Ce type de cyberattaque – visant les employés des entreprises – n’a cessé d’augmenter au cours de la dernière année. La « fraude au PDG » peut toucher tout type d’entreprise, des petites entreprises familiales aux grandes multinationales et il est essentiel de comprendre son fonctionnement afin d’en protéger les entreprises.

En 2018, le monde a été frappé par une arnaque qui a coûté aux entreprises environ 1,1 milliard d’euros : la « fraude aux PDG « . Cette arnaque est assez courante et le deviendra probablement encore plus en 2019.

La « fraude au PDG », également connue sous le nom de « Compromis par courrier électronique professionnel » (BEC), est une arnaque dans laquelle des cadres de haut niveau (également appelés cadres de niveau C) sont usurpés, donnant aux employés des ordres urgents et confidentiels pour effectuer des transactions financières d’une manière qui ne suit pas les procédures standard de l’entreprise. Les cybercriminels tentent de renforcer la confiance dans leurs victimes en utilisant des informations accessibles au public en ligne, ce qui rend tout sujet crédible.

Au fil des ans, les escrocs sont devenus plus sophistiqués dans leur façon de préparer le terrain au point de créer des situations plausibles avec une grande structure de support. Cela dit, le « modus operandi » reste le même, composé de quatre étapes principales:

• Phase 1: Cueillette de la victime

Informations quotidiennes sur les futurs événements d’entreprise, événements de parrainage, voyages, etc. est publié sur les sites Web de l’entreprise et les pages des réseaux sociaux des employés. Ces messages innocents qui peuvent chercher à faire de la publicité pour l’entreprise peuvent être exploités par des groupes criminels pour identifier le moment où un cadre supérieur – d’une entreprise multinationale ou d’une PME – sera injoignable, ou avec un accès restreint à l’ordinateur ou au téléphone.

Une fois que la personne qu’ils envisagent d’usurper l’identité a été identifiée, les criminels font des recherches sur le secteur de l’entreprise, le réseau de contacts, les partenaires, les transactions courantes, les nouvelles d’une éventuelle fusion et si le responsable a assisté ou non à un événement ou une foire où il pourrait effectuer un achat important. Par conséquent, les scénarios les plus courants utilisés par les criminels ces derniers mois pour gagner la confiance des employés sont les suivants:

• • Un faux directeur contacte un employé ayant accès à des comptes d’entreprise pour lui demander de transférer de l’argent de toute urgence vers un numéro de compte qui n’est normalement pas utilisé. Les cybercriminels savent qui contacter grâce à l’empreinte numérique de l’employé – en d’autres termes, les informations accessibles au public en ligne.
  • Une société de fusions et acquisitions fausse ou usurpée (M&A) dédiée à l’achat, la vente et la fusion d’entreprises écrit à l’employé pour lui demander de l’aider dans l’opération en transférant de l’argent. Les criminels s’excusent que leur supérieur, qui n’est pas joignable à l’époque, aurait dû leur en parler avant et que l’opération est confidentielle.

• Phase 2 : Manipuler l’employé

C’est ici que l’ingénierie sociale entre en jeu. Une fois l’alibi prêt, les criminels appellent ou envoient un e-mail à l’employé avec la permission d’effectuer des transactions ou d’accéder à des informations sensibles. L’e-mail est généralement envoyé à partir d’un domaine très similaire à l’original afin qu’il semble familier à l’employé. La signature est généralement omise ou une signature très similaire à l’original est utilisée.

La structure des e-mails a tendance à inclure les éléments suivants:

• • Brève introduction expliquant que c’est une question très urgente et confidentielle qui ne peut pas être expliquée aux collègues ou aux supérieurs.
  • Le corps de l’e-mail demandant des informations sensibles ou demandant à l’employé d’effectuer une transaction bancaire pour un montant élevé sur un numéro de compte inhabituel.
  • Une clôture rappelant à quel point la confidentialité et l’urgence de cette opération sont importantes.

Parfois, l’e-mail ne vient pas seul. Il peut être accompagné, ou précédé de:

• • Appels téléphoniques ou e-mails antérieurs confirmant que l’employé sera disponible lors de l’envoi de l’e-mail.
  • Documents joints qui simulent un accord de confidentialité.
  • Des détails très spécifiques sur les procédures et les transactions de l’entreprise qui semblent familiers à l’employé afin de gagner la confiance sur ce qui est demandé.

• Phase 3 : Réaction de l’employé

L’employé peut réagir en faisant ce qui est demandé sans poser de questions. Cela se produit en raison de la nature urgente du message. L’employé ne s’arrête pas pour vérifier l’adresse e-mail qui a envoyé le message, si l’e-mail a été écrit correctement en termes de structure et de grammaire, ou si la demande correspond à la pratique courante dans l’entreprise. Le cybercriminel a peut-être fourni suffisamment de données pour gagner la confiance de l’employé. En répétant plusieurs fois que quelque chose est confidentiel, les employés ont tendance à ne pas le partager avec leurs collègues par crainte de répercussions.

• Phase 4:L’impact

Les numéros de compte utilisés par les groupes criminels ont tendance à se trouver dans d’autres pays. Les incidents signalés ont utilisé des comptes en Chine, en Afrique ou dans des paradis fiscaux avec des politiques économiques différentes de celles en Europe. La législation différente combinée aux différences de temps et aux barrières linguistiques rendent impossible l’annulation des transferts ou le suivi de l’argent.

Même les systèmes les plus sécurisés ne sont pas sûrs si les portes sont laissées ouvertes aux criminels. Rappelez-vous: Vous êtes la meilleure défense!