Comment repérer une arnaque : le courriel d’affaires compromis

Presque tous les gens qui travaillent dans un bureau sont habitués à recevoir une tonne de courriels au quotidien.

On veut souvent les traiter le plus efficacement possible. Mais qu’arriverait-il si vous receviez un courriel de votre patron vous demandant de payer une facture en retard d’un nouveau fournisseur?

Probablement que vous en feriez une priorité.

Mais il est possible que ce courriel ne provienne pas réellement de votre patron. Si vous n’êtes pas prudent, vous pourriez ne pas remarquer qu’il provient d’un fraudeur déterminé à arnaquer votre entreprise.

LIRE: Comment repérer une arnaque – L’arnaque des grands-parents

Il s’agit d’un stratagème répandu, appelé le « courriel d’affaires compromis » ou « fraude du président », et malheureusement, il est souvent très efficace.

Ce type de fraude arrive au deuxième rang pour les pertes monétaires parmi plus de 40 types de fraudes répertoriés par le Centre antifraude du Canada (CAFC). La fraude est réelle, elle gagne du terrain, mais avec une sensibilisation accrue, elle peut être évitée.

Selon le FBI, les courriels d’affaires compromis ont causé des pertes de 12,5 milliards de dollars américains à des entreprises à l’échelle mondiale en date de 2018.

LIRE: 5 façons de vous protéger contre les fraudeurs financiers

« Les entreprises de pratiquement tous les types et toutes les tailles sont vulnérables devant la fraude du courriel d’affaires compromis », affirme Dennis Parker, vice-président, Services bancaires aux entreprises.

« Malheureusement, il n’est pas nécessaire d’avoir une grande expertise technique pour duper les gens et les pousser à faire des paiements. »

Comment la fraude fonctionne-t-elle?

Ce type de fraude commence généralement par la collecte d’information. Les fraudeurs peuvent passer des semaines à recueillir des renseignements sur le site Web de votre entreprise, dans les médias sociaux, dans des communiqués de presse et dans d’autres sources fiables. Ils peuvent même parfois intercepter des échanges par courriel avant de décider qui sera ciblé et à quel moment.

Le fraudeur doit également décider quelle identité il prendra – habituellement, il s’agira d’un haut dirigeant, d’un fournisseur connu ou d’un employé – et si le compte de courriel de cette personne sera piraté ou usurpé.

LIRE: Cinq choses que vous ignorez peut-être à propos des stratagèmes amoureux de fraude

Ensuite, le fraudeur envoie généralement un courriel à un moment opportun, demandant de façon autoritaire à la cible, dans l’urgence, de faire une des choses suivantes :

  • Payer une facture par virement interbancaire ou transfert électronique de fonds (TEF);
  • Mettre à jour des renseignements sur le compte de fournisseurs existants;
  • Mettre à jour des renseignements sur la paie des employés.

Il s’agit habituellement d’un courriel qui semble provenir de quelqu’un que vous connaissez et crée un sentiment d’urgence, grâce à un ton confiant et convaincant. Le courriel fait appel au piratage psychologique et est savamment rédigé pour que le destinataire applique les instructions sans remettre en question le contenu au préalable.

Comment vous protéger et protéger votre entreprise 

  • Ne présumez pas que le courriel est un moyen de communication sécuritaire. Il est facile pour un fraudeur d’usurper une adresse courriel.
  • Favorisez une culture de remise en question au sein de votre entreprise. Les employés devraient se sentir à l’aise de poser des questions sur une demande inhabituelle.
  • Prenez le téléphone ou parlez en personne pour confirmer des instructions de paiement reçues par courriel.
  • Déterminez des politiques et des procédures pour valider la modification de renseignements sur les fournisseurs ou les employés.
  • Les courriels qui demandent des numéros de compte ou d’autres renseignements liés aux services bancaires ou financiers devraient vous mettre en alerte.
  • Demandez à votre banque des caractéristiques de sécurité additionnelles qui peuvent réduire le risque d’être victime d’une fraude.

Si vous pensez avoir été victime d’une telle fraude

Signalez-la : la fraude du courriel d’affaires compromis est une infraction criminelle. Même si les fonds n’ont pas été transférés, signalez l’incident au service de police local, à votre institution financière et au Centre antifraude du Canada. Ces signalements sont utiles aux enquêteurs.

Parlez-en : Si vous êtes victime de fraude, et même si vous avez simplement reçu un courriel frauduleux, racontez ce qui vous est arrivé. Savoir, c’est pouvoir – faire circuler l’information contribue à éviter que d’autres soient victimes de ces fraudes.