Sensibilisation interne

Fausses demandes de paiement : apprenez à les détecter

Temps de lecture: 9 minutes

Si vous êtes victime d’une attaque d’ingénierie sociale, la mise en place d’un plan de réponse adéquat peut réduire considérablement les conséquences négatives. Découvrez des exemples concrets et des stratégies de rétablissement post-attaque.

Dans le domaine de la cybersécurité, l’ingénierie sociale est une méthode consistant à manipuler, influencer ou tromper des utilisateurs pour qu’ils révèlent leurs informations personnelles ou cèdent le contrôle d’un système informatique. Un nombre croissant d’entreprises organisent régulièrement des formations à la cybersécurité afin de sensibiliser et de préparer leurs collaborateurs, et les rendre moins réceptifs aux spams génériques et aux emails d’hameçonnage.  

Les auteurs de menaces s’adaptent constamment et adoptent de nouveaux moyens plus sophistiqués pour tromper les gens. Ils emploient un arsenal de stratégies, notamment des techniques de tromperies qu’ils mélangent harmonieusement avec un large éventail de méthodes, y compris des appels téléphoniques et même des appels vidéo en deepfake. Leur objectif principal consiste à exploiter les subtilités de la psychologie humaine et de manipuler les individus pour qu’ils compromettent leur propre sécurité ou celle de leur organisation. Si la majorité des scénarios d’attaque visent à accéder à des identifiants ou des informations sensibles, certains tentent d’inciter la victime à effectuer une action plus directe

Imaginez que vous soyez contacté·e depuis l’étranger par le soi-disant dirigeant de votre société mère, qui vous demande de payer rapidement une facture qui, en fait, est fausse. Les situations de ce type sont de plus en plus fréquentes. L’authenticité troublante de la voix générée par l’IA utilisée par les attaquants lors de l’appel téléphonique rend ces tromperies incroyablement efficaces. Si l’on ajoute à cela la présence de documents apparemment légitimes, il devient de plus en plus difficile de reconnaître l’escroquerie.  

Heureusement, une réaction rapide peut sauver la situation même lorsqu’un collaborateur tombe dans le panneau. Mais de nombreuses organisations n’ont pas cette chance. En 2016 par exemple, Reuters a rapporté le cas d’une entreprise américaine, dont le nom n’a pas été révélé, qui a été escroquée de près de 100 millions de dollars par des pirates qui ont créé de faux comptes de messagerie pour se faire passer pour l’un des véritables fournisseurs de l’entreprise. 

« Beaucoup de gens pensent qu’il n’y a rien à faire une fois que l’argent d’une victime est transféré à l’étranger, mais il y a des systèmes en place pour rappeler les transactions frauduleuses. » Tomonobu Kaya, Coordinateur de la lutte contre la criminalité financière à INTERPOL 

Malheureusement, les personnes victimes de telles attaques hésitent souvent à agir, par peur de la publicité négative ou parce qu’elles pensent qu’il est trop tard pour récupérer leur argent. Si vous êtes victime d’une escroquerie exigeant de faux paiements, ces mesures décisives peuvent vous aider à limiter les dégâts

Réagir à une attaque : marche à suivre pour récupérer vos fonds 

1. Contenez la situation  

Stoppez immédiatement tout paiement à l’imposteur ou à la fausse facture. 

 

2. Informez votre banque 

Contactez votre banque dès que possible pour signaler la transaction frauduleuse.  

Dès réception de la demande de rappel, la banque transmet un message à la banque du bénéficiaire, demandant l’annulation du paiement en utilisant le même chemin que la transaction. Si l’argent n’a pas encore été retiré par les criminels, il est possible de bloquer l’argent et de le restituer par la suite. Il est important de noter que la communication avec la banque peut parfois être difficile, mais de nombreux établissements financiers disposent déjà d’un agent de lutte contre la fraude disponible 24 heures sur 24.  

3. Essayez d’entrer en contact avec la banque destinataire 

Comme les numéros de compte et les codes bancaires ont des classifications uniques, vous devriez être en mesure d’identifier la banque bénéficiaire, quel que soit son lieu d’établissement. Ensuite, vous ou votre avocat pouvez essayer de la contacter directement, en lui demandant de geler les fonds et de coopérer avec les forces de police. 

4. Documentez l’incident 

Recueillez toutes les informations disponibles concernant l’incident, y compris la communication avec l’escroc.  

5. Contactez un avocat 

L’idéal est de rechercher un avocat spécialisé dans la cybercriminalité capable de traiter des affaires internationales, car les fausses demandes peuvent souvent provenir de l’étranger. Il peut être utile de faire appel à un cabinet juridique international, qui peut avoir des succursales ou des contacts dans le pays où les fonds ont été envoyés. 

6. Impliquez les services de police 

Contactez les forces de police locales et fournissez-leur toutes les informations pertinentes sur l’incident. Ils peuvent être en mesure d’agir rapidement et efficacement pour bloquer ou récupérer les fonds. Dans certains cas, ils peuvent collaborer avec des agences internationales telles qu’Interpol pour geler les avoirs. 

7. Notifiez la cellule de renseignement financier (CRF) 

Prenez contact avec la cellule de renseignement financier de votre pays, spécialisée dans la lutte contre le blanchiment d’argent et la fraude. Elle peut contacter ses homologues dans le pays bénéficiaire et faciliter la coopération. 

8. Déposez une plainte pénale 

Déposez une plainte pénale formelle dans le pays où les fonds ont été envoyés. Une enquête officielle et des poursuites judiciaires sont alors engagées à l’encontre des cybercriminels. 

Comment GymBeam s’en est tiré de justesse 

Un autre incident survenu en août 2023 a impliqué le PDG de GymBeam, une société de fitness, qui a signalé une attaque complexe sur ses moyens de communication. 

L’un des collaborateurs a reçu un message WhatsApp apparemment urgent provenant d’un compte semblable à celui du PDG, l’invitant à se joindre à un appel Teams pour faire face à une situation d’urgence. Au cours de l’appel vidéo, un deepfake complexe du PDG a été utilisé pour présenter un prétendu avocat externe. Cet imposteur a ensuite tenté de soutirer des informations financières essentielles. Heureusement, le collaborateur visé a senti que quelque chose n’allait pas, d’autant plus que le faux PDG prétendait être en vacances, alors que le collaborateur a aperçu le vrai PDG dans les bureaux plus tôt dans la journée. Le collaborateur a choisi d’envoyer rapidement un message au PDG et de vérifier l’authenticité de l’appel, ce qui lui a permis d’obtenir immédiatement la confirmation qu’il s’agissait d’une attaque d’ingénierie sociale. 

Source : LinkedIn 

Une réaction rapide est cruciale et peut vous éviter de perdre de l’argent 

Lorsqu’il s’agit d’attaques d’ingénierie sociale, qu’elles soient menées via de faux appels ou d’un compte email usurpé, il est essentiel de se rendre compte rapidement que l’on est victime d’une escroquerie et de réagir de manière appropriée. Plus vous réagissez rapidement, plus vous avez de chances de récupérer votre argent

Les services de police ont mis au point des procédures leur permettant de collaborer avec les banques pour aider à récupérer l’argent volé lors d’actes de cybercriminalité. Selon le rapport Verizon Data Breach Investigations de 2023, plus de 50 % des victimes d’attaques par ingénierie sociale ont pu récupérer au moins 82 % de l’argent volé.  Néanmoins, le montant moyen volé lors de ces attaques augmente régulièrement chaque année, et a atteint 50 000 dollars en 2022. En France, il est notamment possible de se tourner vers le dispositif officiel du gouvernement Cybermalveillance.gouv.fr qui vous permet de signaler l’attaque, d’obtenir un diagnostic et de vous mettre en relation avec des prestataires vérifiés. 

Après une attaque, la proactivité va au-delà des mesures techniques. Si les attaques par ingénierie sociale ne cesseront probablement pas de sitôt, les entreprises peuvent sérieusement en atténuer l’impact en s’armant de connaissances et en créant un environnement ouvert où les employés ne craignent pas d’être punis et se sentent soutenus pour signaler les incidents de cybersécurité.