Ces dernières semaines, nous avons reçu des dizaines de rapports d'organisations et d'entreprises concernant des tentatives de fraude au CEO. Il s'agit d'un phénomène récurrent qui se produit surtout pendant les périodes de vacances ou juste avant les week-ends prolongés. Les escrocs profitent de la baisse d'attention durant ces périodes pour passer à l'action.
La fraude au CEO est une forme d’escroquerie: les cybercriminels contactent service de comptabilité d’une entreprise en lui demandant d'effectuer un paiement important. Les escrocs usurpent l'identité du CEO, du CFO ou d'une personne de confiance de l'entreprise et demandent à un collaborateur du service de comptabilité d'effectuer un paiement urgent. Le travailleur supposant que la demande provient de la haute direction, le risque est réel que le paiement soit effectivement effectué.
Nous constatons que cette tentative d'escroquerie implique souvent de contacter un employé de l'organisation par téléphone ou par courrier électronique.
La fraude au CEO est plus susceptible de se produire lorsque des transactions inhabituelles sont demandées, pour des raisons inhabituelles, dans des circonstances exceptionnelles et avec des montants très élevés.
Soyez particulièrement vigilant:
- si quelqu’un invoque la confidentialité,
- si l’on insiste sur l’urgence,
- si la question est posée à partir d’une adresse mail ou d’un numéro de téléphone inconnu,
- en cas de pression inhabituelle en vue de fournir des informations sensibles ou d’effectuer un paiement,
- en cas de virements sur des comptes bancaires inconnus,
- en cas de demandes le vendredi soir ou la veille d’un jour férié,
- en cas de modification des données de paiement d’un fournisseur.
Exemple de e-mail:
L'attaque se fait en 2 phases:
À l’instar du cambrioleur, qui recherche à l’avance les faiblesses d'une habitation et observe les habitudes des habitants, le cybercriminel essaiera d’obtenir autant d’informations que possible sur l’entreprise.
Sous une fausse identité, l’escroc tente d’extirper les informations suivantes :
- l’identité des collaborateurs habilités à effectuer des paiements importants,
- les processus de paiement internes (procédures, numéros de compte et informations relatives au bilan, etc.)
- les fournisseurs ou les clients de l’entreprise.
Ils opèrent pour ce faire par téléphone, via une adresse e-mail falsifiée ou simplement en recherchant des données en ligne.
Une fois que le cybercriminel dispose d’assez d'informations, il est prêt à commettre l’acte d’escroquerie en suivant le modus operandi suivant :
- L’entreprise est contactée par e-mail ou par téléphone par l'escroc qui se fait passer pour le CEO, le CFO ou une autre personne de contact connue dans l’entreprise.
- L’escroc demande d’effectuer une transaction financière importante. Il présente la tâche comme extrêmement importante, urgente ou confidentielle, dans le but de contourner les procédures existantes ou de pouvoir compter sur un traitement rapide et confidentiel.
- Le collaborateur convaincu de la légitimité de la demande effectuera le versement sur le compte de l’escroc.
- Assurez-vous que les processus de paiement sont clairs et scrupuleusement suivis.
- Instaurez des procédures claires pour vérifier les transferts financiers ou les demandes d'informations sensibles, en particulier les demandes par e-mail.
- Informez les collaborateurs et assurezvous qu'ils reçoivent une formation adéquate afin qu'ils reconnaissent rapidement l’escroquerie et y répondent de façon appropriée.
- Ne cliquez jamais sur une pièce jointe ou un lien dans un e-mail qui ne vous inspire pas totalement confiance.
- Appliquez strictement les règles de sécurité et de paiement.
- Ne décrivez jamais à des inconnus les procédures de paiement en vigueur dans votre entreprise.
- Vérifiez si les adresses e-mail sont corrects.
- Prenez contact avec le demandeur via un numéro de téléphone ou une adresse mail différent(e) que celui/celle fourni(e) afin de vous assurer qu’il s’agit bien du bon demandeur.
- Avertissez le responsable de votre entreprise.
- Avertissez les organisations ou les personnes dont l’identité est usurpée. Par exemple, si une fausse adresse mail d’une institution financière a été utilisée, vous pouvez l’avertir que de faux e-mails sont envoyés en son nom.
- Si le virement a déjà été effectué, contactez immédiatement votre banque pour interrompre le paiement.
- La fraude au CEO est une infraction pénale. Vous pouvez la signaler à la police.
- Signalez l'incident au Centre pour la Cybersécurité Belgique.