Ce billet de blogue est tiré en partie de Cross, C. et Gillett, R. (2020). Exploiting trust for financial gain: an overview of business email compromise (BEC) fraud. Journal of Financial Crime.
Ces dernières semaines, plusieurs employés de l’Université de Montréal ont été touchés par des tentatives de fraude au président. Aussi appelée « escroquerie du fournisseur » ou «arnaque du faux PDG », cette fraude cible les organisations.
Un remerciement à nos collègues de Serene-risc pour nous avoir fourni un exemple de tentative de fraude au président
Selon le Bureau de la concurrence du Canada, qui classe cette fraude parmi les fraudes du virement électronique, cette fraude aurait coûté près de 13 millions de dollars [1]. Les données actuelles concernant cette fraude sont rares étant donné le peu de signalements de cette fraude aux autorités compétentes. D’ailleurs, le centre antifraude du Canada estime que seulement 5 % de l’ensemble des fraudes leur sont signalées [1]. Considérant l’impact sur la réputation des entreprises, ce constat n’est pas étonnant.
Le Federal Bureau of Investigation (FBI) estime quant à lui que la fraude au président a coûté 26 milliards de dollars US entre juin 2016 et juin 2019 dans le monde entier [2]. Au Québec, l’exemple le plus retentissant est celui de la Coop fédérée qui a perdu 55 millions de dollars suite à cette fraude [3].
Un rapport de Symantec rapporte d’ailleurs qu’en 2018-2019, le Canada faisait partie des dix pays les plus touchés par ce type de fraude, derrière les États-Unis, l’Australie, le Royaume-Uni, la Belgique et l’Allemagne [2].
Qu’est-ce que la fraude au président ?
La fraude au président cible principalement les entreprises. Les fraudeurs cherchent à obtenir de l’argent ou des informations personnelles des entreprises ciblées en utilisant des moyens trompeurs. La fraude au président se produit lorsqu’un fraudeur se fait passer pour un employé, un fournisseur ou autre personnel de confiance pour obtenir des fonds, des numéros de compte, des codes d’accès ou autres informations sensibles. Généralement, le fraudeur va se faire passer pour le président de l’entreprise ou une personne de la haute direction afin de demander à un employé de virer des fonds ou de payer des factures [1]. Il arrive aussi que le fraudeur demande à la cible d’acheter des cartes cadeaux sous prétexte de les offrir à d’autres employés comme cadeau de fin d’année ou bonus annuel. Le fraudeur demande ensuite à la cible de lui envoyer les photos des cartes incluant les codes d’activation. Cette façon de faire permet d’éviter de recourir à des comptes bancaires et d’utiliser ces cartes cadeaux pour acheter des bitcoins [4]. Dans d’autres cas, le fraudeur peut se faire passer pour un fournisseur et demander le paiement de fausses factures.
Pour arriver à leurs fins, les fraudeurs peuvent prendre le contrôle d’un compte courriel d’un employé ou en créer un similaire au compte légitime. Dans le premier cas, les fraudeurs peuvent acquérir le compte courriel d’un employé via un maliciel ou un courriel d’hameçonnage. Dans le deuxième cas, le fraudeur va créer une adresse courriel similaire en enlevant quelques caractères ou en changeant ‘.ca’ par ‘.com’, par exemple.
Le recours à l’ingénierie sociale
Dans la majorité des cas, les fraudeurs n’utilisent pas de techniques sophistiquées pour arriver à leurs fins. Ils s’appuient généralement sur des techniques d’ingénierie sociale (hameçonnage et autres) usant de moyens de persuasion, notamment l’appel à l’autorité et à l’urgence. L’appel à l’autorité est notable lorsque le fraudeur se fait passer pour le dirigeant de l’entreprise ou toute autre personne haut placée. Dans leurs communications avec les cibles, les fraudeurs utilisent des connotations d’urgence afin d’obliger la cible à agir rapidement tout en diminuant leurs facultés de raisonnement et éviter ainsi toute question ou objection.
Très souvent, les fraudeurs vont faire des recherches sur l’entreprise afin que leurs communications paraissent le plus vraies possible. De nos jours, les informations des entreprises, notamment l’organigramme, se trouvent facilement sur Internet, et en particulier sur les plateformes de réseautage social destinées aux professionnels comme LinkedIn. Bien que ces recherches puissent prendre du temps, plus le fraudeur connaît l’entreprise, plus il a de chances de réussir.
Les moyens de prévention
Dans leur article Cassandra Cross et Rosalie Gillett identifient deux types de moyens de préventions : les moyens techniques et non techniques.
Parmi les moyens techniques, le filtrage des pourriels et des courriels d’hameçonnage est largement répandu dans les entreprises. La mise à jour des logiciels d’ordinateurs, logiciels anti-maliciels et des systèmes de sécurité permettrait également de se prémunir contre la fraude au président. Il existe également des systèmes de détection qui s’appuient sur l’analyse des modèles des courriels de fraude ainsi que des logiciels de catégorisation des courriels en liste noire et liste blanche.
Bien que ces mesures puissent prévenir la réception de courriels d’hameçonnage, le fait que la fraude au président implique des courriels adaptés spécifiquement à une entreprise, il est probable que les systèmes de filtrage de courriels ne puissent les détecter.
Parmi les moyens non techniques, la sensibilisation des employés reste le moyen le plus efficace. Le recours aux simulations de tentatives d’hameçonnage permet faire la démonstration aux employés des techniques utilisées par les fraudeurs. En outre, les employés doivent aussi s’assurer de vérifier que les adresses courriel des expéditeurs correspondent bien à celles de l’entreprise notamment au niveau de l’orthographe des noms et noms de domaines. Des politiques de sécurité en matière de paiement et de transferts de fonds doivent aussi être mises en place. Par exemple, un transfert de fonds devrait être autorisé par plusieurs personnes, même dans les situations urgentes.
Cependant, il faut s’assurer que les programmes de formation et de sensibilisation des employés ne contreviennent pas aux objectifs de l’organisation. Bien souvent, les employés privilégient leur productivité ou performance au dépend des règles de sécurité qui peuvent apparaître comme contraignantes.
Tendances futures de la fraude
Parce que la fraude au président requiert très peu de moyens sophistiqués, il est peu probable que le modus operandi change grandement au cours des prochaines années. Par contre, il est possible que les fraudeurs fassent plus usage de l’intelligence artificielle et de l’apprentissage machine. Ils peuvent ainsi utiliser les « deep fakes » (ou hypertrucages en français) pour reproduire la voix des présidents d’entreprises pour effectuer des appels ou encore utiliser leurs images dans des vidéos pour confirmer leurs fausses identités.
D’ailleurs, un incident de cette nature s’est déjà produit en Europe lorsque que le PDG d’une entreprise du secteur énergétique britannique a transféré 220 000 euros (243 000 dollars US) à un fournisseur hongrois après avoir reçu un appel urgent de ce qu’il pensait être son supérieur hiérarchique, le PDG de la compagnie mère basée en Allemagne. La victime a été dupée en pensant que la voix était celle de son patron - en particulier parce qu'elle avait un léger accent allemand et des intonations de voix similaires [5].
Une étude de 2018 a montré que les fraudes utilisant les deep fakes vocaux ont augmenté de 350 pourcent entre 2013 et 2017 et représentent une menace croissante pour les organisations et les consommateurs [6].
Sources
[1] Bureau de la concurrence Canada. (2018, 22 février). Faits sur la fraude — Détecter, contrer et signaler la fraude. Répéré à https://www.bureaudelaconcurrence.gc.ca/eic/site/cb-bc.nsf/fra/04334.html
[2] Cross, C. et Gillett, R. (2020). Exploiting trust for financial gain: an overview of business email compromise (BEC) fraud. Journal of Financial Crime
[3] Larouche, V. (2017, 20 janvier). Comment un escroc a volé 5,5 millions à la Coop Fédérée. La Presse +. Repéré à https://plus.lapresse.ca/screens/399b31be-ca01-40d1-b156-1935db8a2faf__7C__Co1qibaeh_wd.html
4] Tokazowski, R. (2019, 27 mars). Why iTunes? A Look into Gift Cards as an Emerging BEC Cash Out Method. Agari.com. Repéré à https://www.agari.com/email-security-blog/gift-cards-emerging-bec-method/
[5] Radio-Canada. (2019, 4 septembre). L'IA utilisée pour recréer la voix d'un PDG et voler 320 000 $ à une entreprise. Repéré à https://ici.radio-canada.ca/nouvelle/1287053/deepfaker-hypertrucage-fraude-pdg-euler-hermes-group
[6] Pindrop. (2018). 2018 Voice Intelligence Report.