Comment fonctionnent les fraudes par Ingénierie Sociale ?
Un fraudeur envoie un e-mail au service financier d'une entreprise en imitant un sous-traitant, un fournisseur, un créancier ou même un membre de la direction et demande qu'un paiement urgent soit effectué ou que les paiements futurs passent par un nouveau compte. À noter qu'il est souvent précisé au destinataire que cette transaction est urgente, exceptionnelle et doit rester confidentielle.
L'adresse électronique de l'expéditeur correspondant à une adresse connue ou s’en approchant fortement, ce type de fraude passe souvent inaperçu… jusqu'à ce qu'il soit trop tard. Les cybercriminels peuvent même pirater un véritable compte de messagerie à partir duquel les communications frauduleuses sont particulièrement difficiles à identifier.
Fraude par Ingénierie Sociale : étude de cas
400 000 USD de pertes : pour une entreprise basée aux États-Unis
Le service financier reçoit un e-mail du PDG demandant que des virements bancaires soient effectués vers de nouveaux bénéficiaires. Un membre de l'équipe saisit et valide les virements. Au moment où l'équipe s’est rendue compte que l'adresse électronique de l'expéditeur ne correspondait pas exactement à celle du PDG, deux jours s'étaient écoulés et l'auteur du forfait avait déjà détourné près de 400 000 USD.
920 000 GBP de pertes : pour un fournisseur global de plate-formes commerciales
Un employé reçoit un e-mail du « PDG », demandant qu'un nouveau virement soit effectué. La demande semblant légitime, le virement est saisi par un premier collaborateur et validé par un second. Ce n'est que plus tard que l'on a découvert que la messagerie électronique du dirigeant avait été piratée et que l’e-mail initial ne provenait pas de lui… Au final, l'incident aura occasionné pour la société une perte sèche de 920 000 GBP.
Quels sont les risques auxquels s'exposent les entreprises ?
- Pertes financières conséquentes
- Atteinte à la réputation
Comment se protéger face aux fraudes par Ingénierie Sociale ?
- Assurez-vous que tout votre personnel est régulièrement sensibilisé à ce type de fraude.
- Adoptez un processus de vérification des paiements en plusieurs étapes qui inclut une vérification non-électronique avec l'initiateur de l’opération (ex : téléphone / SMS).
- Utilisez toujours des coordonnées de contact connues pour valider une demande reçue par e-mail.
- ne répondez jamais directement à l'e-mail initial, et
- n'utilisez jamais de numéros de téléphone ou toute autre coordonnée contenue dans l'e-mail.
- Vérifiez toujours l'adresse e-mail d'un expéditeur.
Quelque chose qui semble légitime aux premiers abords peut s'avérer être une fraude