Publié le mars 4, 2024 • 7 min de lecture
De plus en plus d’entreprises ont investi dans des technologies de prévention des fraudes afin de protéger leurs données, leurs employés et leurs clients des cybermenaces. Malgré cela, leur vulnérabilité demeure en raison d’un point faible qu’elles ont en commun : leur personnel.
Vos mesures de sécurité sont peut-être plus robustes que jamais, mais les cyberattaquants ont un nouvel outil pour percer les défenses des entreprises : le piratage psychologique. En d’autres termes, ils tirent parti de la vulnérabilité des personnes travaillant avec vous ou pour vous dans le but de voler de l’argent, des données ou les deux. Après tout, nous sommes tous occupés et généralement soucieux de satisfaire aux demandes. Il se peut donc que nous répondions à un courriel sans réellement prêter attention à l’expéditeur, à la raison pour laquelle il formule une demande inhabituelle ou à la fiabilité du lien sur lequel nous cliquons.
Il est donc nécessaire que les employés connaissent les moyens les plus courants pouvant les inciter à fournir des informations utiles à un cybercriminel.
« À une époque où les cybercriminels ciblent de plus en plus la psyché humaine à l’aide de tactiques de piratage psychologique, la technologie peut renforcer vos mesures de sécurité. Néanmoins, c’est la vigilance et la sensibilisation de vos employés qui constituent votre pare-feu humain et votre première ligne de défense. Même en investissant dans les technologies les plus avancées qui soient, vos mesures de sécurité restent vulnérables si votre personnel n’est pas correctement formé. »
– Michael Argast, cofondateur et chef de la direction de Kobalt.io
Voici cinq tactiques de piratage psychologique frauduleuses ciblant les entreprises :
1. Escroquerie par imitation du chef de la direction
Dans ce type de fraude, un escroc pirate le courriel d’un responsable, d’un chef de la direction ou d’un cadre dirigeant et envoie un faux courriel demandant l’exécution d’une opération financière. En général, il demande que l’on modifie les renseignements ayant trait à l’acheminement des fonds vers un compte, ou encore que l’on effectue un dépôt ou un virement de nature inhabituelle.
Comme il a fait des recherches et surveillé les courriels, le fraudeur sait quand le cadre dirigeant concerné sera en déplacement dans une autre ville, et donc que l’employé ne pourra pas confirmer la demande en personne. Lorsque le cadre dirigeant revient, l’argent a déjà été envoyé vers un compte frauduleux et a disparu.
2. Fraude sur paiement
La fraude sur paiement se produit lorsqu’un fraudeur prétend être un client de l’entreprise et appelle pour modifier les détails du paiement. Les plus astucieux font des recherches et savent quand les employés clés sont en pause et que la personne chargée de répondre au téléphone ne connaît pas aussi bien les clients ou les procédures. Une fois les détails du paiement modifiés, les versements ultérieurs seront directement effectués sur le compte du fraudeur et non plus sur celui du fournisseur.
3. Fraude sur chèque
L’utilisation de chèques est en baisse ces dernières années, mais de nombreuses entreprises canadiennes continuent à les utiliser. En effet, les banques canadiennes en traitent encore plus d’un milliard chaque année.
La fraude sur chèque se présente sous des formes diverses et variées, les plus communes étant le vol de chèques, la création de chèques contrefaits ou la falsification du nom ou du montant d’un chèque authentique. Elle peut également se produire au sein même d’une entreprise : en l’absence de processus robustes, les employés peuvent voler les fonds de l’entreprise en interceptant, falsifiant ou modifiant un chèque.
4. Usurpation d’identité des banques
Si une personne appelle en se faisant passer pour votre banque, il est légitime de supposer que les employés répondront à ses questions. Les fraudeurs comptent sur ce comportement pour usurper l’identité d’une banque et mener à bien cette escroquerie. Cette technique consiste à appeler en se faisant passer pour le service de lutte antifraude de votre banque ou de votre commerçant pour demander la valeur d’un jeton d’authentification ou le code secret sur le point d’être envoyé par texto. En réalité, l’appelant est un fraudeur qui a accès aux données ou aux cartes de crédit de l’entreprise. Il tente d’inciter un employé à divulguer un code d’authentification à deux facteurs dans le but de voler des fonds ou d’effectuer un achat.
5. Escroquerie du surpaiement
Dans ce cas, un fraudeur contacte une entreprise en demandant un devis pour un service quelconque. Une fois le devis envoyé, il paie le service d’avance.
Le hic, c’est que le montant indiqué sur le chèque est volontairement supérieur à celui de la facture. Le fraudeur contacte alors l’entreprise pour l’informer du versement excédentaire et demande la restitution du trop-perçu. Soucieux de rendre service, l’employé répond à cette demande et envoie les fonds avant que l’entreprise ne s’aperçoive que le chèque original est frauduleux.
Comment protéger votre entreprise
Quelle que soit l’escroquerie, vos employés, vos fournisseurs et vos partenaires peuvent être des cibles et aider sans le vouloir les fraudeurs à vous soutirer des biens précieux. Il est donc essentiel d’informer vos employés sur les types de fraudes et les tactiques utilisées, de façon à assurer la sécurité de votre entreprise.
Voici ce que vous pouvez faire pour réduire les vulnérabilités pouvant conduire à une fraude :
Informez vos employés de manière proactive
Apprenez à votre personnel à détecter l’hameçonnage, l’hameçonnage par texto et les autres formes d’escroquerie par messagerie. Formez vos employés de manière continue pour les tenir informés et les inciter à faire preuve d’une vigilance constante. Par exemple, Kobalt.io propose un programme de formation destiné aux utilisateurs, qui comprend une formation de sensibilisation à la cybersécurité ainsi que des simulations d’hameçonnage pour que votre équipe reste vigilante et au fait des dernières escroqueries.
Mettez en œuvre des processus pour protéger vos employés
Vous pouvez prévenir les fraudes en adoptant les bons processus. Par exemple :
-
Chaque employé devrait avoir son propre identifiant d’ouverture de session.
-
Les données d’ouverture de session devraient être protégées contre toute divulgation accidentelle.
-
Les données confidentielles ne devraient être divulguées à personne sans valider la demande au préalable, par téléphone ou en personne.
-
L’accès des employés devrait être limité à ce dont ils ont besoin pour accomplir leur travail.
-
Les responsabilités des opérations délicates ou à risque élevé devraient être réparties entre plusieurs personnes : par exemple, une opération financière peut avoir un initiateur et un approbateur.
Soutenez vos employés en leur offrant une technologie adaptée
-
Utilisez un détecteur de logiciels malveillants sur tous les appareils, même les appareils personnels si vos employés les utilisent pour vérifier leurs courriels professionnels ou accéder aux applis.
-
Mettez en œuvre une pratique consistant à n’accéder aux applis ou systèmes professionnels qu’au moyen de réseaux chiffrés.
Pour protéger votre entreprise, il est indispensable d’investir en continu dans sa cybersécurité. Cependant, il est tout aussi important d’organiser régulièrement des formations et de mettre à jour les processus afin que vos employés puissent eux aussi lutter contre la fraude.
Espace sur la sensibilisation à la cybersécurité RBC pour l’entreprise
RBC a réuni une solide collection de conseils, de webinaires et de meilleures pratiques pour vous aider à rester au fait des dernières menaces, tendances et mesures de protection pour que vous soyez en mesure de vous défendre et d’adapter votre entreprise en conséquence. En savoir plus
Le présent article vise à offrir des renseignements généraux seulement et n’a pas pour objet de fournir des conseils juridiques ou financiers, ni d’autres conseils professionnels. Veuillez consulter un conseiller professionnel en ce qui concerne votre situation particulière. Les renseignements présentés sont réputés être factuels et à jour, mais nous ne garantissons pas leur exactitude et ils ne doivent pas être considérés comme une analyse exhaustive des sujets abordés. Les opinions exprimées reflètent le jugement des auteurs à la date de publication et peuvent changer. La Banque Royale du Canada et ses entités ne font pas la promotion, ni explicitement ni implicitement, des conseils, des avis, des renseignements, des produits ou des services de tiers.
Partager cet article