Nous entendons souvent que le courriel est un moyen de communication à l’agonie à cause de l’essor des réseaux sociaux, mais la réalité est que son utilisation continue à croitre. Une étude menée par The Radicati Group (document en anglais) anticipait une croissance du recours aux courriels et un nombre de courriels envoyés et reçus quotidiennement de 319,6 milliards en 2021. C’est énorme. S’il est vrai qu’il s’agit en grande partie de pourriels et de courriels indésirables, ce moyen de communication reste très pratique pour échanger en interne avec votre personnel et en externe avec des collaborateurs et des clients.
Comme le courriel est une part essentielle de nos communications professionnelles, il restera le meilleur moyen pour un cybercriminel de cibler un individu ou une organisation. Les statistiques viennent confirmer ce point, ainsi 76 pour cent des entreprises ont subi une attaque par hameçonnage.
Le cybercriminel est par nature un adversaire rusé et trouvera toujours des méthodes novatrices pour créer des cybermenaces. Parmi celles-ci, la fraude par courriel en entreprise est particulièrement fructueuse. Dans cet article, nous allons nous pencher sur la nature de la fraude par courriel en entreprise et sur les méthodes nous permettant de protéger notre entreprise contre cette grave menace.
Fraude par courriel en entreprise : quelques exemples
Selon une étude menée par le FBI entre 2013 et 2016, la fraude par courriel en entreprise a engendré 5,3 milliards de dollars de pertes pour les entreprises du monde entier. Parmi les victimes de ce type de fraude, citons :
L’entreprise autrichienne FACC Operations GmbH : cette société a perdu 50 millions d’euros à la suite d’une fraude par courriel en entreprise lors de laquelle des pirates se sont fait passer pour le PDG, Walter Stephan, dans des courriels. Ces derniers demandaient des virements de fonds urgents, bien entendu, ces fonds étaient directement versés sur le compte bancaire des escrocs.
La société californienne Xoom Corporation : Xoom Corporation a été victime d’une fraude similaire, cette fois-ci ce sont près de 30,8 millions de dollars qui ont été virés sur le compte de pirates. Après cet incident, le cours de bourse de l’action de la société a chuté de 17 %.
Le fabricant de jouets Mattel : la société a versé plus de 3 millions de dollars à des fraudeurs ayant exploité cette technique pour duper l’organisation afin qu’elle considère cette opération comme légitime.
Ces cas démontrent la gravité du problème. Une fraude par courriel en entreprise peut coûter des millions à une entreprise. C’est une raison suivante pour en apprendre davantage sur le sujet.
Quelle forme peut prendre une fraude par courriel en entreprise ?
À l’instar de nombreuses méthodes efficaces utilisées par des cybercriminels, cette fraude repose à la fois sur la manipulation du comportement humain et sur l’utilisation de la technologie. Cette pratique est généralement désignée par le terme « ingénierie sociale ». Cela consiste à exploiter notre sociabilité et notre capacité naturelle à communiquer avec autrui afin d’atteindre un objectif criminel. Voici quelques méthodes employées par ces fraudeurs :
Usurpation de l’identité du PDG
La fraude ayant touché FACC Operations GmbH reposait sur l’imitation des courriels du PDG. Cela peut se faire en détournant un compte existant ou en utilisant une adresse électronique créée en vue de tromper les destinataires des courriels. Le détournement d’un compte existant implique le piratage de celui-ci (en dérobant les identifiants) et sa prise de contrôle. Il s’agit d’une technique relativement simple, mais peu efficace. Un courriel frauduleux peut toutefois être très difficile à détecter. Notamment si le pirate a observé le comportement du PDG et ses habitudes de langage. Les adresses électroniques frauduleuses sont très proches de l’adresse existante. Par exemple, [email protected]_un.fr deviendra [email protected]_un.fr, seuls les destinataires les plus vigilants remarqueront le nom de domaine différent.
Falsification de factures
Les pirates utilisent des techniques de surveillance pour accumuler des renseignements sur le fonctionnement du service financier d’une entreprise. Le cybercriminel utilisera des courriels de harponnage pour cibler un individu précis au sein du service et dérober les identifiants de son compte de messagerie. Il étudie ensuite les modèles de factures avant d’envoyer une facture frauduleuse ou de modifier les informations de paiement sur une facture authentique.
La fraude par courriel en entreprise et nous
La fraude par courriel en entreprise ressemble assez à une escroquerie archaïque. Elle repose sur la manipulation du comportement humain. Les criminels utilisent un ensemble de combines et de connaissances s’appuyant sur la psychologie pour vous pousser à agir comme ils le souhaitent. Voici quelques éléments importants qu’ils emploient :
Surveillance
Les pirates prennent souvent leur temps pour bien comprendre comment une entreprise et les individus qui la composent travaillent et communiquent. Ils souhaitent que leurs courriels semblent aussi authentiques que possible et imitent à la perfection le style de l’employé dont l’identité est usurpée. Ils utilisent donc une formulation similaire afin de tromper leurs victimes.
Confiance
La fraude repose sur la création de relations de confiance. Souvent, l’escroc utilisera des relations de confiance identifiées au sein de l’organisation, comme celle qui lie le PDG et le directeur financier, pour émettre un virement de fonds. Si nous faisons confiance à la personne qui nous demande d’exécuter le virement, nous sommes plus susceptibles de le faire. En particulier, si le style et les termes utilisés sont les mêmes que d’habitude.
Volonté de bien faire
Les fraudes par courriel en entreprise sont souvent plus fructueuses lorsqu’elles instillent un sentiment d’urgence. Cela peut fonctionner sur un employé désireux de faire du bon travail. Les courriels frauduleux contiendront des passages comme : « Veuillez procéder à ce virement de manière urgente, si nous ne transférons pas les fonds avant midi, nous perdrons ce contrat important ». La crainte d’être tenu responsable si le virement n’est pas effectué à temps pousse l’employé à obtempérer. L’urgence génère également du stress, ce qui rend les individus moins enclins à repérer les indices d’une escroquerie.
Les méthodes pour prévenir la fraude par courriel en entreprise
Comme avec toutes les cybermenaces, il existe des méthodes pour réduire les risques et duper les cybercriminels. Nous avons donc rassemblé quelques idées pour vous permettre de rester vigilant et donc protégé.
1. Avoir conscience des risques
Tout d’abord, veillez à ce que tous les membres de votre entreprise, de la direction aux salariés, sachent ce qu’est une fraude par courriel en entreprise et les façons dont elle peut se manifester. C’est particulièrement impératif pour les domaines les plus ciblés, comme le service financier. Mettez en place des contrôles et des mesures, comme le fait de passer un appel téléphonique pour valider un virement important.
2. Utiliser une authentification solide pour les adresses électroniques
Bien qu’une fraude par courriel en entreprise exploite l’ingénierie sociale, le piratage préalable ou concomitant des comptes de messagerie reste fréquent. Si vous le pouvez, imposez une authentification à deux facteurs (2FA) pour accéder au compte d’une adresse électronique. Par exemple, des systèmes comme Gmail le proposent à l’aide d’une application mobile ou d’un SMS. Veuillez noter que l’authentification 2FA par SMS fait l’objet de problèmes de sécurité connus. Une application mobile peut donc être plus sécurisée.
3. Contrôler votre domaine
Les domaines des adresses électroniques frauduleuses utilisées par les criminels sont souvent proches de ceux des adresses authentiques. Veillez à acheter tous les domaines dont le nom est proche de votre domaine principal. De cette façon, les pirates ne pourront pas en abuser.
4. Faire preuve d’hygiène numérique
Il convient de toujours prendre des mesures d’hygiène numérique basiques, comme la prévention contre les programmes malveillants. Il est essentiel que tous les membres de votre entreprise aient connaissance de ces mesures et les appliquent.
Conclusion
Le plus inquiétant avec la fraude par courriel en entreprise, c’est que le pirate devient un véritable espion et exploite notre comportement contre nous. Cette forme de crime peut s’avérer extrêmement coûteuse et mettre des entreprises en grande difficulté financière. Cela peut même entraîner le licenciement de salariés. Certaines méthodes simples, comme la sensibilisation à la sécurité, peuvent permettre de réduire les risques d’être frappés par ce cybercrime.
-
-
-
https://vpnoverview.com/fr/securite-sur-internet/entreprise/fraude-par-courriel-en-entreprise/
