Ingénierie sociale, le nouveau visage de la fraude aux paiements

Confrontés au renforcement continu des réglementations et des solutions de lutte contre la fraude, les escrocs se tournent plus que jamais vers le dernier maillon de la chaîne : l’humain.

Brice Perdrix 83 ©yscorporate (3)
Par Brice Perdrix Publié le 14 novembre 2024 à 4h30
fraude-internet-achat-cybersecurite-20230413
fraude-internet-achat-cybersecurite-20230413 - © Economie Matin
340 MILLIONS €Les fraudes par manipulation ont coûté 340 millions d'euros aux Français en 2022.

Essor des fraudes aux faux ordres de virement (FOVI) : faux président, vrai préjudice

Parmi le redoutable arsenal de l’ingénierie sociale, les fraudes aux faux ordres de virement (FOVI) continuent de faire des ravages, renforcées par l’industrialisation des techniques de phishing observée durant la pandémie de Covid-19. La montée en puissance des méthodes de recueil d’informations sensibles a renforcé la capacité des fraudeurs à se présenter sous un jour convaincant.

De quoi renforcer une mécanique aussi implacable que bien huilée, articulée autour de quelques pièces maîtresses - le sentiment d’urgence, la confidentialité, l’argument d’autorité (ou de proximité) - toutes mises en mouvement par l’habileté relationnelle et l’imagination des fraudeurs, qui s’improvisent tour à tour ministres, présidents, fournisseurs…

Dans le cadre de la fraude au faux président, le fraudeur va endosser l’identité d’une figure hiérarchique (président, directrice de filiale…), puis entrer en relation avec le service comptable pour ordonner l’exécution d’un virement important dans les plus brefs délais - en observant toute la confidentialité requise par la nature sensible de l’opération. Une fraude d’autant plus difficile à déjouer lorsqu’elle est accréditée par l’actualité de l’entreprise (e.g., accords de fusion-acquisition, versement des salaires…), ou globale (tensions sur les chaînes d’approvisionnement, période olympique…)

La fraude au faux fournisseur va mobiliser les mêmes leviers que la fraude au faux président, à ceci près que le fraudeur va endosser l’identité d’un fournisseur pour réclamer le paiement d’une prestation ou un changement de coordonnées bancaires (remplaçant les coordonnées légitimes par un compte frauduleux qui recevra les paiements dus au fournisseur visé).

Mon entreprise est ciblée : Comment se prémunir ?

Toutes les entreprises peuvent être visées, indépendamment de leur taille ou de leur secteur d’activité. Cependant, quelques bonnes pratiques permettent d’atténuer les risques :

  • La mise en place de procédures de validation pour les opérations sensibles (changement de coordonnées bancaires, virements…) faisant intervenir des interlocuteurs clairement identifiés (coordonnées, nom, qualité…) ;

  • Le maintien d’une politique de sécurité adaptée (informatique, gestion des accès…) ;

  • La conduite régulière de campagnes de sensibilisation auprès du personnel (tests de phishing, communication…) en particulier dans les professions exposées en matière de fraude.

Pour contrer l’essor des fraudes par ingénierie sociale, il est essentiel de diffuser une culture basée sur la vigilance et la mobilisation de chacun ; Un enjeu qui dépasse le milieu de l’entreprise pour revêtir un caractère sociétal. En effet, si des innovations réglementaires et techniques (implémentation de la DSP2 sanctuarisant le recours à l’authentification forte, mise en chantier de la DSP3…) sont venues renforcer la protection des clients bancaires, les fraudeurs n’hésitent plus à cibler ces derniers directement.

Les particuliers : une cible privilégiée

Les bouleversements successifs de ces dernières années (pandémie de Covid-19, crise énergétique) et l’inflation résultante ont constitué une manne peu commune pour les fraudeurs. Ceux-ci ont mis au point des fraudes « incitatives », comme les fraudes à la mule bancaire, dans lesquelles les clients légitimes mobilisent leur compte pour faire transiter des fonds douteux (dépôt de chèques, réception et envoi de fonds…) moyennant une commission.

L’actualité constitue également un terreau fertile en matière de fraude. Ainsi a-t-on vu fleurir au fil des aléas des phishings de nature diverse allant de la vente de granulés de bois aux vignettes Crit’Air, ou, dernièrement, des offres de billets gratuits pour les Jeux olympiques et paralympiques de Paris 2024.

L’OSMP appelle à la prudence : Une campagne de sensibilisation olympique

Si les fraudeurs se sont avérés prompts à capitaliser sur la ferveur olympique, l’écosystème français des paiements (ministère de l'Économie, Banque de France, Fédération bancaire française, Observatoire de la sécurité des moyens de paiement (OSMP)…) a décroché la médaille de la communication grâce à une campagne de sensibilisation d’envergure conduite dès le 8 juin 2024, avec pour mot d’ordre :

« Codes, mots de passe et identifiants bancaires : NE DONNEZ JAMAIS CES DONNÉES ».

L’objectif ? Sensibiliser aux escroqueries courantes et distiller des principes de précaution, notamment en matière de sécurité. Ainsi, le groupement recommandait de :

  • S’abstenir de révéler ses données de sécurité à autrui ;

  • Ne pas suivre les renvois (liens, coordonnées téléphoniques…) contenus dans les messages de source inconnue ;

  • Contrôler les adresses de courrier électronique (graphie, cohérence…) ;

  • Signaler les messages frauduleux (smishing) au numéro dédié (33700) ;

  • Alerter immédiatement son conseiller bancaire ou prestataire de services par l’intermédiaire de canaux sécurisés à disposition dès la survenance d’une fraude ou d’une suspicion de fraude.

Les intervenants ont également rappelé quelques principes d’usage :

  • Les conseillers bancaires et les prestataires de services ne sont pas autorisés à recueillir des données de sécurité ;

  • Les banques ne sont pas habilitées à saisir des biens, quelles que soient les circonstances ;

  • Les institutions publiques (Banque de France, administration fiscale) n’adressent pas de communications (courriels, SMS) visant à confirmer ou infirmer des opérations bancaires.

Ces recommandations ont fait l’objet d’une diffusion à grande échelle, reprises par les banques dans des campagnes de mailing et sur les espaces particuliers.

Cette proximité avec le client en temps réel revêt un caractère essentiel à l’heure où la fraude prend plus que jamais visage humain, et alors que les paiements entrent dans une phase de mutation rapide (déploiement d’EPI (Wero), passage au « tout IP » …) qui promet de bouleverser les usages en matière de lutte contre la fraude.

Pour protéger leurs clients de fraudes ayant toute l’apparence de la légitimité, les banques s’appuient de plus en plus sur des solutions de lutte contre la fraude combinant toute la richesse informationnelle du parcours client (données liées à l’analyse des terminaux, surveillance des actes sensibles (ajout de bénéficiaires ou modification de coordonnées…)) avec des fonctionnalités d’analyse comportementale à l’état de l’art.

Laissez un commentaire

Brice Perdrix 83 ©yscorporate (3)

CEO d’AdvanThink

Aucun commentaire à «Ingénierie sociale, le nouveau visage de la fraude aux paiements»

Laisser un commentaire

* Champs requis