Tout savoir sur les cyber fraudes
Les techniques de ransomware n’obtenant pas toujours le succès escompté, les cyber criminels ont élargi leurs méthodes de détournement des fonds. Les techniques dites d’hameçonnage (ou phishing) ou de compromission de courriel professionnel connaissent une forte recrudescence.
Les techniques de ransomware n’obtenant pas toujours le succès escompté, les cyber criminels ont élargi leurs méthodes de détournement des fonds. Les techniques dites d’hameçonnage (ou phishing) ou de compromission de courriel professionnel connaissent une forte recrudescence.
Lorsqu’on évoque les attaques cyber, on pense généralement, en premier lieu, aux entreprises victimes de ransomware, très médiatisées. Il s’agit du cas où des entreprises subissent un chantage financier à la suite du blocage de leur système informatique, infecté par un malware. Afin d’obtenir une clé de déchiffrement ou d’échapper à la divulgation de données, la victime se trouve contrainte de payer une rançon.
Les entreprises prenant conscience que le paiement de la rançon ne garantit jamais un retour à une situation sereine, honorent de moins en moins les paiements. En conséquence, les cybers criminels élargissent leurs pratiques pour détourner des fonds.
La recrudescence des techniques dites d’hameçonnage (phishing), de compromission de courriel professionnel, en sont l’illustration. Le dispositif cybermalveillance.gouv.fr révèle que le phishing est de loin la première menace. Il souligne « que la simplicité de sa mise en œuvre n’en fait pas moins une technique redoutable ; et que la majorité des cyber malveillances (piratage de compte, usurpation d’identité, fraude bancaire, faux support technique, rançongiciel) font suite à un phishing ».
La réussite de ces manœuvres repose sur leur crédibilité (noms d’utilisateurs réels lors d’envoi de courriels), attestant que les fraudeurs ont réussi à obtenir des informations précises sur leur cible.
Leurs méthodes : tromper la vigilance des utilisateurs par l’envoi de courriel d’apparence légitime pour voler des identifiants d’accès aux réseaux informatiques, des coordonnées bancaires ou des identifiants de connexion à des services financiers. La victime induite en erreur délivre les informations confidentielles.
Les e-mails, SMS et appels téléphoniques sont les moyens utilisés couramment. Une fois les codes de boîte mail obtenus, l’accès aux plateformes auxquelles le compte est connecté devient possible, mais également l’usurpation d’identité pour se faire passer pour la victime auprès de tiers.
Le recours à des techniques provoquant de la peur ou de la détresse émotionnelle n’est malheureusement pas en reste non plus pour extorquer des informations (harcèlement, fausses déclarations d’infractions, chantage à la pédopornographie…), la désinformation, le mensonge ou la calomnie étant facilitées par l’anonymat des écrans.
On parle désormais de cyber fraudes car elles exploitent l’utilisation des outils numériques. La fraude est ainsi, elle aussi, informatisée et toutes les entreprises, quelle que soit leur taille, peuvent, à tout moment, y être exposées.
La sécurité du système informatique mise en place doit être suffisante pour limiter les intrusions ; elle doit être renforcée par la sensibilisation des utilisateurs à ces pratiques. La définition des pouvoirs et des responsabilités dans les tâches est essentielle comme la mise en place de circuit de validation des paiements (double signature, contrôle interne, circuit de validation des achats, suivi des effectifs et des droits d’accès informatiques…).
En conclusion, ne pas perdre de vue que :
- les cyber attaques sont souvent exécutées à des fins financières ;
- les outils informatiques pour lutter contre les intrusions malveillantes sont nécessaires et doivent être mis à jour pour endiguer les risques de fraude ;
- face au recours massif au phishing , la connaissance des utilisateurs de ces pratiques est essentielle pour maintenir le bon niveau d’attention.
Le rempart contre la cyber fraude dépend de la responsabilité de tous.
En cas d’incident, vous devez porter plainte dans les 72 H (loi LOPMI).
Plainte en ligne pour les arnaques sur internet (THESEE) | Ma Sécurité (interieur.gouv.fr)
Quelques exemples de techniques
- Le FOVI : fraude au faux ordres de virement
Cette technique consiste en un piratage préalable de la messagerie de la victime ou du créancier, afin d’obtenir des informations sur des instances de règlement et détenir un niveau d’information incontestable. Puis, suit l’envoi à la victime d’une facture en attente de paiement, en usurpant l’identité d’un créancier (artisan, fournisseur...).
- L’utilisation de faux sites web ou de faux portails de services légitimes
Ce moyen permet de transmettre et de dissimuler des attaques de phishing. Les victimes suivent les processus usuels les invitant à communiquer des informations administratives et financières, voire des codes d’accès informatiques directement en ligne.
Ou alors, un site officiel devient le véhicule d’intrusion, par exemple des entreprises en quête de candidats, les pirates postulent à des offres d'emploi et téléchargent un CV au format PDF contenant des liens malveillants qui pourra se déployer à la lecture.
SMABTP a développé des solutions qui couvrent les entreprises contre les conséquences financières d'une cyberattaque ou d’une cyber fraude.
