandé de prendre des précautions spécifiques :

  • sensibiliser les salariés aux risques de fraudes, surtout les assistants de direction et les comptables,
  • mettre en place des procédures de vérification sécurisées pour les paiements internationaux,
  • contrôler l’usage des réseaux sociaux et conseiller de limiter le renseignement d’informations sur l’entreprise,
  • avoir un service de protection des emails performant pour bloquer en amont l’usurpation d’adresses,
  • accroître la vigilance pendant les périodes de vacances.

De nos jours, 46% des entreprises n’ont pas mis en place de dispositif dédié à la lutte contre la fraude et 63% d’entre elles n’ont pas élaboré de plan d’urgence en cas de fraude. Pourtant, toutes les entreprises sont des cibles et peuvent devenir victimes. Si vous devez ne faire passer qu’un seul message aux services concernés, demandez-leur de déclencher une alerte à la hiérarchie, dès que les trois mots suivants apparaissent dans une demande par email ou par téléphone : urgent, confidentiel, à l’étranger. Cela doit être un déclencheur.

Si, malgré ces précautions vous êtes victimes d’un FOVI, que faire en cas d’attaque ? Il faut demander immédiatement à la banque un gel des fonds et déposer une plainte au service de police ou de gendarmerie avec un maximum d’éléments. Plus rapide sera l’action, plus vous aurez de chances de recouvrer vos fonds. Malheureusement ceux-ci sont souvent très rapidement transférés sur d’autres comptes étrangers, rendant l’annulation en général impossible.

Dans certains cas, les banques peuvent être reconnues coupables d’avoir autorisé un virement sans le consentement du détenteur officiel de la signature. En 2014, le tribunal de commerce de Paris a condamné la banque CIC pour manquement de vigilance en autorisant un virement malhonnête. Cette décision peut faire jurisprudence. D’autre part, certains assureurs comme Euler Hermes, proposent des garanties pour protèger les entreprises contre le risque de fraude et leur permettent une indemnisation en cas de sinistres.

About Author

Stephane MANHES

Stephane MANHES est expert dans la protection de la messagerie électronique. Il est directeur associé et ingénieur spécialisé de la société OKTEY depuis 15 ans. OKTEY est un éditeur de services de sécurisation des emails qui développe, commercialise et gère les services ALTOSPAM (anti-spam, anti-virus, anti-phishing, anti-fovi) et MAILOUT (délivrabilité, sécurité, visibilité).

Leave A Reply