Avec environ 3,1 milliards de dollars dérobés aux entreprises dans le monde depuis janvier 2015, les arnaques au président auraient augmenté de 1 300 % selon le FBI.
Le FBI (Federal Bureau of Investigation), l’agence de sécurité américaine, a publié un bulletin d’alerte sur les pratiques de la fraude au président – un scam appelé Business Email Compromise (BEC) aux États-Unis, également appelé en France arnaque au président, ou escroquerie au RIB, au nom officiel d’escroquerie aux Faux Ordres de VIrement (FOVI) - qui se développent à un rythme élevé.
En mai 2016, l’Internet Crime Complaint Center du FBI a recensé 14 032 victimes sur le territoire américain, qui ont cumulé 960 millions de dollars de pertes. Des chiffres qui, quelque soit le pays où ils sont récoltés, sont inférieurs à la réalité tant de nombreuses victimes préfèrent se cacher… Depuis janvier 2015, le nombre de BEC aurait augmenté au rythme effrayant de 1 300 %, cumulant environ 3,1 milliards de dollars dérobés.
Comment ça marche ?
Souvent situés à l’étranger, les escrocs collectent en amont un maximum de renseignements sur l’entreprise. Cette connaissance, associée à un ton persuasif et convaincant, est la clé de réussite de l’arnaque. L’opération est ainsi lancée sur les personnes capables d’opérer les virements (services comptables, trésorerie, secrétariat...).
À partir de ces données, les escrocs font parvenir aux personnes identifiées de faux courriels internes qui présentent des cadres de l’entreprise en proie à des difficultés d’argent, ou des fournisseurs qui affirment changer de compte bancaire et qui demandent à ce que les prochains règlements soient virés à la nouvelle adresse du compte dont ils fournissent le RIB.
Bien évidemment, le compte est bidon, et les virements électroniques sont généralement effectués sous la forme de virements télégraphiques vers près de 80 pays différents selon le FBI, qui aurait identifié principalement des banques en Chine et à Hong Kong.
Des attaques de plus en plus sophistiquées
C’est un paradoxe qui s’explique simplement : plus les organisations développent des défenses de cybersécurité sophistiquées, et plus elles sont victimes d’escrocs qui se cachent derrière de faux courriels, mais particulièrement bien imités de vrais courriels, destinés à tromper l’attention d’employés ciblés et de les pousser à agir en intermédiaires inconscients des malversations.
Les pirates ont compris que s’ils expédient un courriel qui n’embarque aucune menace, il passera au travers des protections ! Et en effet, les courriels incriminés n’embarquent aucun virus, aucun lien frauduleux caché. Et ils apparaissent authentiques, avec des caractéristiques, nom de domaine, noms de personnes, coordonnées, signatures numériques correctes. De quoi tromper les destinataires, qui se fient trop aux passerelles de messageries sécurisées (Secure Email Gateway ou SEG) censées filtrer les e-mails frauduleux.
Les conseils du FBI
L’agence américaine donne trois conseils :
- éviter d’utiliser des comptes de messagerie gratuits sur le Web ;
- prendre des précautions lors de la publication des détails des descriptions sur les directions et d’autres informations internes sur les sites Web des entreprises et les médias sociaux ;
- sensibiliser les employés pour qu’ils se méfient et alertent lorsque des courriels suspects demandent des secrets ou une action immédiate.