Dans un contexte inhabituel comme la pandémie de COVID-19, les entreprises peuvent être des cibles attrayantes aux yeux des fraudeurs. Voici un aperçu des procédés qu’utilisent de nos jours les auteurs de télévirements frauduleux et de fraudes par courriel, ainsi que des moyens à prendre pour protéger votre entreprise contre ces menaces.
Selon les statistiques récentes sur la cybercriminalité, l’escroquerie au faux ordre de virement a permis à des pirates de dérober, à l’échelle mondiale, plus de 26 milliards de dollars1.
Bien que les fraudeurs aient recours à diverses astuces pour intercepter ou rediriger des paiements, le mensonge est généralement leur arme de prédilection pour commettre une fraude sur paiement. En mentant au sujet d’une situation, ils amènent des propriétaires d’entreprise ou leurs employés à leur envoyer des paiements ou des virements d’un type ou d’un autre. À l’heure actuelle, la principale menace émergente en matière de fraude sur paiement est un stratagème qu’on appelle l’escroquerie au faux ordre de virement. Voici ce que vous devez savoir à ce sujet :
Comment cela fonctionne-t-il ?
Imaginons que vous êtes propriétaire, chef de la direction ou chef des finances d’une entreprise (ou, essentiellement, que vos fonctions vous autorisent à envoyer des sommes importantes). Un fraudeur pourrait mettre la main sur votre authentifiant de courrier électronique (ou sur un autre de vos authentifiants d’accès en ligne) et ensuite se faire passer pour vous. Il pourrait alors envoyer à l’un de vos employés des instructions lui demandant de diriger un paiement vers un compte bancaire de son choix.
Pourquoi cela fonctionne-t-il ?
Les criminels sont minutieux et font des recherches. Un fraudeur pourra inclure dans un courriel des détails concernant des membres de votre équipe et des projets en cours – et même des projets confidentiels –, ce qui donnera à son message une apparence de légitimité.
Conseil : La formation et l’information sont vos outils les plus efficaces pour protéger votre entreprise contre les tentatives de fraude. Les propriétaires d’entreprise doivent veiller à ce que leurs employés adoptent de bonnes habitudes en matière de sécurité, et le faire eux-mêmes.
Y a-t-il des variantes courantes de ce type de fraude ?
L’escroquerie au faux ordre de virement peut prendre diverses formes. Voici quelques exemples :
L’escroquerie au chef de la direction ou au propriétaire
Un fraudeur réussit à accéder au compte de courrier électronique du propriétaire, du chef de la direction ou d’un autre cadre supérieur d’une entreprise, ou reproduit un domaine Internet afin de donner l’impression qu’un courriel provient des plus hauts échelons. Il profite d’un voyage d’affaires du dirigeant pour envoyer en son nom un courriel demandant l’exécution d’une opération financière. En général, il demande qu’on modifie les renseignements ayant trait à l’acheminement des fonds vers un compte, ou encore qu’on effectue un dépôt ou un virement de nature inhabituelle. Comme il a fait des recherches et a surveillé les courriels, le fraudeur sait à quel moment sa « cible » sera à l’extérieur de la ville. Il attend donc qu’elle soit absente afin que le destinataire ne puisse pas lui parler en personne pour faire confirmer la demande. Le fraudeur ajoute un prétexte plausible justifiant la procédure inhabituelle et la nécessité de garder le secret : « Je prévois faire une annonce dans la matinée. D’ici là, veuillez ne mentionner cette demande à personne. »
Conseil : Choisissez des mots de passe difficiles à deviner et évitez d’utiliser le même mot de passe pour plusieurs profils sur Internet.
Demande de paiement provenant d’un fournisseur
Se faisant passer pour un fournisseur, un fraudeur envoie un courriel à un employé des comptes fournisseurs. L’information relative à son compte a changé, explique-t-il : « Pourriez-vous s’il vous plaît verser le paiement dans notre nouveau compte, dont le numéro est xxxx ? » Ainsi, même si les systèmes de votre entreprise ne sont pas infiltrés, le piratage du compte de courrier électronique de l’un de vos fournisseurs permet au fraudeur de vous envoyer une demande de réacheminement de paiement qui aura l’air légitime.
Le faux avocat – Selon un stratagème similaire, un faux avocat demande à un employé de virer vers un compte frauduleux la somme nécessaire à une opération importante – comme le règlement d’un litige ou le paiement d’une facture en souffrance. Persuadé par le fraudeur que le virement demandé est urgent et confidentiel, l’employé est peu enclin à demander une confirmation à quelqu’un d’autre.
Les entreprises qui utilisent un service de courrier électronique générique et gratuit sont fréquemment victimes de pirates qui, à leur insu, parviennent à envoyer des courriels au moyen de leur adresse de courrier électronique légitime. Les pirates surveillent les courriels sortants des comptes de courrier électronique génériques d’entreprises afin de détecter tout courriel contenant des directives ayant trait à un télévirement ou au paiement d’une facture. Ils interceptent alors le courriel, en modifient les directives, puis le remettent en circulation. Le courriel modifié est immédiatement supprimé du dossier des messages envoyés, ce qui réduit le risque que le stratagème soit découvert avant que le paiement ait été effectué.
Quels sont les types d’entreprises qui courent un risque ?
L’escroquerie au faux ordre de virement est utilisée contre des entreprises de toutes tailles et des cas ont été signalés dans 80 pays.
Les entreprises les plus vulnérables sont celles qui font affaire avec des fournisseurs étrangers ou qui effectuent régulièrement des télévirements. Cela dit, les fraudeurs s’adaptent et modifient leurs tactiques de façon à pouvoir les utiliser avec d’autres modes de paiement. Toute entreprise doit donc faire preuve de prudence à l’égard des demandes de fonds reçues par courriel.
Comment protéger mon entreprise ?
À l’origine d’une escroquerie au faux ordre de virement (ou de toute autre variante de la fraude sur paiement), il y a souvent une erreur humaine en plus du piratage de comptes et de systèmes en ligne. Il est facile de mettre en place certaines stratégies pour accroître votre niveau de sécurité en ligne ; toutefois, la façon la plus efficace de protéger votre entreprise est sans doute de former votre personnel. Les fraudeurs ont beau se servir de comptes de courrier électronique compromis pour demander la modification de numéros de téléphone ou de comptes associés à des paiements, ils ne peuvent mettre la main sur l’argent qu’ils convoitent que si quelqu’un envoie un paiement ou un virement.
Découvrez comment RBC peut vous aider à gérer votre trésorerie grâce à une gamme d'outils et de services conçus pour les propriétaires d'entreprise comme vous.
Conseil : Changez de méthode de communication pour les vérifications.
- Si vous recevez une demande de virement par courriel, utilisez un numéro de téléphone déjà dans vos dossiers pour vérifier l’identité de l’expéditeur.
- N’acceptez jamais une demande de modification du numéro de téléphone d’une personne-ressource reçue par courriel. Vérifiez plutôt ce qu’il en est par téléphone.
- Mieux vaut éviter les comptes de courrier électronique génériques. Investissez plutôt dans un compte offrant des méthodes d’authentification plus sûres.
- Utilisez toujours des mots de passe complexes et modifiez-les régulièrement.
Sources :
1. Dernières statistiques du FBI sur l’escroquerie au faux ordre de virement.
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.
