La fraude au faux virement, l’arme préférée des escrocs

La fraude au faux virement, l’arme préférée des escrocs

Parmi les cyberattaques, celles qui préoccupent le plus les entreprises sont celles concernant des faux ordres de virements, qui progressent chaque année. Si les directions financières montent en compétence, elles ont encore un temps de retard sur des escrocs très innovants. Toutefois la vigilance des financiers est souvent le meilleur moyen de contrecarrer les tentatives d’arnaques.

«A l’heure actuelle, nous avons recensé 975 entreprises victimes d’escroqueries aux faux ordres de virements internationaux en France depuis 2010, avec un préjudice total de près de 350 millions d’euros qui ont quitté les caisses d’entreprises françaises pour alimenter le crime organisé, explique Sophie Robert, commissaire de police adjointe au chef de l’office central pour la répression de la grande délinquance financière (OCRGDF). Nous estimons que les tentatives qui ont échoué correspondaient potentiellement à près de 600 millions d’euros supplémentaires.» Des montants significatifs et qui continuent de progresser.

Plus aucune entreprise n’est en effet à l’abri de ce genre d’attaques, qui peuvent prendre des formes multiples. La plus classique reste celle au faux président. Même de grands groupes comme KPMG et Michelin se sont fait prendre : ils ont respectivement perdu 7,6 millions d’euros et 1,6 million d’euros. Cette fraude se déroule toujours selon le même schéma : un escroc se fait passer pour le président ou le directeur financier, prétexte une opération urgente – souvent une acquisition -, et demande un virement discret sur un compte étranger. «Les escrocs qui mènent ces opérations sont très innovants et très manipulateurs, témoigne un directeur de la sûreté d’un groupe du CAC 40. Et même Michelin, considéré comme l’une des sociétés les plus en pointe en matière de sécurité en France, en a été victime.» Il faut dire que si les entreprises sont mieux informées, les pirates ont eux aussi eu le temps de progresser.

La fraude au président, un classique français

«La fraude au président reste un classique efficace, explique Laurent Frappart, adjudant-chef responsable de la cellule N-TECH dans le Pas-de-Calais. Au moment des vacances, le nombre d’attaques tentées et réussies augmente.» Cette périodicité s’explique par la capacité des escrocs à enquêter sur les faiblesses humaines des sociétés. Les criminels férus de ces pratiques enquêtent en effet sur leurs cibles de manière continue, via toutes les sources d’information disponibles en ligne. Ainsi, quand les réseaux sociaux leur apprennent qu’un remplaçant est aux commandes, c’est le moment idéal pour attaquer.

Cette pratique de recherche d’information, appelée l’ingénierie sociale (voir encadré), permet aux fraudeurs d’être très crédibles vis-à-vis de leur cible. Le fait que les entreprises elles-mêmes communiquent de plus en plus d’informations sur Internet leur facilite à ce titre la tâche.

«Les pirates retrouvent souvent les vidéos des discours officiels des dirigeants pour récupérer la voix et les tics de langage de ces derniers, témoigne Marc Ayadi, associé responsable IT risk advisory chez Deloitte. Grâce à certains logiciels, ils peuvent reproduire ces voix afin de renforcer l’illusion nécessaire à l’usurpation d’identité.» Et ainsi convaincre la cible de faire un virement vers l’étranger.

Une fois la fraude commise, les escrocs n’ont aucune difficulté à brouiller les pistes. Leur technique financière est redoutable : ils organisent de nombreux virements, avec des passages dans les paradis fiscaux, en veillant à ce que le schéma ne soit jamais similaire d’une fraude à l’autre. De cette manière, les autorités peinent à suivre leur trace ! Mais, surtout, ces attaques s’opèrent dans des pays où il est difficile de mener une action judiciaire. «Nous avons réuni de nombreuses preuves sur la fraude au président et le doute n’est plus vraiment permis : les attaques viennent de français basés à Hong-Kong ou en Israël, où aucun accord ne nous permet de collaborer avec les équipes locales ou d’enquêter sur place», regrette Laurent Frappart.

La fraude aux factures, du neuf avec du vieux

Outre la fraude au président, les fraudeurs continuent d’innover et diversifient leurs méthodes. Plutôt que d’inventer une nouvelle technique de toutes pièces, les escrocs se sont inspirés de la fraude interne historiquement la plus efficace qu’il soit. En effet, les entreprises sont depuis des années victimes de salariés qui changent le RIB d’un fournisseur pour alimenter un compte personnel. Les escrocs se sont alors contentés de reprendre à leur compte cette technique, et de la sophistiquer.

«Il s’agit clairement de la nouvelle tendance utilisée par ces derniers, annonce un directeur de la sûreté d’un groupe du CAC 40. On nous envoie souvent des courriers ou mails aux allures officielles, demandant de changer les coordonnées bancaires de fournisseurs, comme EDF ou notre bailleur immobilier. La plupart du temps, la fraude est identifiable, car les comptes spécifiés sont ceux de banques exotiques.» Si les grands groupes sont assez protégés contre ces tentatives grâce à des procédures de contrôle efficaces, ils ne sont pas non plus à l’abri d’erreurs humaines. Et, surtout, les escrocs visent de plus en plus les ETI, moins vigilantes dans ce domaine, en ciblant en priorité les factures importantes de manière à obtenir un gain substantiel.

Enfin, ils utilisent de plus en plus des techniques combinées d’ingénierie sociale et de cyberattaques. Par exemple, une organisation liée au domaine sportif s’est vu délester de 700 000 euros de cette manière. Après avoir identifié les salariés intéressants, les fraudeurs les ont trompés avec un faux message officiel leur demandant de renseigner leur identifiant et mot de passe. Grâce à cela, les pirates ont récupéré ces données d’identification et ont pu se connecter au système d’information de la trésorerie. Ils ont alors trouvé une facture en souffrance et ont simplement changé le RIB du bénéficiaire. Ils n’avaient alors plus qu’à attendre le paiement de celle-ci.

Le contrôle interne, la meilleure riposte

Le problème dans ce cas-là a été in fine que la facture ait été validée, alors que le compte en banque, situé dans un pays étranger, aurait dû alerter les financiers. Des processus simples – comme l’accord de deux financiers pour faire un virement ou la vérification systématique du RIB – permettent alors d’éviter le pire, dès lors qu’ils sont respectés systématiquement. «En se tenant à ces règles de bon sens, cela met facilement fin à la majorité des tentatives, témoigne le directeur de la sûreté. Par exemple, notre filiale la plus importante a été victime d’une tentative de fraude au président au début de l’année. Le simple fait que le directeur financier devait vérifier l’information avec un responsable par le tchat (messagerie instantanée) interne a permis de confirmer ses soupçons de fraude.» En effet, ce dispositif de communication instantané n’est pas disponible en ligne mais uniquement depuis l’intranet, et n’est donc pas accessible au fraudeur externe. Le recours à cet outil permet de vérifier s’il s’agit d’une demande légitime ou bien d’une usurpation d’identité.

De manière générale, reprendre la main sur l’information est souvent le meilleur moyen de s’émanciper du contrôle qu’entend exercer l’escroc, qui joue sur l’isolement de sa victime. Au lieu d’attendre l’appel de ce dernier ou de le rappeler au numéro qu’il a donné, mieux vaux tenter de contacter directement la personne qui s’est présentée. «Dans 9 cas sur 10, le financier ou le manager dont on usurpe l’identité dément avoir demandé un virement et la tentative est avortée grâce à un simple coup de fil», ajoute le directeur de la sûreté.

Ainsi, un peu de bon sens et quelques automatismes suffisent souvent à contrecarrer la très grande majorité des tentatives. Et un contrôle interne efficace devient, de toute façon, un prérequis pour être couvert par son assurance en cas d’attaque fructueuse !

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *