Imaginez que vous recevez un appel ou un message de la part de votre supérieur direct, voire de la part du PDG de votre entreprise. Il vous avertit que quelque chose de mauvais se profile à l’horizon. Cette situation à venir est synonyme d’amendes ou d’autres pertes financières pour l’entreprise, de gros problèmes pour votre service, et d’un éventuel licenciement pour vous en particulier. Vous êtes en proie à des sueurs froides, mais vous pouvez encore sauver la situation ! Bien entendu, il va falloir que vous vous empressiez de faire des choses que vous ne faites pas en temps normal, mais tout ira bien…
Ne bougez pas d’un pouce et respirez profondément. Il y a 99 % de chances que cette situation d’urgence soit créée de toutes pièces, et que les personnes à l’autre bout du fil soient des escrocs. Alors, comment reconnaître une attaque de ce type et s’en prémunir ?
Anatomie de l’attaque
Ces stratagèmes peuvent prendre des dizaines de formes. Les escrocs peuvent décrire divers problèmes rencontrés par l’entreprise, en fonction du pays dans lequel elle se trouve, évoquer l’implication des législateurs, de la police ou des principaux partenaires commerciaux, et suggérer toutes sortes de moyens pour résoudre ces problèmes. Cependant, il existe un certain nombre d’éléments clés et de points d’ancrage psychologiques cruciaux qui s’avèrent indispensables à la réussite de l’attaque. Ces derniers peuvent être observés pour reconnaître une attaque.
- L’autorité d’un supérieur ou la simple confiance en quelqu’un que la victime connaît : De nos jours, la plupart d’entre nous avons développé une certaine réticence à l’égard des demandes étranges de la part d’inconnus, qu’il soit question d’un supposé inspecteur de police qui nous contacte directement via une messagerie instantanée, ou bien d’un employé de banque qui prétend se préoccuper personnellement de notre bien-être. En l’occurrence, le stratagème est différent, car la personne qui contacte la victime semble faire partie de ses connaissances et exerce une certaine autorité. Les escrocs se font souvent passer pour un responsable de haut rang afin de duper leur victime. Premièrement, ils exercent une autorité, et deuxièmement, il y a de fortes chances que la victime connaisse cette personne, mais pas suffisamment pour remarquer les inévitables différences dans sa façon de parler ou d’écrire. Cependant, il existe des variantes de ce stratagème où les escrocs se font passer pour un collègue travaillant au sein d’un service important, comme la comptabilité ou le service juridique.
- La redirection vers un correspondant extérieur : Dans les cas les moins complexes, le « collègue » ou le « responsable » qui contacte la victime est également la personne qui lui demande de l’argent. Mais la plupart du temps, après le premier contact, le « patron » suggère à la victime de discuter plus en détail du problème avec un prestataire extérieur, qui s’apprête à la contacter. En fonction des particularités du stratagème, cette « personne mandatée » peut être présentée comme un agent des forces de l’ordre ou des impôts, un employé de banque, un commissaire aux comptes, etc., le but étant de ne pas avoir à prétendre qu’il s’agit d’une personne que la victime connaît. Le « patron » demande à la victime d’offrir à la » personne mandatée » toute l’aide possible et de ne surtout pas tarder à s’entretenir avec elle. Cela étant dit, dans les stratagèmes les plus élaborés, comme celui qui a permis de voler 25 millions de dollars à la suite d’une vidéoconférence truquée, les escrocs peuvent continuellement se faire passer pour des employés de l’entreprise.
- Un caractère urgent : La demande doit avoir un caractère urgent, afin de ne pas laisser à la victime la possibilité de prendre son temps pour analyser la situation. « L’audit a lieu demain », « Les partenaires viennent d’arriver », « La somme est débitée cet après-midi »… Pour faire court, il faut agir immédiatement. Les escrocs mènent souvent cette partie de la conversation par téléphone et demandent à leur victime de ne pas raccrocher tant que l’argent n’a pas été transféré.
- Une confidentialité absolue : Pour éviter que quiconque n’interfère dans le bon déroulement de l’opération, le » patron » indique rapidement à la victime qu’il est strictement interdit de parler de l’incident à qui que ce soit, car sa divulgation aurait des conséquences catastrophiques. L’escroc peut dire à la victime qu’il ne peut faire confiance à personne d’autre, ou que certains des autres employés ont déjà commis des crimes ou se sont déjà montrés déloyaux envers l’entreprise. Il essaiera généralement d’empêcher la victime de parler à qui que ce soit, jusqu’à ce que ses demandes soient satisfaites.
Objectifs de l’attaque
En fonction du poste et des revenus de la victime, l’attaque peut avoir divers objectifs. Si l’entreprise permet à la victime d’exécuter des transactions financières, les escrocs tenteront de la convaincre d’effectuer un paiement secret et urgent destiné à un fournisseur, comme un cabinet d’avocats, afin de permettre à celui-ci de résoudre un problème. Sinon, ils inciteront tout simplement la victime à transférer de l’argent de l’entreprise vers un compte « sécurisé ».
Les employés qui ne gèrent pas l’argent de l’entreprise seront plutôt la cible d’attaques visant à recueillir des données sur l’entreprise, comme les mots de passe des systèmes internes, ou leurs fonds propres. Les escrocs peuvent avancer des dizaines de prétextes, depuis une fuite de données comptables qui met en péril le compte de la victime, jusqu’à la nécessité de fermer la trésorerie de l’entreprise jusqu’à la fin de l’audit. Dans tous les cas, il sera demandé à la victime d’utiliser l’argent d’une manière ou d’une autre, en le transférant sur un autre compte utilisateur, en payant pour des cartes-cadeaux ou des bons, ou en le retirant pour le donner ensuite à une « personne de confiance ». Pour plus de persuasion, les escrocs peuvent promettre à la victime un important dédommagement pour les frais engagés et les efforts fournis, mais plus tard.
Des détails convaincants :
Les publications sur les réseaux sociaux et les nombreuses fuites de données permettent aux escrocs de lancer plus facilement des attaques soigneusement préparées et personnalisées. Ils peuvent trouver le nom complet de la victime, celui de son supérieur direct, du PDG de son entreprise et des employés des services importants de celle-ci (comme la comptabilité), ainsi que les noms exacts de ces services. Ils peuvent chercher des photos de toutes ces personnes pour créer des profils de messagerie instantanée convaincants et, si nécessaire, chercher même des échantillons de leurs voix pour créer des audios truqués. Si l’enjeu financier est important, les escrocs peuvent consacrer beaucoup de temps à rendre leur opération aussi convaincante que possible. Dans certains cas, les pirates informatiques ont même connaissance de l’emplacement des différents services de l’entreprise à l’intérieur des locaux, ainsi que de l’emplacement du bureau de chaque employé.
L’aspect technique de l’attaque :
Les stratagèmes sophistiqués de ce type incluent presque toujours un appel téléphonique provenant des escrocs. Cependant, « la demande initiale du patron » peut également prendre la forme d’un email ou d’un message instantané. Dans les variantes plus simples de l’attaque, les escrocs créent simplement un nouveau compte de messagerie (instantanée ou non) au nom du responsable et, dans les cas plus sophistiqués, ils piratent sa messagerie professionnelle ou ses comptes personnels. On parle alors d’attaque par BEC, ou par compromission de la messagerie en entreprise.
En ce qui concerne les appels téléphoniques, les escrocs utilisent souvent des services d’usurpation de numéros ou obtiennent une copie illégale d’une carte SIM. L’identifiant de l’appelant correspond alors au numéro de téléphone général de l’entreprise, ou même à celui du patron.
Les opérateurs malveillants peuvent utiliser des générateurs de voix truquées et, par conséquent, une voix familière à l’autre bout du fil ne garantit pas non plus l’authenticité de l’appelant. Les stratagèmes de ce type peuvent même comprendre des appels vidéo, dans lesquels le visage de l’appelant est également un deepfake.
Se prémunir des escrocs
Premièrement, le fait de faire attention et d’avoir le courage de vérifier les informations qui vous sont communiquées malgré les menaces des escrocs représentent deux actions qui peuvent vous protéger contre ce type d’attaque.
Prenez votre temps et ne vous affolez pas. Les escrocs cherchent à vous déstabiliser. Gardez votre calme et vérifiez attentivement ce qui vous est raconté. Même si votre interlocuteur insiste pour que vous ne raccrochiez pas, vous pouvez toujours faire comme si la communication était coupée. Cela vous permettra de gagner du temps pour vérifier plus attentivement ce qui vous est raconté.
Prêtez attention à l’adresse, au numéro de téléphone et au nom d’utilisateur de la personne qui vous contacte. Si vous avez l’habitude d’échanger avec votre patron par email et que vous recevez un message instantané inattendu indiquant son nom mais provenant d’un numéro que vous ne connaissez pas, vous devez être aux aguets. Si vous avez toujours discuté via une application de messagerie instantanée et que vous recevez un nouveau message mais qu’aucun historique ne s’affiche, cela signifie que quelqu’un utilise un compte créé récemment, et il s’agit là d’un avertissement majeur. Malheureusement, les cybercriminels utilisent parfois de fausses adresses email difficiles à distinguer des vraies, ou des comptes de messagerie (instantanée ou non) piratés. Tout cela rend la détection de faux beaucoup plus difficile.
Faites attention aux petits détails. Si une personne que vous connaissez vous contacte et vous demande quelque chose d’étrange, y a-t-il des éléments qui indiquent qu’il pourrait s’agit d’un imposteur ? Ses emails vous semblent-il un peu inhabituels ? Cette personne utilise-t-elle des tournures de phrases inhabituelles ? S’adresse-t-elle à vous de manière formelle, alors que vous vous appelez en temps normal par votre prénom ? Essayez de lui poser une question à laquelle seule la vraie personne pourrait répondre.
Si vous recevez une demande inhabituelle, prenez cela pour un avertissement. Si votre patron ou un collègue vous demande de faire quelque chose d’inhabituel de toute urgence et, qui plus est, de garder le secret, il s’agit presque toujours d’un signe d’escroquerie. Par conséquent, il est essentiel de vérifier les informations fournies et de confirmer l’identité de la personne. Le moins que vous puissiez faire est de contacter cette personne par un autre canal de communication. Chercher à discuter face à face avec la personne est préférable, mais si cela n’est pas possible, appelez le numéro de son domicile ou de son bureau qui figure dans votre répertoire, ou saisissez ce numéro manuellement, mais ne vous contentez pas de composer le numéro du dernier appel entrant, afin d’éviter de rappeler les escrocs. Utilisez tout autre canal de communication à votre disposition. Le numéro de portable qui vous a appelé, même s’il s’agit du vrai numéro de votre patron ou d’un collègue qui est enregistré dans votre répertoire, peut avoir été piraté à la suite d’un échange de carte SIM ou d’un simple vol de téléphone.
Parlez-en à vos collègues. Même s’il vous est demandé de « garder le secret », en fonction de la nature de la demande, le fait de vérifier les informations auprès de vos collègues ne peut pas faire de mal. Si vous recevez un message qui semble provenir d’un employé de la comptabilité, contactez les autres employés de ce service.
Avertissez vos collègues et les forces de l’ordre. Si vous avez reçu un message de ce type, cela signifie que des escrocs ciblent actuellement votre entreprise et vos collègues. Si leurs stratagèmes ne fonctionnent pas avec vous, ils essaieront avec un autre service. Avertissez vos collègues et le service de sécurité, et signalez la tentative d’escroquerie à la police.