La fraude au Président, à la découverte d'une arnaque bien organisée
L’arnaque au président connu également sous le nom de FOVI (Faux Ordres de Virements), désigne une fraude réalisée à l’intention d’une société quelconque (les grandes structures comme les petites et moyennes entreprises). Ce type d’escroquerie peut être réaliser par messagerie électronique, ou téléphone. L’arnaque au président : de quoi s’agit-il et comment s'en protéger ?
L’arnaque au président
L’arnaque au président n’est pas une nouvelle forme d’arnaque ; en effet elle existe depuis une dizaine d’années déjà et fait de nombreuse victime parmi les entreprises. Les établissements qui en sont victimes subissent de lourdes pertes d’argent.; Les pertes occasionnées peuvent être considérables, et même couler des petites sociétés. Malgré que ce type d’arnaque soit apparue il y a un bout de temps déjà, les entreprises sont de plus en plus victimes de l'arnaque au président. L’ingéniosité sans cesse croissant des auteurs, et la facilité d’obtenir des informations en ligne rend plus difficile la défense face à cette cyberattaque.
Ce type d'escroquerie est l'œuvre d'organisations criminelles ou d’individues qui préparent minutieusement leur approche des entreprises. Les fraudeurs connaissent bien la société cible, son activité, ses projets, grâce aux informations ouvertes disponibles sur internet. Les auteurs se font passer par téléphone ou par mail pour le dirigeant d’une société sollicitant un virement bancaire prétextant une opération financière urgente et confidentielle. Sous pression, la société procède alors au virement. Les fonds ainsi récupérés sont aussitôt transférés par l’arnaqueur sur des comptes étrangers. Dans le processus du FOVI, l’approbation de la transaction par un supérieur (par exemple, le PDG) ou une instruction de ce dernier est simulée avec des courriels contrefaits et / ou un appel téléphonique.
Comment l’arnaque se déroule ?
La manipulation et la psychologie sont les clés de la réussite de ce genre d’arnaque.
Les arnaques au président sont des arnaques très bien planifier. Les auteurs se servent de plusieurs techniques d’ingénierie sociale afin de collecter des informations sur l’entreprise cible et d’initier le contact avec les employés.
L’arnaque aux FOVI consiste dans un premier temps pour l’arnaqueur à collecter des informations pour tout connaître d’une entreprise et de ses dirigeants. Une fois l’escroquerie lancée, celui-ci se fait alors passer pour le dirigeant de ladite entreprise par téléphone ou par mail. Les auteurs utilisent principalement les informations obtenues grâce au « social engineering » (ingénierie sociale), méthode qui vise à soutirer des informations à des personnes sans qu'elles ne s'en rendent compte. Ils utilisent aussi des techniques de phishing et de spoofing pour prétendre être quelqu’un d’autre et atteindre les employés de la structure cible.
Afin d’atteindre leur objectif, les fraudeurs visent souvent les assistantes de direction ou le personnel comptable de l’entreprise et utilisent les informations du dirigeant pour demander de l’argent.
Des scénarios bien préparés
La cible idéale : une personne de premier niveau hiérarchique, comme un comptable ou n’importe quelle personne ayant accès aux comptes de l’entreprise. Au départ, l’arnaqueur va jouer la carte de la flatterie : « Vous êtes une personne en qui je fais toute confiance », « Je vous ai choisi pour votre dévouement et votre discrétion », etc. En cas de réticence, il passe aux menaces : « Si cette opération échoue, vous mettez toute la société en danger ». Pour justifier un envoi de fonds vers l’étranger, le « président » évoque alors une acquisition de société ou un redressement fiscal à régulariser. Le ou la comptable doit alors effectuer un virement urgent, l’opération étant bien entendu confidentielle.
Falsifications et piratages pour crédibiliser l’histoire
L’arnaque se couple souvent à l’usage de faux documents et de piratages informatiques. L’arnaqueur aura récupéré puis scanné la signature manuscrite du PDG sur un document officiel. Il lui suffit ensuite de l’apposer sur la demande d’autorisation de la banque et de l’envoyer par fax. « Les hackers peuvent même intercepter les échanges téléphoniques avec la banque pour capter les codes de confirmation de virement ». L’argent est envoyé sur un compte à l’étranger. Il est ensuite très rapidement dispatché sur des comptes offshores, ce qui rend quasi impossible le blocage des ordres au-delà de 24 heures.
Le mode opératoire est toujours le même : le fraudeur contacte le service comptable d’une entreprise cible, en se faisant passer pour le président de la société mère ou du groupe. Le contact se fait par courriel ou par téléphone, via le standard. Après quelques échanges destinés à instaurer la confiance, le fraudeur demande que soit réalisé un virement international non planifié, au caractère urgent et confidentiel. Le comptable sollicité s'exécute, après avoir reçu les références du compte étranger à créditer.
Un employé relativement expérimenté de l'entreprise reçoit un courrier électronique qui semble émaner d’un directeur demandant un important transfert de fonds à une tierce partie afin de faciliter une transaction commerciale. Le courrier électronique semble authentique, le paiement est donc effectué. Cependant, après une enquête plus approfondie, il est déterminé que l'adresse électronique ne provient pas du compte du chef de la direction, ce qui est confirmé lorsque ce dernier est informé de la transaction. Les fonds ont déjà été transférés et ne peuvent pas être localisés générant une réclamation auprès de l'assurance.
Comment savoir s’il s’agit d’une arnaque au président ?
Contrairement à ce que l’on peut penser, une abondance de détails sur l’entreprise n’est pas forcément une preuve de crédibilité. Les fraudeurs préparent en amont un maximum d’informations sur la société : liste des collaborateurs (tirée de LinkedIn), activités récentes (rachat d’une filiale, nouveau fournisseur…), niveau de trésorerie, filiales à l’étranger et même l’emploi du temps du dirigeant (voyage à l’étranger par exemple). Parfois les victimes elles-mêmes donnent involontairement des informations lors des appels (« Je ne peux pas effectuer ce virement, car le plafond autorisé est un tel montant … »). Il est plus facile d’éviter de tomber dans le piège en faisant preuve de vigilance ; et en repérant les caractères inhabituels de la requête : Il s’agit souvent d’un ordre de virement urgent et confidentiel sur un compte international.
Dans la majorité de cas, le montant reste important et la sortie d’argent est à la fois discrète et non planifiée. Celui qui est derrière le FOVI peut utiliser de nouvelles coordonnées tout en gardant l’identité du chef d’entreprise à usurper. Ils n’hésitent pas à faire des relances téléphoniques pour mettre la pression. Pensez dans ce cas, à rappeler votre interlocuteur sur son numéro officiel.
Comment se protéger de ces menaces ?
Afin d’éviter de se faire piéger, de nombreuses mesures peuvent être prises :
- Avoir un usage prudent des réseaux sociaux privés et professionnels ;
- Rappeler à l'ensemble des collaborateurs la nécessité d'avoir un usage prudent des réseaux sociaux privés et professionnels. Les alerter sur l'importance de ne pas divulguer d'informations concernant le fonctionnement de l'entreprise ;
- Instaurer des procédures de vérification et de signatures multiples, ainsi que pour les paiements internationaux ;
- Former et sensibiliser régulièrement le personnel à ce type d'escroquerie. Prendre l'habitude d'en informer systématiquement les nouveaux arrivants et les stagiaires ;
- Maintenir à jour le système de sécurité informatique ;
- Accentuer la vigilance sur les périodes de congés scolaires, les jours fériés, les vendredis soir et les week-ends ;
- Ne pas céder à la pression d’un interlocuteur souhaitant un paiement rapide. Au moindre doute, en référer immédiatement à sa hiérarchie ;
- Porter un regard critique sur les demandes inhabituelles de transmission de nouvelles coordonnées ;
- Au moindre doute, contacter son interlocuteur habituel avec les coordonnées déjà connues de la société.
Cependant, même ces mesures ne garantissent pas une protection complète. Tant que les processus de paiement ne sont pas effectués au sein d'une entreprise de manière entièrement automatisée, sans exception, la possibilité d'intervention en influençant les employés reste un risque. D’autant plus que les auteurs de ce scénario sont en constante évolution.
Afin d’éviter les fraudes et tout risque de perte de fonds, pensez aussi à établir un règlement strict ou une procédure de sécurité lorsque l’entreprise doit faire une transaction internationale. En outre, le système de sécurisation informatique doit être mis à jour et infaillible. Protégez également votre messagerie avec un service efficace de sécurisation des emails par exemple : Altospam, Postini ou paraspam etc….
Que faire en cas d’arnaque ?
Si jamais vous avez été quand même victime de cette escroquerie, deux choses à faire en priorité. Demandez immédiatement à la banque le retour des fonds et déposer plainte en apportant le maximum d’éléments aux services de police.
Demander le blocage des coordonnées bancaires frauduleuses dans les applications métiers. Si le paiement n'est pas encore intervenu, suspendre le mandat de paiement/la demande de paiement concerné et/ou bloquer la mise en paiement pour analyser la situation.
Oumou Sangaré
Data Scientist/IT Enthusiast