De l’argent pour rien

Avant les vacances de Noël, les escrocs envoient des factures aux entreprises pour la livraison de documents qui n’existent pas.

Alors que l’année va bientôt se terminer, et que les vacances de Noël et le nouvel an approchent, les services de comptabilité des entreprises ne chôment pas, et c’est le moins que l’on puisse dire, surtout si l’année fiscale correspond à l’année civile. Les comptables doivent préparer les rapports financiers, planifier les budgets pour l’année suivant, etc. Et tout cela dans l’ambiance festive qui précède les vacances, avec les habituels repas d’entreprise et des collègues qui ne pensent plus vraiment au travail. Évidemment, les cybercriminels ne peuvent pas ignorer cette situation : ils envoient activement et au hasard de fausses factures aux employés des entreprises dans l’espoir que quelqu’un valide le paiement au milieu de cette vague de documents.

E-mail frauduleux : les signaux d’alarme

Tout d’abord, le simple fait que l’e-mail ait été envoyé à un employé au hasard au lieu du service de comptabilité devrait éveiller vos soupçons. Les escrocs ne peuvent généralement pas obtenir les véritables adresses e-mail des comptables des entreprises. Ils utilisent les bases de données d’envoi de spams, qui sont principalement les contacts publiquement accessibles. C’est pourquoi ce sont généralement les employés des services RH, presse, assistance ou autre qui reçoivent ces messages.

Les expéditeurs des messages frauduleux expliquent généralement qu’ils ont perdu la bonne adresse, ou qu’ils se sont trompés en l’écrivant, et que c’est pour cette raison que l’employé doit faire suivre la facture aux comptables. Il arrive aussi qu’ils ne prennent pas le temps de s’expliquer. Quoi qu’il en soit, cela ne justifie pas l’envoi d’un e-mail à une adresse choisie au hasard. Si l’un des employés de l’entreprise a vraiment besoin de cette facture, il contactera l’expéditeur lui-même et essaiera de comprendre pourquoi il y a du retard et, si besoin, il pourra clarifier l’adresse e-mail du service de comptabilité.

Vous pourriez faire plus de mal que de bien en faisant suivre les e-mails inattendus à vos collègues, puisqu’il est fort probable que le message frauduleux renvoyé par un collègue fonctionne. Si vous faites suivre une facture aux comptables, ils pourraient croire que vous souhaitez la régler. En général, un e-mail envoyé par un employé de la même entreprise éveille moins les soupçons qu’un message externe.

Ensuite, les cybercriminels savent qu’il vaut mieux ne pas demander une somme d’argent importante. Les factures élevées suscitent généralement plus de questions. C’est pourquoi ils envoient des factures d’un montant assez réduit, voire insignifiant pour une grande entreprise.

Enfin, dans la grande majorité des cas, ces factures correspondent à des services de livraison et de messagerie. De plus, le message de l’e-mail est aussi vague que possible pour qu’il soit difficile de déterminer si la facture a été émise directement par l’expéditeur de certains documents ou par une entreprise de livraison.

Sur quoi les escrocs comptent-ils ?

Comme nous l’avons dit, les criminels profitent de la surcharge de travail pendant les fêtes de fin d’année, de l’inattention des employés et de « l’aide » des employés non spécialisés qui font suivre ces e-mails aux services de comptabilité. Si ces stratagèmes fonctionnent c’est surtout grâce à l’impunité. Dans l’ensemble, les conséquences juridiques ne leur font pas peur. Les fraudeurs enregistrent une entreprise réelle et envoie les factures. Juridiquement, c’est un service qui va être facturé alors qu’il n’a pas été fourni. Si quelqu’un entame des poursuites judiciaires, les escrocs seraient sûrement reconnus coupables, mais est-ce que ça en vaut vraiment la peine pour des sommes si insignifiantes ?

Si vous recherchez sur Internet le nom de l’entreprise qui a émis la facture, vous allez sûrement trouver les nombreux commentaires indignés d’autres entreprises qui ont été victimes de la même arnaque. Il se peut que les escrocs changent de temps à autre l’entité juridique qui réclame ces petites sommes, notamment en indiquant qu’une entreprise a fait faillite et en en ouvrant une autre.

Comment vous protéger ?

Tout d’abord, nous vous conseillons fortement d’installer des solutions de sécurité équipées de technologies anti-spam efficaces au niveau de la passerelle de la messagerie électronique de votre entreprise. Normalement, les escrocs envoient ces messages en masse, ce qui nous permet de classer rapidement ces e-mails comme spams.

De plus, vous devriez expliquer à vos employés que les e-mails imprévus et envoyés par quelqu’un qu’ils ne connaissent pas et qui réclame un paiement ou l’envoi de données personnelles sont indéniablement frauduleux. S’ils souhaitent le renvoyer à un collègue, ce devrait être au service de sécurité informatique de l’entreprise en indiquant « éventuelle arnaque ».

Dans l’idéal, c’est une bonne idée d’améliorer régulièrement les connaissances de vos employés en sécurité. Vous pouvez, par exemple, utiliser notre plateforme en ligne automatique Kaspersky Automated Security Awareness Platform. Cela permet aux employés de savoir quoi faire lorsqu’ils reçoivent un e-mail inattendu, qu’il s’agisse d’un simple spam frauduleux ou d’un e-mail sophistiqué d’hameçonnage ciblé (spear phishing).

Conseils