Actu
La « fraude par e-mail au PDG »
mai 2021 par Christopher Budd, Global Senior Threat Communications Manager chez Avast
L’arnaque de type BEC (Business Email Compromise, ou compromission de la messagerie en entreprise) fait référence à une usurpation d’identité en entreprise. Elle connait une forte recrudescence : l’Internet Crime Complaint Center (IC3) du FBI explique dans son rapport sur la criminalité sur Internet 2020 avoir traité 19 369 plaintes pour fraude de type BEC, représentant plus de 1,8 milliard de dollars de pertes cette année-là.
L’une de ses variantes les plus connues est la « fraude par email au PDG ». Petit point sur cette arnaque qui gagne du terrain.
Comment ça marche ?
L’approche est plus ou moins élaborée selon le degré d’inventivité de l’arnaqueur : un email provenant de votre PDG ou d’un supérieur vous incite à effectuer des virements bancaires (ou transmettre des données sensibles) afin de l’aider lors d’une situation difficile temporaire, ou effectuer un paiement qu’il est dans l’incapacité de réaliser, au nom de l’entreprise. La notion d’urgence pousse le destinataire à agir vite, sans se poser de questions. Il est bien évidement prié de n’en parler à personne.
Autre schéma : un faux prestataire vous demande de régler une facture, la plupart du temps en imitant un de vos prestataires habituels. La plupart n’y verrait que du feu ! La célèbre femme d’affaires américaine Barbara Corcoran, investisseur et juge de l’émission de télé-réalité entrepreneuriale « Shark Tank », a failli perdre près de 400 000 $ dans une escroquerie BEC de type « faux prestataire ».
Les cybercriminels peuvent également opérer via des SMS, des messages vocaux ou même des appels.
Prévenir plutôt que guérir
Parce que qu’elles ne profitent d’aucunes failles et s’appuient considérablement sur les sentiments humains, les attaques de type BEC sont difficilement contournables par des solutions informatiques. En effet, ce type de fraude existe depuis des années, bien avant la généralisation de l’e-mail. Les premières failles exploitées par les criminels ont été les sentiments humains, et ils continuent de l’être. Empathie, confiance, amour, culpabilité, etc. sont des leviers importants pour eux.
La solution ? L’échange : l’employé et l’employeur doivent communiquer et collaborer. Quelques conseils de base, qui peuvent sembler évidents, mais qui doivent devenir systématiques :
• Créer une relation solide avec ses employées et les informer de l’impossibilité de leur demander un quelconque montant, quelle que soit la situation : se connaitre mutuellement est important.
• Être suspicieux : il convient d’être extrêmement prudent, surtout lors de demandes inhabituelles.
• Imposer un process de vérification des paiements et des achats, afin qu’une multitude de vérifications soient apportées.
