Écrit par Ruth Promislow, Katherine Rusk and Josh Foster

Entre 2016 et 2019, Business Email Compromise (BEC) scams a coûté aux organisations américaines 3,1 milliards de dollars américains en pertes et aux organisations canadiennes 33,6 millions de dollars américains. Ce type d’escroquerie omniprésente cible les grandes et les petites entreprises. Aux États-Unis, la fréquence des escroqueries BEC a triplé au cours des trois dernières années, environ 80 % des entreprises étant ciblées. 

Les escroqueries BEC peuvent être difficiles à identifier et encore plus difficiles à récupérer. Pour cette raison, il est impératif de comprendre les types courants d’escroqueries BEC et d’adopter des stratégies pour protéger vos entreprises contre les victimes. 

Vous trouverez ci-dessous quelques formes courantes d’escroqueries BEC et des conseils pour que votre organisation se protège contre cette fraude. Il n’existe pas de solution unique pour résister aux escroqueries BEC, car votre stratégie de gestion des risques dépend de votre situation spécifique.  

Malgré la forte exposition aux escroqueries BEC, les entreprises continuent d’être régulièrement escroquées. Souvent, les entreprises supposent qu’elles sont en sécurité parce qu’elles croient avoir suffisamment de politiques et de mesures de protection en place, pour découvrir plus tard qu’il y avait une lacune dans leur politique ou qu’il n’y avait pas suffisamment de formation pour les employés concernés.

Escroqueries BEC: Ce qu’ils sont et quelles formes ils prennent 

Les escroqueries BEC visent à mal diriger les paiements ou la transmission d’autres choses de valeur. Traditionnellement, les escroqueries BEC ciblent les employés d’entreprises et d’organisations autorisées à virer de l’argent, à payer des comptes ou à accéder à des informations autrement confidentielles. Se faisant passer pour des cadres, des vendeurs ou des fournisseurs, les fraudeurs correspondent généralement par courriel avec un employé de l’entreprise qui tente d’exploiter la capacité de l’employé à accéder à des informations ou à autoriser certaines transactions. 

Demandes de modification de compte fournisseur/employé

L’escroquerie BEC la plus connue commence par un e-mail d’un fournisseur ou d’un employé connu demandant de modifier les détails de paiement de son compte. 

Cet e-mail frauduleux peut provenir de l’adresse e-mail authentique associée au fournisseur / employé (parce que le fraudeur a infiltré le compte de messagerie du fournisseur), ou d’un compte de messagerie qui est si similaire à l’adresse authentique qu’il est facile de manquer la différence. Il se peut que le fraudeur connaisse tous les détails sur le paiement à venir du fournisseur. Ou le fraudeur peut connaître le nom du représentant du fournisseur et les détails du paiement à venir (parce que le fraudeur a compromis les comptes de messagerie de l’organisation et a accès à tous ces détails).

L’e-mail peut contenir diverses caractéristiques d’authenticité:

• il peut être censé provenir de la personne même du fournisseur qui traite généralement avec votre organisation en ce qui concerne les questions de paiement de compte;
• il peut utiliser le même type de langue dans la ligne d’accueil ou de signature que celui utilisé dans la correspondance authentique du fournisseur ou de l’employé; ou
• il peut joindre un formulaire de demande signé avec une signature qui correspond à celle que vous avez dans vos dossiers; ou il peut joindre un chèque annulé qui a le nom propre du fournisseur.  

Ne vous fiez à aucun de ces facteurs (seuls ou en combinaison) pour authentifier la demande de modification.

Demandes du PDG

Un autre type de fraude BEC implique un e-mail qui est prétendument du PDG ou d’un autre cadre supérieur ordonnant au destinataire de virer des fonds à un tiers sur une base urgente. Une version différente de cette escroquerie implique un courriel du PDG / cadre supérieur demandant au destinataire d’acheter des cartes-cadeaux et d’envoyer les numéros de carte-cadeau par courriel au PDG / cadre supérieur, souvent sur la base présumée qu’ils sont pour un événement d’entreprise ou un client important. 

La même règle s’applique que celle énoncée ci-dessus : ne vous fiez pas aux caractéristiques habituelles de l’authenticité pour vous fier à la demande par courriel.

Étapes clés pour se protéger contre l’escroquerie

La mise en place d’une politique écrite et la formation de vos employés en ce qui concerne la politique peuvent vous aider à vous protéger contre ces escroqueries. Les mesures que vous pouvez prendre pour vérifier si la demande de changement de compte ou la demande de virement bancaire / carte-cadeau est authentique comprennent ce qui suit:

• La demande (qu’elle soit reçue par courriel ou par téléphone) doit être traitée avec suspicion.
• Contactez un représentant du fournisseur avec qui vous avez déjà parlé de questions de compte, à un numéro que vous avez dans vos dossiers pour eux. Il ne suffit pas de recevoir un appel d’une personne prétendant être le représentant du fournisseur, même si la voix semble familière. Il est possible pour le fraudeur de tromper votre employé en prétendant être le représentant du fournisseur, et dans tous les cas, l’intelligence artificielle peut être utilisée pour imiter la voix du représentant du fournisseur connu.  
• Dans le cas d’une demande d’un employé de modifier les renseignements du compte, communiquez avec l’employé par téléphone à sa ligne interne ou parlez-lui en personne. 
• Dans le cas de la demande du PDG, contactez-le par téléphone à leurs numéros de contact connus.
• N’appelez pas le représentant du fournisseur (ou le PDG / employé) à un numéro différent de celui que vous avez dans vos dossiers pour eux, qu’ils expliquent ou non qu’ils voyagent et ne peuvent être joints, par exemple, que sur leur mobile ou à un numéro d’hôtel. 
• Envisagez de mettre en œuvre une méthode de confirmation en face à face via Skype ou d’autres moyens.
• Envisagez de mettre en œuvre des méthodes pour détecter les e-mails d’expéditeur falsifiés et / ou pour confirmer si les e-mails d’un domaine spécifique sont soumis par une adresse IP autorisée par l’administrateur de ce domaine. 
• Réduire le nombre d’employés autorisés à approuver des virements télégraphiques ou à faire des achats d’entreprise.
• Ne présumez pas que vous avez une couverture pour ce risque simplement parce que vous croyez que votre organisation a acheté une « cyberassurance ». Les polices d’assurance cyber peuvent couvrir une variété de risques et vous devez comprendre la couverture spécifique que vous avez.
• Mettez en œuvre des mesures pour limiter la capacité des fraudeurs à compromettre votre système de messagerie. Ces mesures incluent, mais sans s’y limiter, les politiques de mot de passe nécessitant un mot de passe suffisamment complexe qui doit être modifié régulièrement et l’authentification multifacteur pour accéder à distance aux comptes de messagerie. La protection contre les cyberattaques nécessite une approche approfondie et sur mesure - il est recommandé de retenir les services d’experts pour aider à élaborer une stratégie appropriée.

Éduquer les employés au sujet de la politique

Vos politiques de protection contre le BEC ne sont utiles que si tous les employés concernés sont correctement formés à leur sujet. S’assurer que la formation régulière est mise en œuvre et que des discussions d’équipe ont lieu pour examiner le protocole.

De plus, vos stratégies doivent suivre le rythme de l’évolution du paysage des menaces. Au fur et à mesure que les pirates trouvent de nouvelles façons de tromper les gens, vous devez ajuster votre protocole de défense. Passez régulièrement en revue vos politiques avec des experts pour vous protéger contre les nouvelles escroqueries.

Paiements dus à votre organisation

Tout comme vous ne voulez pas que les paiements effectués à vos fournisseurs soient détournés frauduleusement, vous ne voulez pas non plus que les paiements dus à votre organisation soient détournés. Informez vos clients du protocole qu’ils doivent suivre dans le cas où ils reçoivent une prétendue demande de votre organisation de modifier les détails de paiement du compte.

 

Nous vous recommandons de demander conseil sur les mesures supplémentaires que votre organisation devrait prendre. Pour plus d’informations sur la façon de se protéger contre les escroqueries BEC et d’y répondre, l’équipe Bennett Jones Privacy and Data Protection est disponible pour vous aider.