Fraude des courriels d’entreprises : 1.2G$ en jeu

Quand on parle de fraude par courriel, on pense souvent à des particuliers qui se font avoir pour des prétendus transferts d’héritage ou d’autres promesses d’argent facile. Mais les entreprises sont également victimes de ces fraudeurs du cyberespace. Selon une récente alerte du FBI, les criminels ont réussi à soutirer plus d’un milliard de US$ aux entreprises en exploitant habilement le courriel.

Une fraude bien montée qui cible d’abord les dirigeants

Le principe de cette fraude consiste d’abord à prendre le contrôle du courriel du CEO ou d’un dirigeant de l’entreprise par des approches d’hameçonnage traditionnelles visant souvent ces dirigeants ou leurs assistants. Une fois que les fraudeurs ont accès au courriel du dirigeant ou à ses informations techniques, ils peuvent envoyer au service comptable de l’entreprise une demande de virement urgente qui aura l’air d’autant plus réelle qu’elle proviendra réellement du courriel du dirigeant et comprendra bien souvent des informations qui ne sont en théorie pas accessibles à quelqu’un d’externe à l’entreprise. Les fraudeurs vont même jusqu’à fournir un numéro de téléphone pour fin de vérification ou de questions particulières. Inutile de dire que la plupart du temps, le service comptable voudra satisfaire son patron en montrant sa célérité à gérer l’urgence plutôt que de « perdre du temps » avec une vérification qui lui paraît inutile.

IBM a publié récemment un rapport sur une fraude de ce type qui permet de découvrir un univers ou se combinent technologies et ingénierie sociale sophistiquées pour escroquer les entreprises.

Une arnaque mondiale en forte croissance

Depuis Octobre 2013, soit en moins de deux ans, ce sont plus de 8 000 entreprises qui ont porté plainte au Internet Crime Complaint Center du FBI. Elles ont rapporté des attaques pour près de 800M$, soit une moyenne de 100,000&nbsp$ par fraude. Selon le FBI des attaques similaires pour un montant de 400M$ ont été dénoncées aux autorités d’autres pays ce qui donne un total mondial de 1,2 milliard de $. Le FBI parlait d’un montant total d’à peine 215M$ au mois de janvier dernier, ce qui signifie qu’en à peine 6 mois ces fraudes représentent 4 fois plus d’argent que durant les 15 mois précédents.

Récemment, la compagnie Ubiquiti Networks, un fabricant de matériel de réseaux sans-fil, annonçait dans ses résultats trimestriels qu’elle a été victime d’une telle fraude qui lui a couté 46,7M$ ! Depuis Ubiquiti a réussi à récupérer 8,1M$ et espère mettre la main sur un autre 6,8M$ ramenant sa perte à 31M$.

Des précautions mais pas de miracle

Le FBI propose une série de précautions à prendre pour réduire le risque d’exposition à ces fraudes :

  • Mettre en place une technologie de détection des courriels utilisant un domaine similaire à celui de votre entreprise. Par exemple, si le courriel officiel de votre compagnie est @compagnie.com, le courriel @compagnie.com doit être repéré et reporté. Ne vous fiez pas aux technologies antipourriel car les courriels fabirqués pour ce type de fraude ne sont pas utilisés massivement et ne sont donc pas repérés par les systèmes de protection de masse.
  • Enregistrer tous les noms de domaines qui ressemblent à celui de votre entreprise.
  • Mettre en place un processus de double authentification lors d’un changement de domiciliation de paiement d’un fournisseur.
  • Faire confirmer verbalement toute demande de transfert de fonds en utilisant des numéros connus et non pas ceux qui sont fournis dans des ordres par courriel
  • Mettre en place un processus de vérification systématique lors de la réception de toute demande de transfert par courriel

Mais il n’y a pas de miracle. Même si ces précautions permettent de réduire le risque, elles ne garantissent en aucun cas une protection totale.

Pour les PME, le risque n’est pas moindre

Les PMEs sont en général moins à risque que les grandes entreprises car leur taille rend difficile de se faire passer pour un de ses dirigeants que l’employé connait personnellement mais cela ne signifie pas qu’elles soient totalement à l’abri. Elles doivent donc porter une attention particulière aux trois dernières recommandations du FBI qui n’impliquent pas de dépenses ou de compétences particulières pour êtres mises en place et qui peuvent réduire fortement le risque de perte.