23 Sep Prévention des escroqueries numériques

Plusieurs d’entre vous nous ont récemment signalé avoir été victimes d’escroquerie ou de tentatives de fraude numérique. Pour diminuer les risques d’être touchés par ces actes malveillants, veillez à adopter de bons réflexes.

Les escroqueries

La cyber-malveillance n’est qu’une forme spécifique d’escroquerie. Vous trouverez ci-dessous les principaux types de fraudes pouvant provoquer une perte financière pour votre entreprise.

Piratage de boite mail et changement de RIB

Au cours d’un échange classique de mails avec son fournisseur (notamment pour un changement de coordonnées bancaires), un de nos adhérents est prévenu que son virement n’a pas été encaissé. Surpris, les coordonnées sont vérifiées et il est découvert que le RIB du fournisseur a été modifié : la pièce jointe ne correspond pas au bon numéro de compte.

Ici, les hackers ont intercepté les échanges de mails, usurpé l’identité du fournisseur et communiqué de fausses coordonnées bancaires, sur lesquelles cette fromagerie a effectué des règlements, occasionnant un préjudice financier important.

Les escrocs peuvent aussi, à l’inverse, contacter le service comptable d’un de vos clients en se faisant passer pour vous et demander que les versements soient redirigés vers un nouveau compte bancaire. Ce compte bancaire est en fait un compte temporaire, dont le titulaire et l’IBAN peuvent sembler légitimes mais qui ne sert qu’à déposer momentanément l’argent avant de renvoyer ces sommes vers d’autres comptes bancaires, le plus souvent à l’étranger afin de complexifier les poursuites.

Que faire ? 

• En cas de changements de coordonnées bancaires d’un de vos fournisseurs, toujours appeler le responsable pour confirmer oralement.
• Changer immédiatement les mots de passe de la boite mail fautive.
• Prévenir la banque pour tenter de stopper le virement détourné.
• Déposer plainte sous moins de 72 heures.

La fraude au faux client

En 2023, une adhérente a reçu une commande de fromages d’une entreprise se présentant comme voulant offrir des cadeaux à ses employés. Après de nombreux échanges sur leurs besoins, l’arnaqueur a indiqué avoir viré malencontreusement sur le compte de la fromagerie 20 000 € en lui demandant de garder le montant de la facture et de rembourser le reste. Dans ce laps de temps, le compte de la fromagerie a été crédité des 20 000 € ! En fait un chèque non provisionné avait été apporté au guichet de la banque de la fromagerie par l’arnaqueur. Le temps des opérations usuelles de contrôle de la banque, le compte de la fromagerie était donc artificiellement provisionné.

Vigilante, notre adhérente a suspecté l’arnaque en se renseignant auprès de sa banque et a ainsi évité l’escroquerie.

La « fraude au président » ou « fraude au comptable »

Les escrocs demandent à un agent des services comptables d’effectuer en urgence un virement important à un tiers, pour obéir à un prétendu ordre du chef d’entreprise, du directeur commercial ou du responsable administratif et financier.

La fraude au comptable en est l’équivalent en inversant les rôles, un escroc se fait passer pour votre service de comptabilité pour demander des mouvements de fonds.

Au téléphone ou par écrit, il faut toujours être vigilant et ne pas agir dans la précipitation, peu importe les arguments avancés par vos interlocuteurs.

La fraude au phishing / mailing

Les escrocs piratent une boite mail d’un de vos contacts et vous renvoient vers un lien internet qui, dans le pire des cas, pourra infecter votre ordinateur ou, plus simplement, vous redirigera vers une plateforme servant à récupérer des fonds moyennant un prétexte (urgence, problème de santé etc.).

Le mot de passe ou la phrase de passe

Contrairement à une idée reçue, un mot de passe long et simple est plus sécurisant qu’un mot de passe court mais ayant des caractères spéciaux et des chiffres.

Dans cette lignée, il peut être pertinent d’opter pour une phrase de passe : Un enchainement de mots, simple à retenir, mais suffisamment long (+ de 15 lettres) sera en effet difficilement déchiffrable par un logiciel de piratage informatique.

Il faut également veiller à ce que vos codes protégeant des contenus sensibles (banque ou messagerie professionnelle) ne soient jamais réutilisés pour d’autres services. L’usage d’un outil de stockage de mots de passe est relativement déconseillé, car sous couvert d’une bonne idée, le risque de piratage reste sensiblement le même.

Le Smartphone, un périphérique à risque

Compte tenu des multiples associations de comptes quasiment obligatoires sur la plupart des smartphones modernes (Messageries / Banques / Assurance Maladie / Mutuelle, etc.), les risques et conséquences d’un piratage de cet objet du quotidien doivent être pris en compte au même titre que pour un ordinateur.

• Il est important de bien mettre à jour votre système d’exploitation de Smartphone (Android & IOS) (et d’ordinateur Windows & Mac OS) pour se prémunir des principales failles informatiques grâce aux correctifs de sécurité des fabricants.
• Il faut mettre des barrières entre vos usages professionnels et vos usages personnels :
• Cloisonnez les usages en utilisant un téléphone ou un ordinateur différent pour la maison et l’entreprise.
• Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie personnelle, car cela démultiplie le risque.
• N’hébergez pas de données professionnelles sur vos équipements personnels (Smartphone, clé USB, disque dur externe, etc.) ou sur des moyens personnels de stockage en ligne (Cloud) et évitez de les connecter aux ordinateurs de l’entreprise.   

Comment réagir en cas d’incident ?

Attention ! Depuis le 24 avril 2023, toute victime de pertes ou de dommages causés par une cyberattaque dans le cadre de son activité professionnelle devra porter plainte dans un délai de 72 heures à compter de la connaissance de cette atteinte pour pouvoir être indemnisée par son assureur.

Malgré toutes les protections du monde, le risque zéro n’existe pas : Un piratage peut être soupçonné en cas d’impossibilité de se connecter à votre ordinateur, de constat de connexions ou d’activités inhabituels ou non autorisés, de fichiers créés, modifiés ou supprimés sans autorisation, etc.

Dans ce cas :

• En cas de rançongiciel, ne payez jamais la rançon demandée,les promesses de fin de piratage moyennant le paiement d’une somme d’argent sont le plus souvent fausses, vous ne récupérerez pas vos données après le paiement.
• Déconnectez la machine du réseau, pour stopper l’attaque. En revanche, maintenez-la sous tension et ne la redémarrez pas, pour ne pas perdre d’informations utiles s’il y a besoin d’une analyse a posteriori.
• Demandez un diagnostic personnalisé en ligne sur Cybermalveillance.gouv.fr
• En cas de violation de données personnelles (clients, clients professionnels, fournisseurs, etc.) vous devez effectuer en ligne une notification auprès de la CNIL.
• Déposez une plainte auprès d’une brigade de gendarmerie ou d’un service de police judiciaire.

Une fois l’incident fini, faites réinstaller complètement le système d’exploitation et changez tous les mots de passe.

Retrouvez plus d’informations sur le site de l’ANSSI : www.ssi.gouv.fr/en-cas-dincident/

Si jamais vous aviez un problème, n’hésitez pas à vous rapprocher immédiatement de votre service d’assurance.

L’escroquerie en ligne est un sinistre comme les autres et peut, en fonction de votre police d’assurance, être partiellement ou totalement pris en charge.

La Fédération se tient à votre disposition pour vous accompagner en cas de doute ou de problème avéré sur l’un de vos matériels professionnels.