Avez-vous récemment reçu un e-mail de votre « PDG » vous demandant de transférer de l’argent à un « fournisseur » ? Ne le faites pas ! C’est une fraude au PDG que je vais vous expliquer en détail.
Commençons par une petite histoire de fond.
La fraude au PDG m’est arrivée près de deux mois après avoir rejoint toptips.fr en tant qu’écrivain à plein temps.
Ce n’était pas évident tout de suite, car l’escroc utilisait un nom de domaine réputé Virgin Media ([email protected]), et je pensais que mon PDG était en quelque sorte lié à cette société de télécommunications puisque les deux sont situées au Royaume-Uni.
Alors, j’ai répondu à l’initiale ‘Je voudrais t’assigner une tâche, es-tu libre ?’ positivement. Ensuite, l’expéditeur a détaillé une tâche englobant le transfert de 24 610 INR (~ 300 $) à un fournisseur, dont les détails auraient été partagés si j’avais accepté.
Mais cela m’a rendu un peu méfiant et j’ai demandé à l’expéditeur de prouver son identité avant de pouvoir transférer quoi que ce soit. Quelques e-mails plus tard, le fraudeur a appelé et j’ai envoyé la conversation à mon PDG actuel et à la cellule informatique de Virgin Media.
Même si je n’avais aucune formation préalable pour gérer ce genre de fraude, j’ai eu la chance de ne pas tomber dans ce piège.
Mais nous ne devrions pas compter sur la pure chance ; au lieu de cela, sachez-le dès le départ et éduquez les autres.
Table des matières
CEO Fraud, alias Executive Phishing
Cela relève du spear phishing, une attaque visant une organisation particulière ou certains de ses employés. Il sera connu comme une attaque de phishing à la baleine si la cible est un employé de haut niveau (comme un C-suite) de n’importe quelle institution.
Le Federal Bureau of Investigation, États-Unis, classe ces escroqueries sous le Business Email Compromise (BEC) ou Email Account Compromise (EAC), qui a représenté près de 2,4 milliards de dollars de pertes en 2021, selon ce rapport sur la criminalité sur Internet.
Géographiquement, le Nigeria est le premier pays abritant 46 % des fraudes aux PDG, suivi des États-Unis (27 %) et du Royaume-Uni (15 %).
Comment cela marche-t-il?
Notamment, la fraude au PDG ne nécessite aucune compétence technique ou savoir-faire criminel. Tout ce que vous obtiendrez est un e-mail aléatoire et une ingénierie sociale pour vous inciter à envoyer des fonds ou à révéler des détails sensibles pour d’autres actions illicites.
Voyons quelques façons dont les mauvais acteurs le font « actuellement ».
Type 1
Une adresse e-mail aléatoire imposant que le PDG demande de l’argent est la forme la plus simple de telles supercheries. Et celui-ci est facile à repérer. Tout ce que vous avez à rechercher est l’adresse e-mail (et non le nom).
Généralement, le nom de domaine ([email protected]) trahit la fraude. Cependant, l’adresse e-mail peut indiquer une organisation renommée (comme ce fut le cas dans mon cas).
Ces récompenses ont ajouté de la légitimité à l’escroquerie, qui peut victimiser un professionnel non averti. De plus, l’adresse e-mail peut sembler authentique mais avec de légers changements imperceptibles, comme @gmial.com à la place de @gmail.com.
Enfin, il peut provenir d’une adresse e-mail légitime mais compromise, ce qui rend extrêmement difficile la détection de l’escroquerie.
Type 2
Une autre technique plus sophistiquée utilise les appels vidéo. Cela inclut une adresse e-mail « gérée » d’un haut fonctionnaire qui envoie des demandes de réunion en ligne « urgentes » à ses employés, principalement au sein du service financier.
Ensuite, les participants voient une image sans audio (ou avec un son deepfake) avec une affirmation selon laquelle la connexion ne fonctionne pas comme prévu.
Par la suite, le «dirigeant d’entreprise» demande d’initier un virement bancaire vers des comptes bancaires inconnus, d’où l’argent est détourné via d’autres canaux (lire les crypto-monnaies) après une fraude réussie.
Tapez 3
Celui-ci est une variante du type 1 mais cible les partenaires commerciaux et non les employés, obtenant un nom – fraude à la facture – plus adapté à son mode opératoire.
Dans ce cas, le client d’une organisation reçoit un e-mail pour payer de toute urgence une facture sur des comptes bancaires spécifiques.
Source : Nouvelles de la CBC
Celui-ci a le taux de réussite le plus élevé car il est normalement réalisé à l’aide d’une adresse e-mail d’entreprise piratée. Et comme le courrier électronique est le mode de communication, parfois exclusif, des professionnels, il en résulte d’énormes pertes financières et de réputation pour l’organisation cible.
Comment vérifier la fraude au PDG ?
En tant qu’employé, il est difficile de rejeter une demande de votre propre PDG. Cette psyché est la principale cause pour laquelle les auteurs obtiennent facilement du succès avec juste un e-mail aléatoire.
En plus de remettre en question les demandes financières, il est préférable de demander une réunion vidéo avant de « coopérer ».
De plus, dans la plupart des cas, il vous suffit de vérifier attentivement l’adresse e-mail. Cela peut ne pas appartenir à votre organisation ou peut avoir des versions mal orthographiées du nom de l’entreprise.
De plus, une institution ne peut pas enregistrer toutes les extensions de domaine. Donc, vous devez vous méfier de recevoir un e-mail de [email protected] quand l’adresse officielle devrait être [email protected]
Enfin, vous recevez peut-être des e-mails d’une adresse d’entreprise exploitée « de l’extérieur » ou d’un membre interne malveillant. La clé d’une telle situation est la confirmation verbale ou la mise au courant de plusieurs cadres avant d’effectuer tout paiement.
Et le moyen le plus efficace de protéger votre organisation, si vous en dirigez une, consiste à intégrer la simulation de phishing dans la formation de routine des employés. Car ces fraudeurs évoluent constamment. Donc, donner un seul avertissement unique n’aidera pas beaucoup vos employés.
Emballer!
Malheureusement, nous dépendons fortement des e-mails professionnels, ce qui laisse de grandes lacunes que les criminels exploitent souvent.
Bien qu’il n’existe pas encore de substitut à cette forme de communication, nous pouvons ajouter des partenaires commerciaux sur des applications telles que Slack ou même WhatsApp. Cela aidera à confirmer rapidement si quelque chose semble suspect et à éviter de tels revers.
PS: Si j’étais vous, je ne manquerais pas cet article couvrant les types de cybercrimes pour une culture Internet supplémentaire.