Vous la connaissez sûrement sous le nom de « arnaque au président » ou « l’escroquerie aux faux ordres de virement ».  Cette fraude, bien-aimée des hackers, constitue un véritable cauchemar pour les entreprises. Ses répercussions sur leur activité peuvent être dévastatrices, entrainant des pertes financières considérables.

Apparue en France dans les années 2010, cette escroquerie s’est particulièrement développée ces dernières années, avec l’essor du télétravail. Les techniques utilisées par les cybercriminels se sont perfectionnées et sophistiquées avec le temps la rendant redoutable. Alors, voici quelques clés pour vous en protéger.

L’escroquerie aux faux ordres de virement, de quoi s’agit-il ? 

La fraude aux faux ordres de virements (FOVI) est une arnaque qui vise à amener la victime à réaliser un virement de fonds non planifié. Les cybercriminels utilisent différentes techniques de persuasion pour arriver à leurs fins pouvant aller d’une simple manipulation psychologique jusqu’à la menace. Il existe trois grandes catégories de FOVI :

La fraude au président

Cette variante consiste à usurper l’identité d’un dirigeant pour demander à un salarié de l’entreprise d’effectuer un virement imprévu de manière urgente et confidentielle. Le contact peut se faire par courriel ou par téléphone.

Le changement de RIB

Ici, le cybercriminel contacte l’entreprise en se faisant passer pour un fournisseur afin d’indiquer de nouvelles coordonnées bancaires sur lesquelles il faudra effectuer un règlement. Autre possibilité, il peut usurper l’identité d’un collaborateur de l’entreprise pour demander au service Ressources Humaines le changement de RIB où virer son salaire.

L’escroquerie à l’informatique

Elle est également nommée l’arnaque aux faux supports techniques. Cette fois-ci, le malfaiteur usurpe l’identité d’un éditeur de logiciel de comptabilité ou d’un responsable informatique afin de réaliser des opérations frauduleuses en prenant le contrôle du poste d’un utilisateur. La victime reçoit un appel, un sms, un e-mail ou encore une alerte lui indiquant un problème technique et lui demandant de contacter un prétendu support technique.

Quelles méthodes sont-elles employées par les cybercriminels ?

Cette escroquerie suppose des stratagèmes élaborés et planifiés pour être fructueuse. Avant d’agir, les cybercriminels mènent une enquête approfondie sur l’entreprise. Ils réalisent un véritable travail de fourmi, récoltant la moindre information qu’ils peuvent trouver sur internet et les réseaux sociaux à son propos. Organigramme, fonctionnement de l’activité, fournisseurs… Ils connaissent déjà tout de l’entreprise avant de démarrer l’arnaque.

Les méthodes utilisées par les pirates informatiques sont diverses. Certains escrocs manipulent leurs victimes à l’aide de scénarios bien construits et un discours très convaincant. Pour asseoir leur crédibilité, ils fournissent des détails précis sur l’entreprise et son environnement. Ils sont également capables de présenter des documents, telle une facture par exemple, obtenus au préalable frauduleusement.

En outre, les cybercriminels font usage de techniques de manipulation psychologique. Ils jouent sur un panel d’émotions, allant de la surprise, à la confiance, en passant par la peur et l’incompréhension. Ils utilisent également d’autres biais psychologiques comme la cupidité, le stress ou l’urgence dans des contextes qui leur sont favorables. C’est ce qu’on appelle plus communément l’Ingénierie Sociale.

En savoir plus : L’ingénierie sociale, ne tombez plus dans leurs pièges.

Des techniques davantage sophistiquées

Le monde de la cybercriminalité se professionnalise. Aujourd’hui, les pirates informatiques s’équipent et exploitent les technologies avancées pour mener à bien leur escroquerie. L’intelligence artificielle (IA) est particulièrement utilisée pour usurper efficacement et de façon quasi-indétectable, l’identité d’un individu. Elle est, par exemple, en capacité de reproduire fidèlement la voix d’une personne. C’est ce qu’on appelle le « Deep Voice ».

En 2020, une banque aux Emirates Arabes Unis en a malheureusement fait les frais. Le malfaiteur a imité la voix du PDG d’une grande entreprise à l’aide d’un mécanisme de Deep Voice et a convaincu le banquier de virer une somme importante sur plusieurs comptes situées aux Etats-Unis. Le préjudice subi s’élève à 35 millions d’euros.

Comment reconnaître et déjouer cette fraude ?

Au vu des techniques employés, on peut penser qu’il est très difficile, voire impossible détecter une escroquerie aux faux ordres de virement (FOVI). Pourtant, certains éléments peuvent vous mettre la puce à l’oreille. Cela nécessite bien évidemment d’être un minima vigilant.

Le premier signe qui doit vous alerter est le caractère inhabituel de la demande et de l’interlocuteur qui vous la transmet. Mettez en doute toute demande de virement non-planifiée, d’autant plus si le compte bancaire est domicilié à l’étranger (y compris en zone SEPA). Méfiez-vous lorsque la personne qui vous contacte n’est pas le correspondant habituel.

Le niveau élevé d’urgence et de confidentialité de la demande est également un signe avant-coureur. Il est souvent exploité par les cybercriminels afin d’amener leurs victimes à agir dans la précipitation et altère une prise de décision rationnelle.  

Les réflexes à avoir en cas d'arnaque :

Tout d’abord, examinez l’adresse de messagerie de votre interlocuteur. Regardez particulièrement le nom de domaine et son extension. Est-elle similaire à l’adresse e-mail habituelle ? Parfois, la différence est minime, elle peut se jouer un point ou un tiret. Par exemple : jean.dupond@interieur-gouv.fr au lieu de jean-dupond@interieur.gouv.fr. Vérifiez également que celle-ci ne change pas lorsque l’on répond au courriel.

Faites de même pour le numéro de téléphone. Assurez-vous que celui-ci correspond bien à votre interlocuteur ou à l’entreprise qui vous contacte. Dans ces deux cas, le contre-appel est un moyen efficace pour lever le doute. Attention toutefois à utiliser les coordonnées déjà connues par la société ou à les récupérer dans un annuaire public ou sur le site internet officiel de l’organisation.

Lorsqu’il s’agit d’un e-mail, analysez le contenu et la forme du message. Contient-il des fautes d’orthographe ou de syntaxe ? Les pièces justificatives de la dépense sont-elles cohérentes ? Les informations qu’elles contiennent sont-elles correctes ? La demande est-elle inhabituelle ? Autant de questions à se poser avant d’exécuter la demande qui vous est faite.

Pour résumer, la clé est de ne jamais agir sans avoir au préalable analysé la demande et vérifié l’information directement auprès des personnes concernées. Ne cédez jamais à la pression et au moindre doute, référez-vous directement à votre hiérarchie.

Instaurez des règles simples de prévention

#1. Sensibilisez régulièrement l’ensemble des collaborateurs, notamment dans les services concernés (service financier, comptabilité, secrétariat… etc.), à propos de ce type d’escroquerie. Prenez l’habitude d’informer systématiquement les nouvelles arrivées sur ces postes.

#2. Instaurez et diffusez des procédures claires portant sur les règles d’authentification des émetteurs et de confirmation des demandes de virement imprévues. Il en va de même pour la validation des changements de coordonnées bancaires.

#3. Veillez à limiter la diffusion d’informations portant sur l’entreprise (organigramme, contacts, procédures internes…) sur internet et les réseaux sociaux. Réduisez-la au strict nécessaire.

#4. Rappelez régulièrement les bonnes pratiques en matière de cybersécurité, notamment pendant les périodes où le niveau de vigilance a tendance à diminuer (période de congés ou de pic d’activité).

Que faire si vous êtes victime de FOVI