Tendances actuelles en matière de fraude – Partie II : Cinq autres types de fraude à surveiller

Les fraudeurs d’aujourd’hui sont extrêmement minutieux; ils peuvent utiliser les renseignements qu’ils obtiennent pour tromper des entreprises de tous types et de toutes tailles. La deuxième partie de cette série met l’accent sur cinq autres types de fraude qui ne sont pas aussi courants, mais qui sont tout aussi dommageables pour notre clientèle.

1. Type de fraude : Arnaque du faux PDG

Vers la fin de la journée, l’adjointe du PDG a reçu de celui-ci une demande urgente de traitement d’un virement télégraphique destiné à conclure une transaction à laquelle il travaillait depuis des mois. Le courriel semblait légitime et était rédigé comme les communications antérieures. Comme la journée se terminait et que la demande était urgente, l’adjointe a diligemment établi le virement télégraphique.

Le lendemain, elle a félicité le PDG pour avoir conclu la transaction et confirmé qu’elle avait traité le paiement. C’est à ce moment que le PDG s’est rendu compte que son compte de courriel était compromis.

Le fraudeur avait attentivement examiné ses communications par courriel et savait qu’il s’efforçait de conclure une transaction depuis un certain temps; il a profité de l’occasion pour imiter son style de communication.

Conseils de prévention

• Élaborez un processus d’approbation facile à gérer, qui vous assure que toutes les approbations sont obtenues avant l’établissement d’un virement télégraphique.

• Exigez des approbations verbales ou des confirmations pour les virements importants.

• Établissez des exigences en matière de documentation : Les documents et les approbations appropriés sont requis pour tous les virements télégraphiques.

• Vérifiez les bons de commande : Assurezvous que tous les virements télégraphiques sont associés à un bon de commande réel dans votre système comptable.

Outils de prévention

• Utilisez des programmes de lutte contre les logiciels malveillants et les polluriels, qui peuvent bloquer certains courriels dès la passerelle.

• Ayez recours à des technologies de sécurité qui examinent et filtrent les courriels en temps réel afin d’empêcher les utilisateurs d’ouvrir des pièces jointes suspectes ou de cliquer sur des liens qui peuvent être malveillants.

• Il existe des logiciels de lutte contre l’usurpation d’identité qui permettent de repérer les menaces de fraude aux dépens du PDG en examinant l’entête et le contenu des courriels pour repérer les signes de techniques de piratage psychologique sans logiciel malveillant souvent utilisées dans ces stratagèmes.

2. Type de fraude : Fraude liée aux cartes d’entreprise

Naviguant sur le Web pour trouver une aubaine en vue d’un voyage d’affaires, un employé a cliqué sur une publicité qui l’a mené vers un site Web offrant des prix trop avantageux pour être vrais. Convaincu qu’il faisait économiser de l’argent à son entreprise, il a acheté un billet en utilisant sa carte de crédit d’entreprise et en fournissant d’autres renseignements personnels. Dans les jours qui ont suivi, l’émetteur de la carte de crédit a signalé des activités anormales dans son compte. En naviguant dans ce site de voyage frauduleux, il avait compromis sa carte d’entreprise.

Conseils de prévention

• Ne communiquez jamais de renseignements propres à votre carte avant d’avoir vérifié que la demande est légitime.

• Présentez une carte à puce avec NIP si vous en avez une. La puce chiffrée est difficile à contrefaire et aucune signature ne peut être falsifiée.

• Surveillez les opérations faites avec votre carte de crédit. Consultez les rapports indiquant l’information détaillée sur les opérations pour surveiller les achats portés à la carte.

Outils de prévention

• Utilisez un logiciel de surveillance des transactions qui vous avertira si des activités représentent des anomalies.

3. Type de fraude : Fraude par hypertrucage audio

Une employée a reçu un appel de son PDG; du moins, c’est ce qu’elle s’était imaginé. L’appel semblait provenir de son numéro de téléphone cellulaire et elle était convaincue qu’il s’agissait bien de lui. Cette personne lui a demandé d’établir de toute urgence un virement télégraphique pour une transaction commerciale à laquelle elle travaillait. L’employée a suivi les instructions détaillées et préparé le virement.

Après un nouvel appel du fraudeur, cette fois d’un numéro situé à l’extérieur du pays, elle a communiqué directement avec le PDG et a appris qu’il ne l’avait pas appelée pour demander un virement télégraphique.

Conseils de prévention

• Vérifiez la demande : Appelez immédiatement le dirigeant à son numéro officiel ou utilisez les options de conférence en personne, s’il y a lieu.

• Posez une question « d’authentification » : Posez une question dont seul le dirigeant connaît la réponse.

• Utilisez une question et une réponse « secrètes » : Dans le cadre de votre procédure normale de traitement des demandes de paiement unique, établissez un motcode secret ou une réponse secrète.

Outils de prévention

• Authentification multifactorielle : La plupart des attaques sont combinées à d’autres techniques de piratage psychologique dont les effets peuvent être évités – ou, du moins, atténués – au moyen de solides solutions de gestion de l’identité et de l’accès.

• Intelligence artificielle : Procurezvous des systèmes d’intelligence artificielle qui peuvent automatiser la détection de tels stratagèmes et en atténuer les risques, tels que l’usurpation d’identité.

4. Type de fraude : Fraude interne

Un directeur du service de la comptabilité avait accumulé d’importantes dettes. Il a constaté ensuite que les membres de son équipe possédaient des données d’ouverture de session semblables pour le traitement des paiements, en cas d’absence de l’un d’entre eux. Il a ouvert une session au nom d’un de ses collègues et a demandé l’émission d’un chèque à un faux fournisseur. Il a ensuite ouvert une session en son propre nom et a approuvé le chèque. Comme la fraude, si facile à réaliser, n’a pas été découverte, il a recommencé à de nombreuses reprises.

Conseils de prévention

• Sensibilisez les employés aux risques et à la sécurité, notamment en ce qui concerne la protection des mots de passe et des autres renseignements confidentiels, l’obligation de ne laisser aucune donnée à l’écran d’un ordinateur, la façon de signaler une fraude présumée, etc.

• Effectuez la vérification des antécédents du personnel, notamment en ce qui concerne les nouveaux employés.

• Séparez les fonctions d’établissement et d’approbation des paiements : Une personne entre les renseignements sur le paiement et une ou deux autres en approuvent le décaissement.

Outils de prévention

• Grâce à l’ombudsman, les employés peuvent signaler de façon anonyme toute activité suspecte ou contraire à l’éthique.

• Créez des protocoles de sécurité rigoureux, comme des autorisations de sécurité pour les employés, des mesures de protection des biens, des vérifications internes et externes et des systèmes de contrôle informatisés.

• Introduisezvous dans votre système lors d’un dînercauserie avec vos employés, en leur demandant de découvrir les lacunes de vos processus.

5. Type de fraude : Fraude par carte SIM

Une femme a reçu un message texte dans son téléphone d’entreprise; l’auteur, prétendant être le fournisseur des services de téléphonie cellulaire, l’informait qu’il avait reçu une demande de transfert de son numéro à un autre fournisseur et lui demandait de communiquer avec lui au moyen d’un lien. Sans hésiter, elle a cliqué sur le lien et a été dirigée vers un site Web qu’elle ne connaissait pas. Elle a fermé le site et supprimé le message texte sans prendre d’autres mesures, mais les dommages étaient déjà faits. Le fraudeur possédait maintenant son numéro de téléphone d’entreprise et pouvait à son insu changer tous ses mots de passe.

Quelques heures plus tard, son service de téléphonie cellulaire était interrompu. Elle a appelé son fournisseur, selon lequel son compte avait été fermé; comme ce n’était pas elle qui l’avait fait, elle était victime d’une fraude par carte SIM (c.-à-d. un transfert non autorisé à un autre fournisseur de services cellulaires).

Conseils de prévention

• Ajoutez un NIP à votre compte, à des fins de sécurité.

• Utilisez l’authentification en deux étapes : Si votre fournisseur de services de téléphonie cellulaire vous le permet, inscrivezvous à l’authentification en deux étapes (qui ne correspondent pas toujours au NIP ou au code d’accès du compte) au moment d’ouvrir une session dans votre compte.

• Utilisez des réponses difficiles à deviner : Si votre fournisseur vous pose des questions de sécurité avant d’ouvrir une session, comme « Sur quelle rue avezvous grandi? », essayez d’utiliser des réponses que les fraudeurs ne pourront pas trouver grâce à une simple recherche dans un répertoire d’adresses.

Outils de prévention

• Renseignezvous auprès de votre fournisseur au sujet du transfert d’un compte vers un autre fournisseur : Tous les principaux fournisseurs offrent, pour les comptes ou pour les autorisations de transfert, des mesures de sécurité supplémentaires que les clients peuvent appliquer à leur convenance, comme un NIP unique ou une question de vérification.

• Ne liez pas votre numéro de téléphone cellulaire à des comptes en ligne : Une fois que les pirates informatiques ont volé votre numéro de téléphone, ils peuvent l’utiliser pour réinitialiser le mot de passe de tout compte en ligne lié à ce numéro. Dans bien des cas, cela contourne l’authentification en deux étapes.

Conseils usuels pour contrer la fraude

1.    Familiarisez-vous avec les stratagèmes actuellement utilisés.
2.    Surveillez les menaces d’origine interne.
3.    Veillez à ce que les employés connaissent les meilleures pratiques en matière de sécurité.
4.    Faites une copie de sauvegarde de vos données et conservez-la hors site.
5.    Restreignez les pouvoirs de l’administrateur.
6.    Protégez-vous contre les ordres de virements frauduleux.
7.    Installez des logiciels antivirus et mettez-les à jour.
8.    Discutez avec votre banque des services d’atténuation de la fraude qu’elle offre.