Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Communications Unifiées, FoIP, Innovation, Productivité, Sécurité, Technologie, Voix

Si vous ne connaissez pas bien cette expression, l’arnaque du président (aussi appelée la « fraude du faux PDG » ou « courriel d’affaires frauduleux ») ne renvoie pas à des activités frauduleuses menées pas votre PDG. Elle fait plutôt référence à la recrudescence de tentatives d’hameçonnage/ingénierie sociale/piratage pour que les employés envoient de l’argent ou divulguent des renseignements sensibles (numéros d’assurance sociale, données de comptes, etc.) à des escrocs qui se font passer pour des cadres exécutifs (PDG, directeur financier, président, etc.).

Est-ce que ça fonctionne? Absolument. Alors que la majorité des victimes intervient avant qu’il ne soit trop tard, plusieurs autres n’y parviennent pas. En conséquence, des entreprises ont connu des pertes se chiffrant en milliards de dollars.

D’après un article du magazine Bloomberg Businessweek publié l’an dernier, le FBI a comptabilisé plus de 12 milliards de dollars US en pertes mondiales de 78 000 sociétés de 150 pays en raison de cette forme d’escroquerie, depuis 2013, et le nombre de cas rapportés augmente régulièrement chaque année.

 

1.Voici à quoi peuvent ressembler des courriels de prétendus directeurs d’entreprise :

« Je ne suis pas au bureau en ce moment, et j’ai oublié de régler la facture de livraison des systèmes d’engrenages de ce mois-ci. J’aurais besoin que tu envoies un montant de ______ à ce numéro de compte immédiatement. Merci. »

ou

« Nous songeons à modifier le régime de retraite pour les employés, pourrais-tu me transmettre les dossiers contenant les numéros d’assurance sociale? J’ai besoin de vérifier certains détails relatifs à l’imposition avant d’autoriser les changements. J’ai une réunion dans vingt minutes, et je dois avoir ces dossiers en main d’ici là. »

ou

« J’ai une tâche spéciale à te demander. En fait, comme certains employés ont eu un rendement exceptionnel l’an dernier, j’ai l’intention de les récompenser et de leur faire une surprise. J’aimerais donc distribuer quelques cartes-cadeaux aujourd’hui pour souligner ma reconnaissance. Fais-moi signe si tu peux faire cela dans la prochaine heure. J’aimerais que tu me donnes 5 cartes-cadeaux iTunes d’une valeur de 100 $ chacune, totalisant 500 $, 5 cartes-cadeaux d’épicerie d’une valeur de 100 $ chacune, totalisant 500 $, 4 cartes-cadeaux Google Play, d’une valeur de 500 $, totalisant 2 000 $. Nous nous sommes parfois inscrits avec la carte-cadeau d’affaires pour bénéficier de récompenses et de mesures incitatives. Ces cartes-cadeaux seront distribuées pratiquement à tous les niveaux administratifs, c’est pourquoi n’en parle à personne. Confirme-moi si tu peux me faire cela au cours de la prochaine heure. Tu n’as qu’à prendre en photo toutes les cartes en prenant soin de rendre le NIP visible et envoie-les moi dès que possible. »

 

2. Comment fonctionne l’arnaque du président?

Ce genre d’arnaque, provenant prétendument de la direction, peut être réalisé en utilisant plusieurs astuces, selon le niveau de sophistication de la tentative de fraude. Sous sa forme la plus simple, il s’agit d’un courriel mal rédigé, dont l’adresse de l’expéditeur est inconnue, contenant un message mentionnant le nom d’un cadre supérieur de l’entreprise (probablement tiré du site Web de la société). Ce type d’arnaque pourrait également prendre une forme beaucoup plus insidieuse.

Voici quelques tactiques d’hameçonnage plus poussé :

  • Des recherches approfondies au sujet de votre entreprise pour sélectionner les directeurs à usurper et en prenant soin de mieux choisir ses cibles (tactique du « harponnage »). Cela pourrait comprendre le fait de suivre le personnel dans les médias sociaux pour en savoir plus sur leur manière de rédiger, en recherchant des documents d’entreprise, ou même en trouvant le moyen de s’introduire par usurpation dans les conversations à un niveau inférieur de la hiérarchie pour pouvoir disposer de ruses afin de tenter d’accéder à la haute direction.
  • L’usurpation par courriel – Cette technique vise à faire croire qu’un courriel provient d’une adresse interne. Dans le cas où le courriel n’indique pas l’adresse réelle de la personne usurpée, celui-ci a l’apparence de pouvoir être juste.
  • Des messages mieux rédigés – Étant donné que le personnel a été sensibilisé au fait de remettre en question l’authenticité des courriels mal rédigés (pas aussi souvent, toutefois, que le souhaiterait le service des TI), les fraudeurs plus sophistiqués consacrent plus de temps et d’efforts dans leurs tentatives de fraude. Bon nombre de ces courriels insistent sur le caractère urgent et l’importance de la personne qui est censée les envoyer dans le but que l’employé transmette de l’information ou de l’argent avant que celui-ci n’ait le temps de bien réfléchir à ce qu’il est en train de faire.
  • Le piratage des comptes de courriel – Quoi de mieux qu’une adresse de courriel piratée et des messages rédigés à partir de recherches extérieures? Se trouver à l’intérieur de l’enceinte et d’être en mesure de tout voir. Le piratage d’un compte de courriel d’un membre de la haute direction (ou pire, leur ordinateur entier) peut donner aux fraudeurs l’accès aux bonnes adresses de courriel et leurs signatures, ainsi qu’à un éventail de correspondances à consulter pour que leurs courriels se fondent encore mieux dans la masse.

 

Les membres de la haute direction ne sont pas que des cibles alléchantes, ils peuvent également être plus vulnérables aux attaques. Parmi tout le personnel d’une entreprise, ce sont les membres de la haute direction qui seront les plus susceptibles de posséder des ordinateurs portatifs comme ordinateurs principaux et de faire des déplacements. Cela signifie que leurs appareils se trouveront souvent en dehors des moyens de défense du réseau de l’entreprise. Il y a fort à parier que ces ordinateurs soient utilisés par le biais de réseaux non sécurisés, comme ceux des hôtels ou des salons d’aéroport, ce qui les rend plus vulnérables à des attaques intermédiaires de type « L’homme au milieu ».

 

3. Comment stopper les arnaques du président?

Bien qu’il semble impossible d’empêcher les tentatives de fraudes du président/PDG à l’encontre de votre entreprise, il existe des stratégies pour éviter que celles-ci se concrétisent.

Comme pour toute tentative d’hameçonnage, la formation du personnel est le meilleur outil de protection que vous avez dans votre arsenal.

  1. Organisez des campagnes de sensibilisation du genre « réfléchissez avant de cliquer » et rappelez-le souvent, en invitant le personnel à vérifier les adresses de courriel, la grammaire et l’orthographe, l’utilisation adéquate des logos et la présentation de la signature de l’entreprise. Ces mesures vous aideront à vous défendre contre les tentatives qui manquent de sophistication.
  2. Instaurez des pratiques rigoureuses pour préciser la manière qui sera employée par les cadres pour demander des renseignements sensibles. Exposez clairement à tous vos employés que si les procédures et la méthodologie adéquates ne sont pas observées, la demande devra faire l’objet d’une vérification attentive par d’autres moyens (comme appeler le demandeur directement), ou sera même ignorée jusqu’à ce que le protocole soit suivi. Cette mesure peut faire obstacle à une série de tentatives plus sophistiquées, voire des situations où le directeur a été lui-même victime d’un piratage.
  3. Mettez en place une solution de transfert sécurisé de fichiers munie d’une authentification à deux facteurs. Même si un pirate a pu accéder à la boîte de emails d’un cadre, il est fort probable que celui-ci n’ait pas son numéro de téléphone mobile. Si des renseignements sensibles sont transmis par le biais d’une telle solution, il se peut que la personne malveillante reçoive le message, sans toutefois obtenir la clé dont elle a besoin pour pouvoir ouvrir le fichier crypté. Celle-ci aura plutôt été acheminée au véritable directeur.

 

Simple, sécuritaire et conforme aux normes – Optez pour la solution de transfert sécurisé de fichiers pour votre votre entreprise

XM SendSecure est une solution de transfert sécurisé de fichiers de pointe qui est conçue pour protéger des renseignements sensibles de stockages éphémères (SafeBox), qui seront supprimés après un laps de temps déterminé. Une authentification à deux facteurs sert à garantir que le bon destinataire ouvrira les fichiers cryptés. Bien qu’il présente un système de protection avancé, XM SendSecure, de conception intuitive, est extrêmement convivial, minimisant ainsi la formation requise en vue de son utilisation. Une fonction rigoureuse de tenue de dossiers automatisée aide votre entreprise à se conformer plus facilement aux règlements en matière de confidentialité (peu importe votre secteur industriel) et à être prête à d’éventuelles vérifications.

Découvrez comment XM SendSecure peut s’intégrer à votre flux de travail actuel en renforçant la sécurité tout en conservant son rendement.

 

PARLEZ À UN EXPERT

 

Leave a Comment