Fraude dans le trafic des paiements

De nombreux schémas de fraude sont connus depuis des années, mais les méthodes utilisées pour tromper les victimes évoluent constamment. Les criminels adaptent habilement leurs approches aux circonstances actuelles et utilisent des technologies modernes pour rendre leurs attaques plus difficiles à détecter.

Nous souhaitons mettre en lumière schémas de fraude spécifiques dans le domaine du Business E-Mail Compromise (courrier électronique frauduleux), particulièrement pertinents pour les entreprises, et vous montrer comment vous en protéger.

Le BEC est une forme d’escroquerie par courriel visant des entreprises ou des particuliers. Les criminels utilisent des comptes courriels falsifiés ou piratés pour accéder à des informations sensibles. Ils se font passer pour des partenaires commerciaux, des cadres ou des employés de confiance. Il peut arriver qu’ils utilisent des messages vocaux ou des vidéos très réalistes créés à l’aide de l’intelligence artificielle.

Le but de ces attaques est de pousser les victimes à transférer de l’argent ou à divulguer des informations confidentielles.

Aujourd’hui, le BEC fait partie des risques numériques les plus graves pour les entreprises de toutes tailles. En plus des pertes financières importantes, il peut aussi entraîner des dommages durables à la réputation. Les formes les plus courantes de BEC sont les factures falsifiées, la fraude au PDG, et les fraudes liées aux paiements de salaires.

Adresses e-mail inhabituelles ou inconnues
Légères différences dans le nom de l’expéditeur ou le domaine de l’e-mail
Message exprimant une urgence atypique ou un fort sentiment d’urgence
Langage inhabituel, fautes de grammaire ou d’orthographe
Demandes de confidentialité absolue ou de conservation secret
Pièces jointes inconnues ou liens suspects
Instructions de paiement inhabituelles ou changement de compte bancaire
Changement soudain du canal de communication

Formez régulièrement vos collaborateurs et vous-même sur les arnaques actuelles et la sécurité informatique. Nous serons heureux de vous y aider.
Protégez votre infrastructure informatique selon les normes les plus récentes. Une infrastructure insuffisamment sécurisée (p. ex. à cause de mises à jour manquantes) est plus vulnérable.
Etablissez différents canaux de communication avec vos clients et vos fournisseurs et maintenez-les à jour (p. ex. téléphone, courriel, adresse postale).
Définissez des processus de paiement clairs. Par exemple :
- Si possible, appliquez le principe des « quatre yeux » et évitez les droits de signature individuels.
- Vérifiez toute instruction de paiement nouvelle ou différente par un canal sécurisé, comme un numéro de téléphone déjà validé.
Soyez conscient que la communication par courriel peut être manipulée et ne garantit pas une sécurité totale.
Encouragez vos collaborateurs à signaler immédiatement toute observation ou situation suspecte à un service central interne.
Favorisez une culture de saine méfiance vis-à-vis des demandes inhabituelles.
Réfléchissez aux informations que vous publiez sur votre entreprise et vos collaborateurs. Limitez-les au strict nécessaire.

Factures falsifiées

Les fraudeurs contactent une entreprise en se faisant passer pour un partenaire commercial existant, par exemple un fournisseur. Ils demandent le paiement d’une facture légitime en suspens sur un nouveau compte bancaire inconnu. Au préalable, ils accèdent à l’infrastructure informatique de l’entreprise ou du véritable partenaire afin de collecter des informations rendant leur demande très crédible. La personne contactée considère la demande comme plausible et effectue le paiement sur un compte contrôlé par les fraudeurs.

Fraude au CEO (CEO fraud)

Dans ce cas, les fraudeurs contactent directement le service financier en se faisant passer pour un cadre supérieur – par exemple le CEO ou le CFO. Sous prétexte d’une opération confidentielle et urgente, ils demandent un virement immédiat. Pour être crédibles, ils falsifient ou manipulent les adresses d’expéditeur ou le contenu des e-mails. Le destinataire pense répondre à une demande légitime et effectue le paiement sur un compte contrôlé par les fraudeurs.

Fraude aux salaires

Les fraudeurs se font passer pour des employés de l’entreprise et contactent les ressources humaines (RH). Dans un message très réaliste – souvent depuis une adresse e-mail privée et non professionnelle – ils demandent un changement de leurs coordonnées bancaires, par exemple en invoquant un changement de compte. L’identité est imitée de manière convaincante grâce à des adresses falsifiées ou des comptes compromis. Le service RH modifie alors les données bancaires, et le salaire suivant est versé sur un compte appartenant aux fraudeurs.

1
Collecte d’informations
Les criminels recherchent délibérément des informations sur l’entreprise, ses collaborateurs, ses processus, voire sur des personnes privées. Ils utilisent des sources accessibles au public ainsi que des techniques manipulatrices telles que le phishing, le piratage ou le ciblage direct pour obtenir des données sensibles. Ces informations constituent la base de la tromperie à venir. La phase de collecte peut durer des jours, des semaines, voire des mois.
2
Tromperie
Les attaquants utilisent les informations collectées pour gagner la confiance de leurs victimes. Ils se présentent comme des personnes ou organisations de confiance et utilisent des courriels, messages ou appels téléphoniques falsifiés pour manipuler leurs cibles. Ils insistent souvent sur l’urgence et la confidentialité pour accentuer la pression. Grâce aux « deepfakes », il est désormais possible d’imiter des voix ou des personnes de manière étonnamment réelle.
3
Exécution du paiement
La personne trompée initie un virement vers un compte bancaire contrôlé par les auteurs de la fraude. Grâce à la manipulation habile, tous les doutes sont levés et le paiement est effectué sans vérification. La victime est persuadée d’effectuer une transaction légitime.

Informez immédiatement votre service informatique afin que des mesures puissent être prises.
Contactez sans délai votre banque. Elle pourra alors activer les protections nécessaires et contester une transaction frauduleuse si besoin.
Envisagez de porter plainte, même s’il n’y a pas eu de perte financière.

Votre conseiller ou conseillère se tient à votre disposition pour toute question.

Fraude dans le trafic des paiements

Collecte d’informations

Tromperie

Exécution du paiement

Avez-vous remarqué quelque chose de suspect?

Aide

Produits

Domaines d'activité

À notre propos