Fraude sur internet
Document sans nom

LA FRAUDE PAR INGENIERIE SOCIALE


Dans les techniques de fraude, l’Ingénierie Sociale se définit comme “l’art de manipuler son interlocuteur” pour qu’il réalise une action ou divulgue une information confidentielle.


Elle peut prendre plusieurs formes :

Ordonner un virement bancaire en se faisant passer pour le dirigeant...
Faire modifier les coordonnées bancaires d’un fournisseur / bailleur de l’entreprise
Détourner des lignes téléphoniques et des courriels...
Prendre le contrôle des serveurs à distance...

L’imagination des fraudeurs est sans limite, les escroqueries font des ravages dans les entreprises et leurs filiales !


La dimension internationale des escroqueries rend encore plus complexe la poursuite des fraudeurs. Les moyens techniques et informatiques actuels facilitent la tâche des fraudeurs tant en termes de variété que de complexité des attaques.

Les dernières techniques de fraude


Usurpation d'un fournisseur/bailleur


En usurpant l'identité d'un fournisseur/bailleur de l'entreprise, le fraudeur demande le changement des coordonnées bancaires du fournisseur/bailleur aux fins de détourner le paiement des prestations/loyers à son profit.


Les critères d’alerte :

  • Demande de changement de coordonnées bancaires d'un fournisseur/bailleur, quel que soit le support de la demande (courriel, téléphone, fax…)
  • Incongruité de la nouvelle domiciliation bancaire, alors située à l'étranger

Les techniques les plus courantes


La fraude au Président


En usurpant l’identité d’un dirigeant, le fraudeur obtient la collaboration d’une personne de l’entreprise (souvent des services financiers) pour effectuer un virement à l’étranger, en prétextant par exemple une acquisition urgente et ultra-confidentielle.


Les critères d’alerte :

  • Demande exceptionnelle, urgente et confidentielle
  • Forte pression exercée sur le collaborateur
  • Opération inhabituelle vers des bénéficiaires et/ou des comptes inconnus
  • Intervention d’un prétendu cabinet d’avocats dans la réalisation de ladite opération

Usurpation de la banque


Lors d'un appel téléphonique, le fraudeur se fait passer pour un interlocuteur de la banque afin d'obtenir des informations confidentielles (codes d'accès, mot de passe…) en demandant à l'entreprise de réaliser des connexions, des mises à jour voire d'exécuter des "virements tests".


Les critères d’alerte :

  • Demande de virement avec un montant élevé pour un test
  • Utilisation de la nouvelle norme SEPA pour justifier l'opération
  • Demande de prise de contrôle à distance de l'ordinateur du collaborateur
  • Annonce par un prétendu interlocuteur de la banque de l’indisponibilité du site Internet de la banque
  • Demande par le fraudeur au client, le code de son certificat ou son identifiant et son mot de passe

Usurpation des moyens de communication


Les fraudeurs confirment leurs demandes par de faux courriels ou faux fax, et vont même jusqu’à demander aux opérateurs télécom de re-router les lignes des standards vers leur numéro, rendant inopérants les contre-appels de vérification.


Les critères d’alerte :

  • Communication, par fax ou courriel, de nouvelles coordonnées bancaires de tout tiers en relation avec l’entreprise ( fournisseur, bailleur…)
  • Un site ou un service de votre entreprise ne reçoit aucun appel téléphonique pendant une période inhabituellement longue
  • Une connaissance de l’entreprise appelle sur un portable en indiquant que la ligne fixe ne répond pas ou qu'un inconnu répond à la place de l’interlocuteur habituel.

Adopter de bons comportements et des mesures de prévention pour lutter contre la fraude


Lutter contre la fraude suppose que chaque collaborateur :

Respecte quotidiennement les règles de sécurité de l'entreprise,
Alerte de toute demande inhabituelle.

Sécuriser les processus et outils internes

  • Définir et respecter les procédures de validation
  • Limiter et contrôler l'accès aux applications sensibles
  • Définir des procédures de contrôle pour tout changement de coordonnées bancaires notamment en s’assurant du pays destinataire repris dans l’IBAN.
  • Dissocier saisie et validation des ordres bancaires

Sécuriser les échanges avec la banque

  • Privilégier le canal web automatisé et sécurisé
  • Limiter ou supprimer les virements papier ou fax (risque de faux très élevé)
  • Alerter au plus vite la banque en cas de doute

Sensibiliser régulièrement les collaborateurs

  • Rappeler aux collaborateurs de ne révéler à quiconque, sous aucun prétexte, mots de passe et identifiants
  • Sensibiliser les collaborateurs au respect des procédures internes pour l’exécution d’une demande quelle que soit l'origine de cette demande
  • Inciter les collaborateurs à conserver un esprit critique et un exercice du droit d'alerte, à résister à la pression psychologique et à ne pas se laisser isoler
  • Communiquer aux collaborateurs le mode opératoire de toute tentative de fraude
  • Valoriser les managers et collaborateurs ayant déjoué des fraudes grâce à leur vigilance

Maîtriser la diffusion d'information

  • Limiter les informations publiées sur les sites Internet de l'entreprise
  • Recommander aux collaborateurs de ne pas publier d'informations relatives à l'entreprise sur Internet (réseaux sociaux, blogs...)
  • Limiter l'accès aux documents sensibles / Broyer les documents confidentiels obsolètes
  • Conserver la confidentialité des signatures manuscrites (équipes dirigeantes, collaborateurs, fournisseurs...)
Plan du site | Mentions légales | Politique de protection des données | Etudes économiques & financières | NOS TARIFS
© Crédit Agricole 2016