Comment contribuer à prévenir les fraudes liées aux escroqueries au faux ordre de virement

Les fraudes liées aux escroqueries au faux ordre de virement (y compris l’hameçonnage ciblé) sont l’un des types de fraudes les plus courants ciblant les entreprises et les organisations. Les pertes des entreprises augmentent chaque année et, en 2023, les entreprises canadiennes ont déclaré des pertes de plus de 58 millions de dollars uniquement en raison d’une fraude par hameçonnage ciblé.

Qu’est-ce qu’une escroquerie au faux ordre de virement? 

Une escroquerie au faux ordre de virement se produit lorsqu’un fraudeur envoie à une victime un message qui semble provenir d’une source connue de l’entreprise. Le courriel présente une demande qui semble légitime, comme le partage de renseignements financiers ou le traitement d’un paiement. Le fraudeur compte sur la victime pour lui fournir le paiement ou les renseignements, qu’il utilise ensuite pour commettre un crime financier.

N’importe qui peut être la cible d’une escroquerie au faux ordre de virement, mais certaines fonctions sont plus vulnérables, notamment : 

• les hauts dirigeants;
• les employés des Finances et de la Comptabilité;
• les employés des Ressources humaines;
• les employés nouvellement embauchés ou débutants. 

Comment fonctionnent les fraudes liées aux escroqueries au faux ordre de virement? 

La longueur et la complexité des escroqueries au faux ordre de virement varient, mais les fraudeurs utilisent souvent les approches suivantes : 

1. Repérer et rechercher les cibles

   Les fraudeurs commencent habituellement par repérer une cible au sein d’une organisation avant de recueillir le plus de renseignements possible au sujet de cette personne. Souvent, les fraudeurs utilisent un éventail de sources, y compris les médias sociaux, les sites Web d’entreprises, les reportages, les profils LinkedIn, et plus encore, pour trouver des renseignements qu’ils peuvent utiliser pour se faire passer pour quelqu’un ou sembler familiers auprès de leur victime et de leur organisation.
   

2. Infiltrer ou usurper un compte de courriel 

   Pour établir le contact avec une personne au sein d’une entreprise, les fraudeurs tenteront d’obtenir un accès non autorisé à un compte de courriel existant ou d’usurper l’adresse courriel d’un employé. Ils peuvent utiliser des variantes subtiles des adresses légitimes (p. ex., john.smith@compagnieabc.com au lieu de jon.smith@compagnieabc.com ou jane-doe@123organisation.com au lieu de jane_doe@123organisation.com) pour faire croire aux victimes que leurs comptes sont réels. Les fraudeurs envoient ensuite des courriels d’hameçonnage ciblé – des courriels d’hameçonnage qui ciblent des personnes précises – dans le but d’inciter les victimes à effectuer des paiements ou à révéler des renseignements confidentiels.

3. Utiliser un logiciel malveillant 

   Parfois, l’objectif d’une escroquerie au faux ordre de virement est d’inciter une victime à installer un logiciel malveillant qui peut pénétrer les réseaux de l’entreprise et donner aux criminels l’accès à des renseignements financiers clés, à des systèmes organisationnels ou à des données sur les employés. Ils envoient aux employés des courriels contenant des pièces jointes ou des liens malveillants qui semblent légitimes, mais qui les dirigent vers un site Web créé par les auteurs de menaces.

Exemple : 

Vous recevez un courriel qui semble provenir de votre patron vous demandant d’envoyer des fonds à un compte que vous ne connaissez pas. Votre « patron » dit que cette demande est urgente et confidentielle. Compte tenu de la nature urgente de la demande, vous envoyez les fonds immédiatement. Il se peut que le fraudeur ait piraté le compte de courriel de votre patron ou qu’il ait usurpé le compte en utilisant une adresse qui diffère d’un ou deux caractères. La demande contient des renseignements que le fraudeur a obtenus dans le cadre de recherches approfondies, par piratage psychologique ou en installant un logiciel malveillant. Quoi qu’il en soit, une fois que vous vous rendez compte que vous avez commis une erreur, les fonds ont disparu.

Signaux avertisseurs à surveiller : 

• La demande confère un sentiment d’urgence excessive et emploie des méthodes de persuasion, de pression ou de manipulation.
• La demande mentionne une adresse ou un compte bancaire que vous n’avez jamais utilisé auparavant.
• L’adresse ou les renseignements sur le compte bancaire ne correspondent pas à vos dossiers existants.
• La demande ne respecte pas les procédures ou les processus d’approbation établis par votre organisation.

Conseils pour aider à protéger votre organisation 

• Élaborez un programme de formation sur la fraude qui enseigne ce qui suit à vos employés : 
  • Ralentir et éviter les demandes prétendument urgentes. Attention de ne pas répondre trop rapidement en fournissant des renseignements personnels ou financiers;
  • Examiner attentivement les courriels et les adresses URL. Les courriels et les sites Web peuvent sembler être le fait d’entreprises de confiance, mais si vous examinez attentivement l’adresse courriel et l’adresse URL, vous remarquerez de petites différences, comme une lettre supplémentaire, un point ou un nom de domaine différent (p. ex., « .net » au lieu de « .com »);
  • Repérer les stratagèmes ou les méthodes courants de piratage psychologique pour les cyberattaques;
    • Limiter ce qu’ils publient sur les médias sociaux, en particulier s’ils occupent un poste de nature délicate ou financière.
• Établissez un processus de rappel pour tout changement apporté aux paiements ou aux numéros de compte, en particulier les instructions électroniques.
• Mettez en place des contrôles internes, comme un approbateur secondaire.
• Créez une liste de vérification indiquant quoi faire en cas de fraude.
• Établissez soigneusement les procédures et les contrôles pour les fournisseurs avec lesquels vous faites affaire.
• Passez régulièrement en revue les privilèges d’accès des employés pour en vérifier la convenance et tenir compte des départs.
• Communiquez l’importance d’utiliser la technologie de l’entreprise pour le travail uniquement.

En conclusion

La fraude liée aux escroqueries au faux ordre de virement est l’une des formes de crime en ligne les plus dommageables sur le plan financier, et à mesure que ces fraudes prennent de l’ampleur et évoluent, le repérage et la prévention de l’escroquerie au faux ordre de virement peuvent être un défi de taille pour toute organisation. Toutefois, en sensibilisant les employés et en mettant en place les bons processus, les entreprises peuvent se protéger contre ce type de fraude coûteux.