Arnaque au faux virement

Chaque organisation communique avec un ou plusieurs tiers (comme des partenaires, des clients ou des fournisseurs) pour mener à bien ses activités. Les cybercriminels essaient de tirer profit de ces échanges : par la persuasion, la menace ou toute autre forme de pression, ils tentent de convaincre la victime qu'elle doit soit effectuer un virement imprévu et urgent, soit divulguer des informations confidentielles.

Leur objectif est de convaincre la victime qu’elle est obligée d’effectuer immédiatement une action pour finaliser ou débloquer une opération critique en cours. Et ce, tout en persuadant la victime de ne pas partager cette demande avec d'autres personnes en raison de son caractère confidentiel. En général, les cybercriminels se font passer pour l'un des tiers de l'organisation, de sorte que la victime pense que la demande est légitime.

 Le compte bancaire n'est pas celui associé au tiers en question mais, en l'absence de contrôle des données et de processus d'approbation, la victime n’est pas en mesure de se rendre compte que la demande est fausse. Cette arnaque peut aussi se dérouler lorsque les cyberpirates se font passer pour le CEO ou un directeur ( fraude au CEO) ou pour le support technique (arnaque au faux support technique).

Comment se protéger contre les arnaques au faux virement ?

1.    Sensibilisez les collaborateurs aux arnaques destinées à leur voler des informations confidentielles

Les collaborateurs d'une entreprise forment sa première ligne de défense. Tous vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

2.    Établissez et partagez des procédures claires concernant l'identification des personnes demandant une opération et l'approbation de l'exécution d'une opération

Quelle que soit la personne qui demande des informations, les collaborateurs doivent connaître les politiques en vigueur concernant la classification des données, le transfert et le partage d'informations et l'utilisation acceptable des informations. De plus, instaurer un processus officiel d'approbation des virements électroniques réduit les risques de tomber dans ce type d'arnaques, car un collaborateur finira toujours par se rendre compte que la demande est illégitime et qu’aucune suite ne doit lui être donnée. Enfin, un processus de vérification de l'identité de l'expéditeur doit également être mis en place, par exemple en comparant son nom ou son compte bancaire à une liste conservée en interne ou en essayant de le contacter par un autre moyen. Toute demande de modification de cette liste doit être approuvée hiérarchiquement, ce qui implique de suivre à la lettre les règles de sécurité et de paiement (par exemple, faire signer par plusieurs employés les paiements dépassant un certain montant). Enfin, ne décrivez jamais les procédures de paiement de votre entreprise à des inconnus ; gardez toutes ces procédures pour un usage interne.

3.    Faites attention à ce que vous publiez en ligne

Les médias sociaux et le site Internet d'une organisation permettent de toucher de nombreux clients. Toutefois, il n'est pas toujours possible de contrôler totalement le public qui a accès aux informations et aux messages publiés. Les informations personnelles ou confidentielles n’ont pas leur place sur ces plateformes, car elles pourraient être utilisées à des fins malveillantes, par exemple pour identifier les collaborateurs qui travaillent dans le département financier et qui seraient plus à même d'effectuer un virement.

4.    Sécurisez l'accès à vos comptes

Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

1. Signalez immédiatement l'incident à votre responsable IT
2. Prévenez vos collègues qu'ils pourraient recevoir un message d'une personne se faisant passer pour un client ou un fournisseur spécifique, mais qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si l'arnaque concernait des données bancaires, contactez immédiatement le responsable financier pour l'informer de l'incident. Si vous constatez que de l'argent a été volé sur votre compte bancaire, veillez à déposer plainte auprès de la police.
5. Si vous êtes le responsable de ce compte bancaire, appelez Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.