Nouvelles

Attention à la fraude au CEO

18 juillet 2019

Dans une fraude au CEO ou fraude du type BEC , l’attaquant travaille de manière très ciblée. Il use des méthodes sophistiquées pour vous convaincre que c’est un membre de la direction qui vous contacte afin que vous exécutiez un paiement sur un compte du ou que vous envoyiez une carte cadeau au fraudeur. Suivez nos conseils pour ne pas tomber dans le piège!

Fraude au CEO : un abus ciblé

Dans une fraude au CEO, l’attaquant tente de convaincre un collaborateur du service financier d’une entreprise de transférer un montant sur son propre compte. Ce type de fraude existe depuis longtemps, mais avec l’avènement de services de messagerie comme le mail, Whatsapp, etc., il est plus facile de se faire passer pour quelqu’un d’autre. D’autant qu’on trouve aisément sur les réseaux sociaux une foule d’informations concernant la personne visée ! 

Voici comment procède le fraudeur:

  • Els travaille à la comptabilité de l’entreprise Soleiljaune. Elle a procuration pour exécuter des paiements.
  • Un jour, elle reçoit un mail ou un message Whatsapp de Jan Dierckx. Elle ne connaît pas personnellement Jan mais elle sait qu’il occupe une fonction importante dans l’entreprise. 
  • Dans son message, Jan dit qu’il est à l’étranger et qu’un paiement urgent doit être exécuté. En principe, Jan adresserait cette demande à Jos Peeters, le patron d’Els, mais impossible de le joindre. Et si Els pouvait effectuer elle-même ce paiement ? Il y a urgence, car il s’agit d’une opération sensible (une fusion qui doit rester secrète).  
  • Els exécute le paiement sur le numéro de compte indiqué dans le mail. Elle le fait en confiance parce que le nom de Jos Peeters est mentionné dans le message. Après-coup, il apparaît que le message ne vient pas du tout de Jan Dierckx, mais d’un attaquant, qui a collecté sur internet le nom de Els et ses données personnelles (adresse mail et numéro de téléphone) et celles de Jos Peeters et de Jan Dierckx. Résultat : l’argent s’est envolé ! 
Jeune femme inconvaincue refuse de signer un contract.

Comment reconnaître une fraude au CEO 

En cas de fraude au CEO, le collaborateur du service financier devrait être alerté si un cadre prend soudain contact avec lui et lui demande de déroger aux procédures de paiement internes. Surtout si ce soi-disant cadre insiste pour que le paiement soit exécuté d’urgence, ou exige que l’opération reste secrète... Méfiez-vous, à juste titre ! 

Prenez quelques précautions pour éviter les fraudes au CEO

Quelques précautions élémentaires suffisent pour réduire le risque de ce genre de fraude. Voici quelques mesures que vous pouvez prendre en tant qu’entreprise ou collaborateur.

En tant qu’entreprise : 

  • Sensibilisez vos équipes à l’existence de ces types de fraude et apprenez-leur à les reconnaître.
  • Demandez à vos collaborateurs d’être toujours très prudents face à des demandes de paiement et de vérifier systématiquement si elles ne comportent pas d’irrégularités.
  • Etablissez des procédures internes pour les paiements. Convenez par exemple que si une demande de paiement est envoyée par mail, elle doit obligatoirement faire l’objet d’un contrôle afin d’en vérifier l’authenticité. Ou que les paiements dépassant certains montants nécessitent une autorisation supplémentaire.
  • Vérifiez l’information sur votre site web. La transparence, c’est bien, mais trop d’informations peut être dangereux. Les tiers ne doivent pas savoir qui sont vos fournisseurs par exemple. 
  • Eduquez vos collaborateurs pour qu’ils ne soient pas trop ‘bavards’ sur les réseaux sociaux.

En tant que collaborateur :

  • Suivez les règles de sécurité internes concernant les paiements, et ne cédez pas à la pression de quelqu’un qui vous demande d’effectuer un paiement -  même si la personne semble être votre patron.
  • En cas de doute, consultez un collègue compétent.
  • Elaborez une directive exigeant la confirmation du compte bancaire et du bénéficiaire pour les paiements dépassant un certain montant.
  • Ne partagez aucune information concernant votre employeur, la hiérarchie de l’entreprise, la sécurité ou les procédures. Et soyez particulièrement vigilant sur les réseaux sociaux !

En général:

  • Vérifiez bien les adresses mail et les URL avant de cliquer dessus. 
  • Ne vous fiez pas à l’adresse mentionnée sur la ligne 'De' ('From') d’un mail car elle peut être très aisément falsifiée ( spoofing ). Vous aussi, vous pouvez envoyer des mails qui semblent venir de timcook@apple.com
  • Voici comment contrôler des liens cliquables dans le corps d’un mail
    • dans le programme de messagerie installé sur votre ordinateur : placez le curseur sur le lien, et dans la barre d’état au bas de votre écran, vous verrez apparaître la véritable adresse. La barre d’état n’est pas visible ? Dans la plupart des programmes de messagerie, vous pouvez l’activer via Image >barre d’état.
    • sur votre smartphone : appuyez assez longtemps sur l’adresse mail ou sur le lien. Dans le menu contextuel qui s’ouvre, choisissez 'copier’. Allez ensuite dans votre app notes, appuyez longtemps et choisissez 'coller'. Vous pouvez ensuite examiner l’adresse mail ou le lien.
  • Analysez soigneusement l’adresse web. http://klanten.argenta.be.selling.com/inlog n’est pas l’adresse du nom de domaine argenta.be, mais un sous-domaine de selling.com. Seules les deux dernières parties de l’adresse, séparées par un point, constituent le nom de domaine !
  • Vous recevez un mail qui semble provenir de votre banque ? Ne cliquez jamais sur le lien dans le mail, mais retapez vous-même l’adresse de votre banque dans la barre du navigateur .
  • Demandez à vos correspondants de signer numériquement leurs mails (lisez ici comment faire dans Outlook)
  • Sécurisez vos mails via  Sender Policy Framework ; c’est une des solutions possibles, mais tous les fournisseurs de services de messagerie  n’offrent pas cette option. 

Un homme / une femme averti(e) en vaut deux! Et surtout, n’oubliez pas : en cas de tentative de fraude, signalez-le systématiquement à la police. Même si vous ne tombez pas dans le piège, la tentative de fraude reste un délit. Et vous contribuerez ainsi  à éviter que d’autres soient victimes d’actes frauduleux !

ODD 16: paix, justice et institutions efficaces

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.