Lutter contre la cyberfraude : Trésorerie nouvelle génération

La fraude est en constante augmentation; elle revêt de multiples habits et sa croissance est stimulée par les technologies émergentes. La tromperie est au cœur de toute fraude. Bien que les progrès technologiques puissent vous aider à déceler la supercherie, une grande partie du travail de détection et de prévention se résume à suivre les meilleures pratiques. 

J’ai récemment animé un entretien avec Derek Vernon, chef, Solutions de trésorerie et de paiement Amérique du Nord de BMO, et Larry Zelvin, chef, Unité Crime financier (UCF) de BMO. Nous avons discuté du contexte actuel en matière de fraude, de ce à quoi l’avenir pourrait ressembler et de la façon dont nous pouvons tous contribuer à lutter contre la cyberfraude. 

Voici un résumé de notre discussion. 

Les fraudeurs changent leurs façons de faire 

La fraude et les stratagèmes de cyberfraude font les manchettes chaque jour. M. Zelvin a fait remarquer que même si la fraude et l’argent coexistent depuis la nuit des temps, ce qui a changé, c’est la façon dont les fraudeurs commettent leurs crimes.

« Avant Internet et les services bancaires numériques, les auteurs de menaces devaient être physiquement présents pour commettre une fraude, a déclaré M. Zelvin. L’avènement d’Internet a changé cela. Par l’intermédiaire du domaine virtuel, un auteur de menace peut accéder à plus de cibles, traverser des frontières géographiques et automatiser le processus d’attaque. Il pourrait se trouver d’un côté du monde et attaquer des dizaines de milliers d’institutions financières et d’autres organisations de l’autre côté du monde. »

Plus inquiétant encore, M. Zelvin a déclaré qu’il y a maintenant plus de collaboration entre les réseaux criminels et les États-nations pour commettre des fraudes. De plus, en période d’intenses bouleversements géopolitiques, la fraude a tendance à augmenter. « À mesure que les pays et les entités participent à des conflits armés, les coûts liés à leur financement, comme les munitions et le soutien aux gens sur le terrain (nourriture, vêtements, logement, etc.) commencent à augmenter. À cet égard, la fraude permet de pallier l’augmentation des coûts. »

Étant donné que les cyberfraudes sont souvent l’œuvre de puissantes entités, les techniques utilisées deviennent de plus en plus trompeuses. Les criminels ciblent souvent vos interactions avec vos institutions financières au moyen de la mystification par téléphone : ils prétendent être une banque ou une organisation avec laquelle vous faites affaire, et ils vous pressent de fournir des renseignements de nature délicate pour résoudre un problème. Ils essaieront de créer un faux sentiment d’urgence. « Ils chercheront des occasions de vous prendre au dépourvu et d’instiller en vous un sentiment de peur ou de panique, a déclaré M. Zelvin. Ce sentiment d’urgence est votre plus grand problème. »

L’émergence de la fraude par identité synthétique*

Les progrès en matière d’intelligence artificielle (IA) réduisent les obstacles pour les nouveaux fraudeurs. « Les auteurs de menaces n’ont plus besoin d’être très sophistiqués, a déclaré M. Zelvin. Grâce à des technologies comme ChatGPT, ils peuvent automatiser la rédaction d’un courriel. L’IA leur permet de faire les choses plus rapidement et plus efficacement, et cette technologie n’en est qu’à ses balbutiements. Les problèmes auxquels nous faisons face aujourd’hui seront très différents de ce que nous verrons dans six mois ou un an. »

L’IA rend notamment les tentatives de fraude plus difficiles à repérer grâce à la technique de fraude par identité synthétique. M. Vernon a donné un exemple effrayant de la façon dont les malfaiteurs prennent au piège des gens dans une fraude par virement télégraphique.

« Par exemple, le chef des finances de votre entreprise prononce un discours, et celui-ci est maintenant accessible en ligne, dit-il. Saviez-vous que les fraudeurs peuvent utiliser ces clips vocaux pour créer un hypertrucage, qu’ils utiliseront ensuite pour entraîner leur logiciel d’IA à imiter la voix de votre chef des finances? La prochaine étape? Un appel pour vous demander d’effectuer un paiement urgent. Vous pensez qu’il s’agit réellement de votre chef des finances (sa voix est presque identique), et vous envoyez le virement télégraphique.

Il s’agit d’un exemple réel, a ajouté M. Vernon. Votre meilleure défense contre ces stratagèmes est étonnamment simple et peu technologique. En cas de doute, rappelez-les par téléphone. Assurez-vous de composer un numéro de téléphone de confiance, et non le numéro qu’ils ont utilisé pour vous appeler. En fait, avant d’envoyer un paiement qui peut vous sembler suspect, je vous recommande de prendre le temps de confirmer la demande en rappelant le numéro de téléphone que vous savez être légitime. » 

Meilleures pratiques

« Il est important de régulièrement former vos employés, a déclaré M. Vernon. Expliquez-leur comment vérifier les courriels reçus pour confirmer leur légitimité, et rappelez-leur de ne pas cliquer sur des liens suspects. Je vous recommande d’effectuer un examen quotidien de vos rapports bancaires afin de repérer toute activité suspecte. Parlez à votre conseiller bancaire. Il peut vous envoyer des renseignements quotidiens sur votre compte et vous montrer comment produire vous-même divers rapports. Ces tâches peuvent également être entièrement automatisées. » 

M. Vernon recommande la mise en œuvre de processus comme les approbations conjointes ou à plusieurs niveaux en fonction de seuils en dollars pour tous vos paiements sortants. « Il s’agit de pratiques assez simples que vous pouvez mettre en œuvre rapidement pour prévenir la fraude, qu’elle soit l’œuvre de l’IA ou d’un malfaiteur. »  

Systèmes : 

• Établissez des alertes. Assurez-vous qu’elles sont activées pour la création de nouveaux utilisateurs dans votre plateforme numérique, lorsqu’un paiement dépassant un certain seuil est effectué ou lorsqu’un changement de solde important est signalé, entre autres événements. Vous pourrez ainsi repérer les activités suspectes potentielles et agir plus rapidement.  
• Passez régulièrement en revue vos rapports d’utilisateur et d’activité. Cela vous aide à vous assurer que tout virement de fonds dans vos comptes ou toute activité d’utilisateur correspond aux habitudes de votre organisation. 
• Examinez régulièrement vos contrôles internes. Assurez-vous d’avoir en place des procédures à jour pour la modification des niveaux d’autorisation et la suppression d’utilisateurs actifs dans vos divers systèmes internes, y compris l’accès aux plateformes bancaires. Effectuez également des vérifications ponctuelles pour confirmer que vos équipes exécutent ces contrôles.  
• Utilisez des outils comme la confirmation de paiement, le blocage des transactions de débit et la validation de compte pour réduire les risques de fraude. 
• Établissez des limites pour les virements télégraphiques et les paiements électroniques. 
• Communiquez avec votre conseiller bancaire pour savoir comment et quand adapter les tactiques énumérées ci-dessus.  

M. Vernon a déclaré que les entreprises peuvent prendre des mesures concrètes pour réduire au minimum leurs risques, notamment : 

Comportements :  

• Établissez une culture de sensibilisation à la fraude. « Pendant les Fêtes, de nombreuses personnes sont en congé. Pour cette raison, il est très important de s’assurer que les employés qui s’occupent de leurs tâches en leur absence sont au fait des différents processus de fraude, a déclaré M. Vernon. Les types de fraudes les plus courants sont les demandes de paiement ou les demandes de modification des renseignements sur le compte. De tels stratagèmes peuvent tirer parti d’un courriel, d’une fausse facture ou d’un appel téléphonique. Il est important que la personne responsable du poste ait des instructions très claires sur la façon de gérer ces différentes situations. »  
• Informez votre conseiller bancaire que vous allez vous absenter du bureau. 
• Indiquez à vos employés les différents signaux avertisseurs à surveiller. Veillez à ce qu’ils examinent attentivement toutes les demandes de paiement urgentes qu’ils pourraient recevoir. Soyez à l’affût des adresses courriel déguisées, dont le nom de domaine peut être très semblable à celui d’une adresse légitime.  
• Vérifiez, vérifiez, vérifiez. Soyez particulièrement prudent lorsqu’un fournisseur ou un dirigeant vous demande d’effectuer un changement ou un paiement urgent. Confirmez toujours la validité d’une demande inhabituelle ou suspecte en communiquant avec le demandeur au moyen d’un numéro de téléphone légitime connu. Mieux encore, organisez une courte réunion virtuelle et exigez du demandeur qu’il allume sa caméra pour vérifier son identité. 

Fraude 911

La rapidité joue un rôle essentiel dans la lutte contre la fraude, et elle est votre alliée lorsque vous devez réagir à une attaque. Cela dit, il s’agit aussi d’un jeu d’échecs. Les fraudeurs placent constamment la barre plus haut, ce qui nécessite des avancées technologiques parallèles. M. Zelvin a souligné que BMO s’efforce d’améliorer les processus d’authentification en réponse aux stratagèmes de fraude liés à l’IA. « Nous utilisons l’IA pour voir si nous pouvons obtenir votre empreinte vocale et, surtout, celle des malfaiteurs. »

Bien que la technologie joue un rôle essentiel, l’interaction humaine demeure l’élément le plus important — et le plus grand défi — dans la lutte contre la fraude. « L’un des plus grands problèmes que nous éprouvons, c’est que bon nombre de nos clients affirment qu’ils ne sont pas victimes de fraude; ils ne croient pas que quelqu’un pourrait les manipuler », a déclaré M. Zelvin.

C’est pourquoi, si une fraude survient, la première étape consiste à reconnaître que vous en avez été victime. M. Zelvin a remarqué que les gens sont gênés, en particulier lorsqu’il s’agit d’en parler à leur employeur. Après avoir reconnu la fraude, signalez-la immédiatement.

« Tout d’abord, la fraude doit être signalée à l’institution financière ou au fournisseur où l’activité frauduleuse a eu lieu, a déclaré M. Zelvin. Je suggère également d’informer le Centre antifraude du Canada ou la Federal Trade Commission des États-Unis. Si vous le souhaitez, vous pouvez communiquer avec les autorités policières locales pour les informer de la situation. En effet, même si les malfaiteurs se trouvent sur un autre continent, ils pourraient relever de la compétence des organismes d’application de la loi fédéraux, provinciaux, territoriaux ou d’état. »

De plus, comme M. Vernon l’a souligné, assurez-vous de suspendre l’accès aux applications essentielles, y compris l’accès aux plateformes des services bancaires en ligne et à d’autres systèmes internes. Comme mentionné précédemment, il est essentiel d’agir rapidement.

Enfin, M. Vernon a suggéré d’élaborer un guide sur les réactions rapides et efficaces à une situation de fraude. « Créez des habitudes internes sur le processus à suivre lorsqu’une fraude survient. Vous ne voulez pas perdre du temps à essayer de déterminer la marche à suivre sur-le-champ. Le fait de consigner le processus et de le mettre en pratique de temps à autre est une meilleure pratique. »

Au bout du compte, la préparation et des mesures rapides sont essentielles à la réussite. En effet, malgré tous les progrès technologiques qui permettent aux malfaiteurs de commettre des fraudes, la vigilance et l’adoption de meilleures pratiques aideront les entreprises de tous types à repérer les supercheries et à lutter contre la cyberfraude. 

* Le vol d’identité synthétique est une forme particulière de fraude qui implique le vol du numéro d’assurance sociale (ou numéro de sécurité sociale) d’une personne réelle. Par la suite, un nom, une date de naissance, une adresse postale, un compte de courriel et un numéro de téléphone sont créés et appliqués à ce numéro légitime pour créer une nouvelle identité.