La fraude au président, ou escroquerie aux faux ordres de virement
Les entreprises doivent aujourd’hui faire face à une cybercriminalité très organisée, et d’une efficacité redoutable, ce qui se traduit par un véritable risque financier. Il est alors nécessaire pour les services de direction financière d’être informés des nouveaux types de fraude existants afin de pouvoir s’en prémunir. Regardons de plus près le cas de la « fraude au président ».
La fraude au président, qu’est-ce que c’est ?
Un fraudeur usurpe l’identité d’un cadre dirigeant de l’entreprise, dans le but de faire réaliser à un collaborateur une opération urgente et/ou confidentielle d’un montant important (ou sous la forme de plusieurs virements plus petits pour « sous les radars » bancaires) vers un IBAN frauduleux, souvent étranger. Il s’agit d’une technique dite « d’ingénierie sociale ». Usant de flatterie ou de menace, l’escroc est en position de force, et valorise son interlocuteur pour le manipuler. Il est rassurant (en félicitant sur la réactivité de la victime par exemple) ou au contraire fait usage d’un ton impérieux pour susciter la peur.
Le schéma est toujours le même. Le fraudeur a en amont récupéré un maximum d’informations sur l’entreprise (organigramme, délégations, événements récents…) afin d’être crédible et de mettre en confiance sa victime. Dans un premier temps, il se fait passer pour le dirigeant et contacte le service comptable par téléphone ou par mail. Après avoir instauré une certaine confiance avec l’interlocuteur, le fraudeur demande un virement important, urgent et confidentiel. Une fois le comptable persuadé, il effectue le virement, après avoir reçu les coordonnées du compte à créditer.
L’appel se fait généralement à des moments où peu de personnes sont présentes (vendredi soir, veille de jour férié, vrai dirigeant en vacances ou en événement commercial etc.). Il prétexte une situation inédite (téléphone perdu, voyage à l’étranger, imprévu). La demande est urgente, et nécessite une extrême discrétion (nouveaux projets, investissement nécessitant le secret, la confidentialité…) et l’interlocuteur demande souvent à ne pas être recontacté.
Exemple avec un cas concret
La société d’immobilier parisienne, Sefri-Cime, s’est fait extorquer un total de 33 millions d’euros suite à une arnaque de « fraude au président » (source : ZDNet)
Dans ce cas, les escrocs ont opéré à partir d’adresses e-mail contrefaites : après s’être fait passer pour le directeur de la société, ils ont contacté une comptable. Ils lui lui ont fait croire que la société préparait une introduction en Bourse, et qu’elle avait besoin de réaliser certaines opérations devant rester secrètes.
Un second escroc, se faisant passer un avocat du cabinet d’audit KPMG, est alors ajouté à la conversation. Celui-ci demande à la comptable de réaliser plusieurs virements vers des comptes situé en Hongrie, en Croatie et en Grèce. Les fonds seront par la suite redirigés vers des paradis fiscaux.
Quelques bonnes pratiques pour lutter contre cette arnaque
- Rappeler à l’ensemble des collaborateurs la nécessite d’avoir un usage prudent des réseaux sociaux privés et professionnels. Eviter de communiquer des informations sensibles et/ou confidentielles sur l’organisation de l’entreprise ;
- Sensibiliser régulièrement l’ensemble des employés de services comptables, trésorerie, secrétariats, standards, de ce type d’escroquerie. Prendre l’habitude d’en informer systématiquement les remplaçants sur ces postes ; (voir un exemple de sensibilisation globale faire par SRC Solution)
- Instaurer des procédures de vérifications et de signatures multiples pour les virements. Il est nécessaire de sécuriser les installations informatiques, notamment les logiciels, et de suivre des procédures de virements bancaires sécurisées. Ce processus doit être clair et défini en amont entre le dirigeant et les personnes en charge des virements de fonds. Ces derniers doivent être validés par au moins deux dirigeants et confirmés par une double signature électronique. La signature biométrique est un moyen imparable pour s’assurer de l’identité de la personne qui la valide.
- Accentuer la vigilance sur les périodes de congés scolaires, les jours fériés et les jours de paiement des loyers.
Que faire si vous êtes victime de la fraude au président ?
Prévenez le dirigeant, votre hiérarchie et alertez au plus vite votre banque. Il vous faudra constituer un dossier de preuves en conservant tous les messages émis par l’escroc. Ensuite, vous devez, au plus, demander à votre banque le retour des fonds, s’ils ont été versés. Il faudra ensuite déposer plainte auprès des services de police et de gendarmerie (dans les 24h suivant le virement pour espérer récupérer les fonds virés).
La plupart des entreprises ne portent pas plainte et ne disent rien par peur de la répercussion que cela va avoir sur leur image. Or, il est important de communiquer, peu importe le type d’attaque que vous subissez. Remonter l’information sur les plateformes dédiées comme Pharos ou Cybermalveillance.
Quentin CARLIER – Consultant junior cybersécurité