Partenaires Contactez-nous Connexion

Blogs & actualité

Il est grand temps de s'armer contre la fraude aux PDG.

Récemment, il a de nouveau été touché. Une société de services financiers a été victime d'une fraude du PDG. Plus d'un million et demi d'euros ont été captés. Le directeur a déposé un rapport, mais l'entreprise reverra-t-elle jamais l'argent ? Probablement pas.

Un employé de la société a reçu un e-mail qui semblait provenir du PDG, demandant qu'un numéro de compte soit changé vers lequel les fonds destinés aux actionnaires seraient transférés. Un cas classique de fraude au PDG.

Il est grand temps de nous armer contre cette forme bien pensée de cybercriminalité. Qu'est-ce que la fraude au PDG, pourquoi est-elle si efficace et que pouvons-nous y faire ? Vous pouvez le lire sur ce blog.
11 avr Il est grand temps de s'armer contre la fraude aux PDG.

Qu'est-ce que la fraude au PDG ?

Dans la fraude au PDG, également connue sous le nom de chasse à la baleine, l'escroc envoie un e-mail au nom d'un cadre supérieur d'une organisation (souvent le PDG ou le directeur financier) à un employé avec un ordre de paiement frauduleux ou une demande de modification d'un numéro de compte. L'escroc crée une urgence et une nécessité, comme une acquisition prochaine ou un paiement à un client important. En raison de cette nature, il est demandé de s'écarter de la procédure habituelle.

Les criminels utilisent souvent l'usurpation d'adresses e-mail , utilisent des adresses e-mail similaires ou accèdent au compte de messagerie, par exemple en ayant obtenu des identifiants de connexion par hameçonnage.

La fraude au PDG est une forme de Business Email Compromise (BEC). La compromission des e-mails professionnels comprend également la fraude à la paie et la fraude aux fournisseurs :

  • Fraude à la paie : dans le cas d'une fraude à la paie, un criminel envoie un e-mail frauduleux aux RH ou à la paie pour leur demander de modifier ou de mettre à jour les informations de paiement. De cette façon, le salaire n'est pas transféré sur un compte bancaire légitime mais sur le compte de l'escroc.
  • Fraude fournisseur : Dans la fraude fournisseur, un criminel se fait passer pour un fournisseur avec lequel une organisation fait régulièrement affaire. Le criminel envoie une demande de mise à jour des coordonnées bancaires pour le paiement des factures impayées. Il est récemment apparu que Bol.com transférera 750 000 euros aux escrocs qui ont piraté Brabantia fin 2019. Les escrocs ont envoyé un e-mail depuis le compte de messagerie de Brabantia avec la demande de modifier les numéros de compte bancaire. Détail juteux : l'e-mail était bourré de fautes d'orthographe. Bol.com a estimé que ses employés avaient des raisons suffisantes de croire que les modifications apportées au numéro de compte étaient correctes. Cependant, le tribunal a maintenant décidé que Bol.com devait toujours payer Brabantia.

Regardez notre vidéo pour voir comment fonctionne la fraude au PDG. Cette vidéo fait partie d'un module de formation de notre plateforme de sensibilisation à la sécurité.


Action simple, gros dégâts

La fraude au PDG et la fraude aux fournisseurs en particulier impliquent souvent des tonnes ou des millions d'euros. L'exemple récent le plus célèbre est celui de la chaîne de cinéma Pathé, où 19 millions d'euros ont été captés. Le plus douloureux, c'est que la direction néerlandaise était la cible. Des criminels se sont fait passer pour des directeurs du siège français et ont envoyé à plusieurs reprises des e-mails à la direction néerlandaise demandant le transfert d'argent pour des acquisitions. Les hauts responsables néerlandais ont été licenciés après la découverte de ce raté.

Une autre affaire controversée a eu lieu à Feyenoord en 2014. Cette année-là, Feyenoord a vendu le défenseur Stefan de Vrij au club italien de la Lazio. Les clubs ont accepté de payer les frais de transfert en quatre versements. La dernière phase du paiement a mal tourné. En 2018, la Lazio a reçu un e-mail avec la demande de transférer le dernier versement de 2 millions d'euros au club de Rotterdam. Cependant, le numéro de compte indiqué était entre les mains de cybercriminels. Feyenoord n'a donc jamais vu ce montant du dernier versement.

Pourquoi la fraude au PDG est-elle si efficace ?

Comme pour toutes les autres formes d' ingénierie sociale , la fraude au PDG implique que les criminels jouent sur des facteurs auxquels les gens sont sensibles. La fraude au PDG peut être reconnue par les facteurs suivants :

  • Pression temporelle et urgence : l'argent doit être transféré rapidement, sinon une transaction importante ne peut pas se concrétiser. Ces demandes sont régulièrement envoyées en fin de journée pour souligner l'urgence.
  • Accent mis sur l'autorité et l'autorité : l'ordre (de paiement) est donné comme un ordre et émane d'une personne de la haute direction. Aller à l'encontre de cela serait inapproprié.
  • Insistez sur la confidentialité : il est important de traiter la mission de manière confidentielle. Les autres collègues ne doivent pas encore être prévenus.
  • Personne difficile à joindre : il est souligné que la communication n'est possible que par e-mail. La personne ne peut pas être jointe par téléphone en raison d'autres questions importantes.
  • Le collaborateur est rendu important : la cible a été choisie pour mener à bien la mission en raison de ses qualités exceptionnelles. Cela ne fonctionnera pas sans lui.

Malheureusement, c'est dans la nature humaine que nous aimons être (trop) serviables. Même s'il y a un doute, en raison de la combinaison des facteurs ci-dessus, nous avons toujours tendance à vouloir aider et faire nos preuves.

Comment vous armez-vous en tant qu'entreprise contre la fraude au PDG ?

Entrainement en cours

Heureusement, c'est de plus en plus la règle plutôt que l'exception, mais une formation continue de sensibilisation à la sécurité est essentielle pour former les employés à reconnaître et à éviter la fraude du PDG et d'autres attaques d'ingénierie sociale. Un moyen efficace et évolutif consiste à proposer périodiquement des formations en ligne. Cela alerte vos employés des signaux et leur fait prendre conscience que de telles demandes doivent toujours être vérifiées autrement que par e-mail.

Mesures techniques

Éliminez l'usurpation d'e-mails en configurant correctement le service de messagerie de votre organisation. Bien sûr, vous n'excluez pas toutes les attaques avec cela, mais vous limitez les possibilités pour les criminels. 

Fournir des procédures claires

Assurez-vous qu'il existe des procédures de paiement et de modification des détails de paiement qui s'appliquent toujours à tout le monde. Communiquez clairement ces procédures. De plus, assurez-vous que de telles demandes ne peuvent jamais être faites uniquement par courrier électronique.

Créer une culture de rapport

Une culture ouverte dans laquelle les incidents sont signalés rapidement est essentielle pour une prévention et une gestion appropriée. Mettez en place un point de signalement central, formez les employés sur ce qu'il faut signaler, comment le signaler, ce qui est fait avec le rapport et les rapports de récompense. 

Vous souhaitez en savoir plus sur la formation et la prévention ?

Alors n'hésitez pas à nous contacter pour en discuter !

+33 (0)1 44 04 01 73 info@awaretrain.fr

Découvrez notre plateforme de sensibilisation à la cybersécurité

Plus d'infos

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

09 jan
Hameçonnage : Le fossé entre les connaissances et le comportement Plus d'infos
5 étapes vers une culture de reporting sécurisée 14 nov
5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données Plus d'infos
De la sensibilisation à la culture de la sécurité. 10 oct
De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité. Plus d'infos
Voir tous les blogs
logo

+33 (0)1 44 04 01 73

info@awaretrain.fr

Plus d'informations

Qu'est-ce que la sensibilisation à la sécurité ?

Notre plateforme

Formation RGPD & Privacy

Simulation de phishing

Licences & tarifs

Essai gratuit

Livres blancs

Test de phishing gratuit

Posters & cartoons

Mesure de base

Rester informé Certifications ISO 27001

© Awaretrain | Tous droits réservés

Mentions légales
Conditions générales Données personnelles et sécurité