Attention à la fraude au PDG : un piège à éviter
Avez-vous récemment reçu un courriel prétendument envoyé par votre « directeur général » vous demandant de virer des fonds à un « fournisseur » ? Ne cédez surtout pas à cette requête ! Il s’agit d’une escroquerie de type fraude au PDG, et je vais vous en expliquer les rouages.
Commençons par une anecdote.
Cette tentative de fraude au PDG m’est arrivée environ deux mois après avoir intégré toptips.fr en tant que rédacteur à temps plein.
L’arnaque n’était pas flagrante au départ, car l’escroc utilisait un nom de domaine d’apparence légitime, Virgin Media ([email protected]). J’ai cru que mon PDG était lié d’une manière ou d’une autre à cette société de télécommunications, les deux étant basées au Royaume-Uni.
J’ai donc répondu favorablement à la question initiale : « J’aimerais vous confier une tâche, êtes-vous disponible ? ». Par la suite, l’expéditeur a détaillé la mission, qui consistait à transférer 24 610 INR (environ 300 $) à un fournisseur. Les informations détaillées sur ce dernier devaient m’être transmises si j’acceptais.
Cependant, cela a éveillé ma méfiance. J’ai donc exigé de l’expéditeur qu’il prouve son identité avant que je puisse effectuer un quelconque virement. Après quelques échanges de courriels, le fraudeur a passé un appel. J’ai alors transféré toute la conversation à mon véritable PDG ainsi qu’au service informatique de Virgin Media.
Bien que je n’aie reçu aucune formation particulière pour gérer ce type de fraude, j’ai eu la chance d’échapper à ce piège.
Mais nous ne devrions pas nous en remettre uniquement à la chance ; il est préférable d’être informé et de sensibiliser les autres.
La fraude au PDG, également appelée « executive phishing »
Cette escroquerie relève du « spear phishing », une attaque ciblée visant une organisation ou certains de ses employés. Elle est qualifiée d’attaque de « whaling » si la cible est un cadre supérieur (tel qu’un membre du comité de direction) d’une entreprise.
Le FBI (Federal Bureau of Investigation) aux États-Unis classe ces escroqueries dans la catégorie « Business Email Compromise (BEC) » ou « Email Account Compromise (EAC) ». Selon un rapport sur la cybercriminalité, ces escroqueries ont généré près de 2,4 milliards de dollars de pertes en 2021.
Sur le plan géographique, le Nigeria est le principal pays d’origine de ces fraudes au PDG, avec 46 % des cas, suivi des États-Unis (27 %) et du Royaume-Uni (15 %).
Comment cette escroquerie fonctionne-t-elle ?
Il est important de souligner que la fraude au PDG ne nécessite aucune compétence technique ou expertise particulière en matière de criminalité. L’escroc se contente généralement d’envoyer un courriel aléatoire et de recourir à l’ingénierie sociale pour vous inciter à transférer des fonds ou à divulguer des informations sensibles à des fins illégales.
Examinons quelques-unes des techniques utilisées actuellement par les malfaiteurs.
Type 1
La forme la plus basique de ces escroqueries consiste à envoyer un courriel aléatoire prétendant provenir du PDG et exigeant un transfert d’argent. Ce type d’arnaque est le plus simple à repérer. Il suffit de vérifier attentivement l’adresse de l’expéditeur (et non son nom).
Généralement, le nom de domaine ([email protected]) révèle la supercherie. Cependant, l’adresse électronique peut sembler provenir d’une organisation légitime (comme c’était mon cas).
Ces détails donnent à l’escroquerie une apparence de crédibilité et peuvent tromper un professionnel peu averti. De plus, l’adresse courriel peut sembler authentique, mais avec de légères modifications subtiles, par exemple @gmial.com au lieu de @gmail.com.
Enfin, il est possible que le courriel provienne d’une adresse légitime, mais compromise, ce qui rend l’arnaque extrêmement difficile à démasquer.
Type 2
Une autre technique plus sophistiquée utilise les appels vidéo. Elle implique l’envoi de demandes de réunions en ligne « urgentes » de la part d’un faux cadre dirigeant à ses employés, principalement ceux du service financier.
Les participants sont alors confrontés à une image sans audio (ou avec un son falsifié par « deepfake ») et une explication indiquant que la connexion ne fonctionne pas correctement.
Par la suite, le faux « dirigeant » exige un virement bancaire vers des comptes bancaires inconnus, d’où l’argent est ensuite transféré via d’autres canaux (souvent via des cryptomonnaies) après la réussite de la fraude.
Type 3
Cette variante du type 1 cible les partenaires commerciaux plutôt que les employés, d’où l’appellation plus appropriée de « fraude à la facture ».
Dans ce cas, le client d’une organisation reçoit un courriel l’enjoignant de régler de toute urgence une facture sur des comptes bancaires spécifiques.
Source : Nouvelles de la CBC
Cette technique est souvent très efficace, car elle est généralement mise en œuvre à l’aide d’une adresse courriel d’entreprise piratée. Étant donné que le courrier électronique est un mode de communication parfois exclusif pour les professionnels, il en résulte des pertes financières et de réputation importantes pour l’organisation ciblée.
Comment identifier une fraude au PDG ?
En tant qu’employé, il est difficile de refuser une demande émanant de votre propre PDG. Cette psychologie est la raison principale pour laquelle les auteurs de ces escroqueries réussissent facilement avec un simple courriel.
Outre le fait de remettre en question les demandes financières, il est préférable d’exiger une visioconférence avant de « coopérer ».
De plus, dans la plupart des cas, il suffit d’examiner attentivement l’adresse électronique. Elle peut ne pas appartenir à votre organisation ou contenir des erreurs d’orthographe dans le nom de l’entreprise.
De plus, une institution ne peut pas enregistrer toutes les extensions de domaine. Il convient donc de se méfier d’un courriel provenant de [email protected] alors que l’adresse officielle devrait être [email protected].
Enfin, vous pourriez recevoir des courriels provenant d’une adresse d’entreprise exploitée « de l’extérieur » ou d’un membre interne malveillant. La solution à ce type de situation consiste à obtenir une confirmation verbale ou à informer plusieurs cadres supérieurs avant d’effectuer tout paiement.
Le moyen le plus efficace de protéger votre organisation, si vous en dirigez une, est d’intégrer la simulation de phishing dans la formation régulière des employés. En effet, les escrocs évoluent en permanence. Ainsi, un seul avertissement ponctuel ne sera pas très efficace pour protéger vos employés.
Conclusion
Malheureusement, nous dépendons fortement des courriels professionnels, ce qui crée d’importantes failles dont les criminels tirent souvent profit.
Bien qu’il n’existe pas encore de solution alternative à ce mode de communication, nous pouvons ajouter des partenaires commerciaux sur des applications telles que Slack ou même WhatsApp. Cela permettrait de confirmer rapidement si quelque chose semble suspect et d’éviter de telles mésaventures.
PS : Je vous recommande vivement de lire cet article qui traite des différents types de cybercrimes pour approfondir vos connaissances sur la culture Internet.