Petite mise en situation. Vous êtes au bureau, il est 16h15, et vous recevez un message de la VP finance de l’entreprise. Un transfert de fond urgent est requis pour finaliser une entente avec un partenaire d’envergure, et le transfert doit être effectué d’ici la fin de la journée. Comment réagissez-vous?
Dans ce deuxième article, dans le cadre du Mois de prévention de la fraude, nous abordons un type très particulier d’arnaque, dont la popularité connait malheureusement une croissance fulgurante : Les arnaques au Président.
Qu’est-ce que c’est?
L’arnaque au président est une forme de harponnage ciblant des membres de l’équipe des finances ou de la comptabilité de l’entreprise. Si, dans une attaque de type whaling, les criminels ciblent la haute direction, dans le cas des arnaques au président, ils tentent plutôt de se faire passer pour eux auprès de certains employés clé, afin de les convaincre d’effectuer rapidement un virement supposément essentiel pour l’organisation. Le transfert est effectué vers un compte sous le contrôle des cybercriminels.
En lisant ceci, vous vous dites peut-être que vous ne tomberiez jamais dans le panneau. Après tout, vous connaissez bien vos supérieurs et reconnaîtriez facilement leur adresse courriel ou leur numéro de téléphone. Pourtant, le FBI estime qu’entre 2016 et 2019, les attaques de types Business email compromise (BEC) ont généré des pertes de 26 milliards $ US.
La ville d’Ottawa figure d’ailleurs au nombre des victimes de 2018. La trésorière de la ville, Marian Simulik, a transféré à des cybercriminels plus de 100 000 dollars canadiens après avoir reçu un courriel frauduleux. Un autre courriel frauduleux a été envoyé à la victime quelques jours plus tard, lui demandant de transférer 150 000 dollars supplémentaires. Heureusement, Marian Simulik a reçu ce courriel alors qu'elle se trouvait dans la même pièce que le directeur municipal Steve Kanellakos, dont les fraudeurs avaient utilisé le nom. Elle a donc confirmé directement avec lui si cette demande était légitime, ce qui a révélé l’arnaque.
Afin de convaincre leurs cibles, les arnaqueurs usent de divers stratagèmes. Comme dans de nombreuses arnaques, les criminels utilisent l’ingénierie sociale. Ils stimulent un sentiment d’urgence chez leur cible, afin d’inciter l’employé à agir rapidement et en posant un minimum de question. De plus, prendre l’identité d’un membre de la haute direction pour s’adresser à un employé précis pour une demande essentielle et urgente peut générer un sentiment de fierté. Qui veut prendre le risque de décevoir un membre de la direction qui nous accorde sa confiance?
Les criminels travaillent aussi en amont, afin de pouvoir voler l’identité requise. Trouver le nom des hauts dirigeants de l’entreprise ne requiert généralement qu’une simple recherche en ligne, probablement sur le site même de la compagnie. L’usurpation de nom ajoute ainsi de la crédibilité à leur tentative.
L’étape suivante concerne l’adresse courriel à personnifier. La méthode la plus simple pour les cybercriminels est de créer une fausse adresse courriel ressemblant à l’adresse légitime. Par exemple, janet.brown.ceo@yourbusiness.com pourrait devenir janet.brown.ceo@youbusiness.com. Ils peuvent également utiliser l’email spoofing, ou usurpation d’adresse courriel. En ce cas, l’adresse de l’expéditeur s’afficherait dans le message comme étant bel et bien janet.brown.ceo@yourbusiness.com. Dans les deux cas, le message frauduleux peut être programmé pour que la fonction « Répondre » génère un message qui sera envoyé à l’arnaqueur, plutôt qu’au destinataire légitime.
Comment se protéger?
La première mesure qu’une organisation peut adopter pour se protéger de ce type de fraude est un protocole clair et robuste en matière de transactions financières. Exiger l’approbation d’au moins deux personnes autorisés pour tout transfert peut par exemple figurer parmi les règles. Des règles sur les types de transferts peuvent aussi être mis en place.
Comme c’est généralement le cas en matière de prévention de la fraude, la sensibilisation et la vigilance sont une fois de plus vos alliés. Puisque ce type de fraude cible certains secteurs de l’organisation, un accent tout particulier devrait être mis sur les membres de ces équipes, notamment à l’égard des protocoles en place et des moyens de détecter ces arnaques. Les outils de base pour reconnaître les tentatives d’hameçonnage restent tout aussi valides ici. Ne pas succomber à la pression et au sentiment d’urgence, vérifier attentivement les détails – le nom, l’adresse de provenance et la signature par exemple – etc. sont évidemment de mise.
Inviter les employés à ne pas répondre directement à un courriel suspect, mais plutôt à contacter directement par téléphone – en utilisant le numéro officiel, plutôt que celui figurant dans la signature du message – peut aussi prévenir les dégâts. Dans l’exemple ci-haut, madame Brown pourrait confirmer dans un coup de fil de quelques secondes qu’il s’agit d’une tentative de fraude et non d’une demande de sa part.
Qu’il soit 9h10 ou 16h15, il n’y a pas de mauvais moments pour rappeler à toute l’équipe les mesures de prévention de la fraude; et il n’y a pas de mauvais moments pour les appliquer. Comme le dit le proverbe, « Il vaut mieux prévenir que guérir. »
Pour la suite de notre série spéciale du mois de prévention de la fraude, nos deux prochains articles hebdomadaires porteront sur l’un des outils de prédilection des arnaqueurs : l’ingénierie sociale.