Toutes les entreprises, peu importe leur taille, peuvent devenir la cible de fraudeurs. Apprenez à reconnaître les principaux stratagèmes utilisés et à adopter des comportements sécuritaires pour protéger votre entreprise.
1. L’hameçonnage
L’hameçonnage est un stratagème couramment utilisé par les fraudeurs. Il peut cibler n'importe qui dans l’organisation : du simple employé à la personne qui dirige l’entreprise. Cette fraude consiste à envoyer des courriels et des textos d’apparence légitime, ou encore à communiquer par téléphone ou par l’entremise des médias sociaux. L’objectif est de vous inciter à agir de manière impulsive et immédiate en vous invitant à cliquer sur un lien, à ouvrir un fichier ou à télécharger un document. Par la suite, les fraudeurs peuvent entre autres installer un logiciel malveillant dans votre appareil et ultimement voler des renseignements personnels ou des informations financières. L’hameçonnage peut mener à d’autres stratagèmes de fraude ou de cyberattaque. Selon Cybereco, plus de 90 % des cyberattaques Lien externe au site. dans le monde débutent par un courriel d’hameçonnage.
À quoi peut ressembler une tentative d'hameçonnage?
Une technique particulièrement utilisée par les fraudeurs est l'hameçonnage lors d’un appel téléphonique. Un faux représentant communique avec un employé de l’entreprise en prétextant un problème dans le compte bancaire de celle-ci. Il demande à l’employé de composer sur le téléphone *21 ou *72, suivi d'une série de chiffres qui se trouve être le numéro de téléphone du fraudeur. Cette manipulation a pour conséquence de rediriger tous les appels de l'entreprise vers le fraudeur.
2. Le rançongiciel
Un rançongiciel est un logiciel malveillant qui peut avoir été installé à la suite d'un hameçonnage et qui a pour but de prendre en otage les données de votre entreprise. Le cybercriminel vous demande le paiement d’une rançon pour restaurer vos données. Selon le Centre canadien pour la cybersécurité Lien externe au site., « les rançongiciels peuvent avoir de graves répercussions telles que l’interruption des activités principales, la perte permanente de données, le vol de propriété intellectuelle, des atteintes à la vie privée, des atteintes à la réputation et des coûts élevés de reprise* ».
3. Les fraudes par personnification
Les fraudes par personnification consistent à se faire passer pour une personne de confiance (dirigeant d'entreprise, fournisseur) afin de manipuler les employés et de les convaincre de transférer des fonds vers un compte inhabituel, ou de donner accès à des renseignements confidentiels. C'est une technique de manipulation qui s'appelle l'ingénierie sociale. Pour atteindre leur but, les fraudeurs peuvent effectuer de nombreuses recherches sur l'entreprise ou sur la personne à personnifier. Ils passent souvent à l'acte quand la personne légitime est en vacances ou absente. Faites attention aux informations que vous publiez sur les réseaux sociaux à propos de votre entreprise. Les fraudeurs peuvent notamment copier l’identité visuelle et graphique d’entreprises ou d’institutions financières reconnues et avec lesquelles vous faites affaire.
L'arnaque du président
Également connue sous le nom d’arnaque du faux dirigeant d’entreprise, cette arnaque débute souvent après le piratage de la boîte de courriel de la personne dirigeant votre entreprise. Sous le couvert de cette adresse courriel, l’escroc communique alors avec un de vos employés autorisés à effectuer des transactions, comme une adjointe administrative, un acheteur ou un commis aux paiements fournisseurs. Il prétend une urgence ou une acquisition importante nécessitant le transfert de fonds vers un compte bancaire, souvent à l’étranger.
L’arnaque du faux fournisseur
Après avoir piraté la boîte de courriel de l’un de vos fournisseurs habituels, le fraudeur demande que les paiements à l’attention de ce fournisseur soient faits dans un nouveau compte. Le fraudeur, prétendant toujours être votre fournisseur, vous demande donc de changer les coordonnées bancaires. Les paiements ne sont ainsi jamais versés à votre réel fournisseur.
L’arnaque du faux technicien
Un fraudeur se faisant passer pour un technicien informatique communique avec vous ou avec l’un de vos employés par téléphone. Il prétend devoir faire, par exemple, la mise à jour d’un logiciel, ou encore la décontamination ou la réparation de votre ordinateur. Pour vous convaincre, ce technicien affirme que la version de votre logiciel est désuète (ou contaminée) et qu’elle ne sera bientôt plus accessible. Il demande ensuite de se connecter à distance à votre ordinateur pour effectuer une mise à jour. Le fraudeur souhaite plutôt avoir accès à votre ordinateur afin d’y recueillir vos identifiants et vos mots de passe, ainsi que les informations bancaires de l’entreprise. En ayant en main ces informations, il sera ensuite en mesure de procéder à des transferts de fonds.
4. L’arnaque du paiement en trop
Un client achemine un chèque d’un montant trop élevé pour payer les biens ou les services rendus. Plutôt que d'émettre un nouveau chèque au bon montant, il vous propose de déposer le chèque et de lui transférer la somme en trop. On apprendra plus tard que le chèque était frauduleux. Les biens et services, tout comme le remboursement du paiement versé en trop, sont donc perdus.
Prévenez les risques de fraude envers votre entreprise
1. Faire preuve de vigilance
Restez à l’affût des stratagèmes et signalez la fraude le plus tôt possible auprès des organismes d’application de la loi tels que le Centre antifraude du Canada Lien externe au site. et votre service de police local. Signalez à votre institution financière toute fraude, activité suspecte, ou opérations inhabituelles dans vos comptes bancaires.
2. Instaurer une procédure rigoureuse pour les virements
Mettez en place des procédures claires pour les virements, incluant des montants maximaux et des paliers d'approbation. Informez les personnes autorisées des risques et des procédures.
3. Sensibiliser et former le personnel
Sensibilisez et formez vos employés aux risques de fraude, aux procédures à suivre et aux signaux d'alerte. Des organismes comme Cybereco Lien externe au site. vous donnent accès à de la documentation sur les bonnes pratiques à mettre en place et à des outils de sensibilisation.
4. Agir de façon sécuritaire avec vos fournisseurs et vos clients
Validez tout changement de coordonnées bancaires de vos fournisseurs en communiquant avec eux de vive voix et auprès d’une source fiable, avec les numéros de téléphone déjà inscrits à vos dossiers.
5. Vérifier l’origine des textos ou des courriels
Vérifiez l'origine des messages et des appels. Par exemple, lorsque vous recevez un message, portez attention à l’information inscrite après l’arobas (@) de l’adresse courriel de l’expéditeur. Si l’adresse vous semble illégitime ou l'expéditeur vous est inconnu, il est probable que ce soit un message frauduleux.
De plus, ne cliquez pas sur des liens ou des pièces jointes provenant d'expéditeurs inconnus. Pour vérifier si un lien hypertexte est légitime ou non, placez votre curseur sur le lien, sans cliquer sur celui-ci. Si vous avez des doutes sur l’information qui s’affiche à l’écran, ne cliquez pas sur le lien.
Enfin, dans tous les cas, ne divulguez jamais de renseignements personnels.
6. Créer des mots de passe robustes
Utilisez des mots de passe complexes, comme des phrases de passe, et privilégiez l'utilisation d'un gestionnaire de mots de passe plutôt qu'un document Excel. C'est pratique et plus sécuritaire. Assurez-vous que votre système informatique est à jour et bien protégé.
Pour en apprendre davantage, consultez les outils de la trousse de sensibilisation à la cybersécurité.