L’escroquerie aux faux ordres de virement continue de sévir… - Crédit Agricole des Savoie


L'escroquerie aux faux ordres de virement continue de sévir...

Désormais clairement identifiée, la fraude aux faux ordres de virement n'en reste pas moins un risque important pour toutes les entreprises, quels que soient leur taille et leur secteur d'activité.

Plusieurs entreprises savoyardes en ont été victimes au cours des derniers mois pour un préjudice dépassant plusieurs centaines de milliers d'euros.

La prévention reste la meilleure arme, mais en cas de fraude avérée, il faut réagir très vite et contacter votre chargé d'affaires.

L'ingénierie sociale à des fins frauduleuses : une mécanique implacable

L'ingénierie sociale à des fins frauduleuses repose sur l'élaboration d'une stratégie d'extorsion d'informations puis de manipulation, en vue d'obtenir l'exécution d'un transfert de fond vers l'étranger (SEPA ou international)

1. La phase de préparation

Les fraudeurs mènent l'enquête : Précision, Anonymat, Sophistication

La fraude est toujours précédée d'une recherche méticuleuse d'informations sur l'entreprise : nom et fonction du collaborateur susceptible d'effectuer un virement, nom du dirigeant, culture de l'entreprise, habitudes commerciales, nom des fournisseurs étrangers, banques de la société, procédures internes...

Les escrocs n'hésitent pas à prendre contact directement avec l'entreprise par mail, fax ou téléphone.

Le montage final est d'une extrême sophistication : des plateformes téléphoniques sont utilisées pour louer des numéros de téléphone, de fax et d'adresses IP aléatoires afin d'assurer l'anonymat des fraudeurs ; des adresses mail par nom de domaine sont créées afin d'appuyer la crédibilité de la demande.

2. La phase opérationnelle

Les fraudeurs sortent le grand jeu : Intimidation, Conviction, Manipulation

Une personne appelle par téléphone l'employé habilité à traiter un ordre de virement et identifié préalablement. Elle se fait passer pour un responsable de l'entreprise ou du groupe (fondateur, PDG, fils du PDG, directeur financier...) de manière à intimider l'employé.

L'escroc évoque une affaire strictement confidentielle, qui ne doit être évoquée sous aucun prétexte même au sein de l'entreprise (par exemple un rachat de société). Une adresse spécifique de messagerie devra d'ailleurs être utilisée pour échanger sur le sujet. Cette adresse aura été créée au préalable par l'escroc en utilisant l'identité du dirigeant.

Au cours de cette phase, l'employé est mis en confiance par l'utilisation de termes spécifiques à l'entreprise, par la valorisation de la personne (« je fais appel à vous car j'ai une grande confiance en vous »)... l'intimidation est également utilisée (« c'est le président qui vous parle, vous comprenez l'importance de ce que je vous demande ? »)

Il est alors demandé de réaliser un virement urgent. Des fausses factures correspondant aux sommes à transférer et portant les coordonnées bancaires sont transmises par fax en insistant sur le caractère urgent. La confirmation de l'ordre de virement peut parfois être jointe. Elle est signée du dirigeant, la signature ayant été scannée et insérée dans le document transmis. Parfois, il est précisé que ces documents seront transmis dès le lendemain.

La situation d'urgence associée à la pression « hiérarchique » contribue à déstabiliser l'employé qui finit par céder et transmettre l'ordre de virement à sa banque par la procédure habituelle.

3. Autres modes opératoires identifiés : le faux fournisseur et le faux technicien informatique

La demande de changement de coordonnées bancaires d'un fournisseur par mail ou fax. Dans ce cas, du papier à entête est utilisé. La signature peut être authentique, mais copiée d'un autre document, de même que le logo de la société.

Toujours procéder à une vérification formelle de ce type de demande auprès du correspondant habituel du fournisseur.

L'appel du faux dépanneur informatique : l'appelant prétexte une mise à jour du logiciel de traitement des virements pour demander à l'opérateur de se connecter et saisir une opération test pour vérifier que la mise à jour est opérationnelle.

Bien entendu, les coordonnées bancaires transmises sont réelles, contrairement à ce que précise l'interlocuteur, et le transfert effectif.

Le Crédit Agricole ne procède jamais à ce type de test par téléphone.

Les signes d'alerte et les bonnes pratiques : la vigilance et la sensibilisation avant tout

La vigilance est de mise pour ne pas divulguer d'information sur l'identité du personnel et surtout sur ses habilitations afin de ne pas faciliter la tâche des escrocs

1. La mise en œuvre des fraudes avérées utilise un stratagème commun qui doit éveiller la méfiance : la pression hiérarchique, l'urgence, la confidentialité

  • L'utilisation d'une fonction hiérarchique élevée pour intimider l'employé et le pousser à effectuer le virement.
  • L'insistance sur le caractère d'urgence de la transaction, ne permettant pas de vérifier le bien-fondé de la demande.
  • La totale discrétion imposée au salarié afin d'empêcher la détection de la fraude.
  • L'utilisation par l'interlocuteur du prétexte de déplacement pour justifier de coordonnées non vérifiables.
  • La demande de virement au profit d'une banque hors de France, souvent en dehors de l'union européenne.
  • La survenue de la demande la veille d'un week-end ou d'un jour férié. Ce point n'est pas systématique : la demande peut avoir lieu en semaine, mais le décalage horaire avec la zone créditée (notamment l'Asie) empêche toute action de blocage de la transaction.
  • La demande de changement de coordonnées bancaires d'un fournisseur par mail ou fax.
  • La demande de saisie d'une opération soi-disant test pour vérifier la mise à jour de l'accès bancaire.

2. Les bonnes pratiques : Sensibiliser le personnel, Verrouiller les procédures, Garder un esprit critique

L'ingénierie sociale à des fins frauduleuses débute toujours par une phase de prise d'informations. La plus grande vigilance s'impose donc en permanence pour maîtriser les informations divulguées à des tiers.
  • Sensibiliser les employés susceptibles d'être contactés par l'escroc : services financiers et comptables, mais aussi standardistes, secrétaires... Ne pas mettre en ligne l'organigramme de la société.
  • Verrouiller les procédures internes d'exécution de virements : contre appel sur lignes définies, vérification des mails de confirmation (liste de mails habilités, noms de domaine définis), double signature pour montants supérieurs à un plafond établi...
  • En cas de demande hors procédure, refuser un mail personnel (le canal professionnel doit être le seul utilisé) ainsi qu'un portable inconnu. Dans tous les cas, un aval hiérarchique doit être demandé : la double signature permet de faire échouer les tentatives pour des montants importants.
  • Rester en garde en cas de demande urgente et confidentielle.
  • Vérifier l'authenticité des demandes de changement de coordonnées bancaires auprès du correspondant habituel via ses coordonnées habituelles.
  • Rester critique vis-à-vis des opérations demandées : pourquoi réaliser un test avec un montant de 100 k€ par exemple ?
En cas de fraude avérée, contactez immédiatement votre chargé d'affaires. En cas de réaction immédiate, il est parfois possible de bloquer la transaction. Dans tous les cas, déposez plainte auprès des services de police.

+ d'informations en vidéo : Entretien entre Willy DUBOST, Directeur système et moyens de paiement de la Fédération Bancaire Française et Jean-Marc SOUVIRA, commissaire divisionnaire, chef de l'Office central de répression de la grande délinquance financière.

Plan du site | Mentions légales | Charte des internautes | Etudes économiques & financières | Nos Tarifs
© Crédit Agricole 2016