Les 5 principales tactiques de fraude ciblant les entreprises

Toutes les entreprises, peu importe leur taille, peuvent devenir la cible de fraudeurs. Apprenez à reconnaître les 5 principaux stratagèmes utilisés, et découvrez les mesures à prendre et les processus à mettre en place pour mieux protéger votre entreprise.

La plupart des cyberattaques dans le monde débutent par un courriel d’hameçonnage. Ce stratagème peut cibler n’importe qui dans l’organisation, d’un employé ou d’une employée à la direction de l’entreprise. L’hameçonnage consiste à se faire passer pour une personne ou une organisation légitime dans le but de dérober des informations confidentielles ou de l’argent. Les fraudeurs communiquent par courriel, texto ou téléphone, ou encore par l’entremise des médias sociaux. L’objectif est d’inciter la victime potentielle à agir de manière impulsive et immédiate en l’invitant, par exemple, à cliquer sur un lien, à ouvrir un fichier ou à télécharger un document. Par la suite, les fraudeurs peuvent, entre autres, installer un logiciel malveillant sur l’appareil et, ultimement, voler des renseignements sensibles ou des informations financières.

Un rançongiciel est un logiciel malveillant qui peut avoir été installé à la suite d’un stratagème d’hameçonnage et qui a pour but de prendre en otage les données de l’entreprise. Le cybercriminel demande le paiement d’une rançon pour restaurer les données. Les attaques par rançongiciel peuvent entraîner des conséquences majeures pour les organisations, dont une interruption prolongée des activités pouvant être fatale aux PME. Les conséquences sont aussi réputationnelles et stratégiques. Elles peuvent inclure la perte définitive de données, le vol de propriété intellectuelle, la dépréciation de l’image de marque et du niveau de confiance du public, et une perte de clientèle et de partenaires commerciaux.

Les fraudes par personnification reposent sur l’usurpation de l’identité de quelqu’un de confiance, comme un collègue ou un fournisseur, afin de manipuler un membre du personnel. Les fraudeurs cherchent ainsi à convaincre la personne visée d’effectuer un transfert de fonds vers un compte inhabituel ou de divulguer des renseignements confidentiels. Ils passent souvent à l’acte quand la personne légitime est en vacances ou absente.

Pour atteindre leur but, les fraudeurs peuvent aujourd’hui s’appuyer sur l’intelligence artificielle (IA) afin de mener des recherches approfondies sur l’entreprise ciblée ou sur l’individu à personnifier. Des outils automatisés leur permettent de passer en revue les comptes sur les réseaux sociaux afin de collecter des informations stratégiques, d’identifier des périodes d’absence (vacances, congés, déplacements) et d’affiner leurs scénarios d’attaque.

Grâce à l’IA générative, ils sont également en mesure de produire du matériel frauduleux très convaincant, comme des courriels, des documents ou même des sites Web qui répliquent presque parfaitement l’identité visuelle d’entreprises ou d’institutions financières reconnues avec lesquelles votre entreprise fait affaire.

Il est donc essentiel de faire preuve de vigilance quant aux informations affichées publiquement sur les réseaux sociaux et autres plateformes numériques.

Également appelée « arnaque du faux dirigeant d’entreprise », cette fraude débute souvent après le piratage de la boîte de courriel de la personne à la tête de l’entreprise. Sous le couvert de cette adresse courriel, l’escroc communique avec une personne autorisée à effectuer des transactions, comme une adjointe administrative, un acheteur ou un commis aux paiements fournisseurs. Il prétexte une urgence ou une acquisition importante nécessitant le transfert de fonds vers un compte bancaire, souvent à l’étranger.

Avec l’intelligence artificielle, les fraudeurs peuvent, par exemple :

- imiter la voix d’un dirigeant ou d’une dirigeante pour ordonner un virement urgent au téléphone;

- créer une vidéo dans laquelle il ou elle annonce le changement de certaines directives.

Un fraudeur pirate la boîte de courriel de l’un de vos fournisseurs. Dans un courriel qui vous est envoyé de l’adresse habituelle du fournisseur, le fraudeur annonce un changement de coordonnées bancaires et demande que les paiements soient faits dans un nouveau compte. Vos prochains paiements ne seront ainsi jamais versés à votre véritable fournisseur.

Dans ce type d’arnaque, un individu se fait passer pour le représentant d’une institution financière et communique avec le propriétaire ou avec un employé ou une employée de l’entreprise. Il prétexte généralement un problème urgent ou une fraude présumée liée au compte bancaire de l’entreprise.

Lors de l’appel, le fraudeur peut, par exemple :

• envoyer un courriel contenant un faux lien de connexion et demander d’y inscrire les identifiants bancaires de l’entreprises pour les obtenir;
• demander d’installer un logiciel de prise de contrôle à distance;
• demander de composer une combinaison de chiffres sur le téléphone précédée, par exemple, de *21 ou *72. Cette combinaison sert à rediriger votre ligne téléphonique vers le fraudeur.

Un fraudeur se faisant passer pour un technicien informatique communique avec vous ou avec un membre du personnel par téléphone. Il prétend devoir faire une mise à jour urgente, une réparation ou une maintenance reliée à un problème critique qui menace l’ordinateur ou le réseau. Il pourrait aussi prétendre que l’ordinateur est infecté par un virus ou un logiciel malveillant. Il demande ensuite d’installer une application de prise de contrôle à distance afin de se connecter à l’ordinateur et de le sécuriser. Le fraudeur souhaite plutôt avoir accès à l’appareil afin d’y recueillir les identifiants et mots de passe de sa victime, ainsi que les informations bancaires de l’entreprise. En ayant en main ces renseignements, il sera ensuite en mesure de procéder à des transferts de fonds et de récolter les données confidentielles de l’entreprise.

Un client vous achemine un chèque pour payer les biens ou les services rendus. Vous constatez que le chèque est d’un montant plus élevé que prévu. Plutôt que d’émettre un nouveau chèque au bon montant, le client vous propose de déposer le chèque et de lui transférer un montant équivalent à la somme payée en trop. Dans ce type de scénario, le chèque s’avère souvent frauduleux. Les biens et services rendus, tout comme le remboursement du montant supposément versé en trop, sont donc perdus.

Malgré l’évolution des technologies et des stratagèmes, les techniques de manipulation restent souvent les mêmes :

• Urgence de la demande
• Manipulation émotionnelle (stress, peur, curiosité)
• Demande de discrétion
• Méthodes de paiement inhabituelles
• Accroches émotionnelles fortes

En connaissant ces techniques, vous et les membres de votre personnel serez mieux outillés pour les repérer.

Sensibilisez et formez les membres du personnel aux risques de fraude, aux procédures à suivre et aux signaux d’alerte. Vous pouvez, par exemple, mettre sur pied des initiatives concrètes, comme des séances éducatives, des simulations d’hameçonnage par courriel, des rappels de bonnes pratiques, des formations obligatoires ou encore des conférences animées par des spécialistes.

Des organismes comme Cybereco vous donnent accès à des outils de sensibilisation et à de la documentation sur les bonnes pratiques à suivre. Misez sur la répétition des conseils et des activités de sensibilisation pour développer la vigilance et les réflexes de votre personnel. Avec l’évolution des technologies, les fraudes ne cessent de se raffiner, d’où l’importance de conscientiser les membres de votre équipe en continu.

Mettez en place des procédures claires pour les virements, incluant des montants maximaux et des paliers d’approbation. Informez les personnes autorisées à faire des transactions pour l’entreprise des risques possibles et des procédures en place.

Pour aller plus loin, demandez que chaque demande de transaction reçue par courriel de la part d’un dirigeant ou d’une dirigeante soit confirmée de vive voix, par le biais d’un appel fait par l’employé ou l’employée. Il est important d’utiliser le numéro officiel et non celui indiqué dans le message reçu. Les directives contraires, même si elles semblent légitimes, doivent être ignorées.

Avant de procéder à une mise à jour de coordonnées bancaires, contrevérifiez l’information auprès de vos fournisseurs en communiquant avec eux de vive voix. Utilisez le numéro de téléphone déjà inscrit à vos dossiers, jamais celui indiqué dans le message reçu.

Lorsque vous recevez un courriel, portez attention à l’information inscrite après l’arobas (@) de l’adresse courriel de l’expéditeur. Si elle vous semble incorrecte ou que l’expéditeur vous est inconnu, il est probable que ce soit un message frauduleux. Les fraudeurs ne changent parfois qu’une seule lettre qui passe inaperçue. Par exemple, la lettre « m » est parfois remplacée par les lettres « r » et « n » (rn). Collées ensemble, elles ressemblent beaucoup à la lettre « m ». La vigilance est donc de mise!

De plus, ne cliquez pas sur des liens ou des pièces jointes provenant d’expéditeurs inconnus. Pour vérifier si un lien hypertexte est légitime ou non, placez votre curseur sur le lien, sans cliquer sur celui-ci. Vous pourrez ainsi faire apparaitre l’URL réelle du lien. Si vous avez des doutes sur l’information qui s’affiche à l’écran, ne cliquez pas.

Au téléphone, ne vous fiez pas au nom et au numéro de l’appelant sur l’afficheur : des techniques permettent aux fraudeurs d’utiliser un nom ou un numéro de téléphone d’apparence légitime.

Demandez à votre personnel d’utiliser des mots de passe complexes d’au moins 12 caractères, comme des phrases de passe.

Privilégiez également l’utilisation d’un gestionnaire de mots de passe plutôt que de noter vos identifiants de connexion dans un document Excel, par exemple. C’est pratique et plus sécuritaire.

Aidez à limiter les transactions frauduleuses à vos comptes et soutenez le processus d’enquête en communiquant rapidement avec :

• votre institution financière;
• le Centre antifraude du Canada;
• votre service de police local.

Poursuivre la lecture