|
L’arnaque au faux ordre de virement (FOVI) est une forme d’escroquerie qui use d’une usurpation d’identité pour conduire la victime à faire un virement de fonds sur un compte frauduleux.
I - FOCUS SUR L’ARNAQUE AU PRÉSIDENT
- De plus en plus fréquentes, les escroqueries aux faux ordres de virement touchent non seulement les grandes entreprises, mais aussi les PME, les artisans et les collectivités territoriales.
L’escroquerie aux faux ordres de virement consiste en un appel téléphonique ou l’envoi d’un mail utilisant une identité fictive ou usurpée, le plus souvent en soirée, pendant les vacances ou au milieu d’un pont, quand l’équipe comptabilité est réduite. Généralement, il s’agit du président de la société ou de son avocat faisant part d’une situation confidentielle nécessitant un transfert de fonds non planifié de toute urgence.
Rassuré parfois par un autre appel d’un second dirigeant, votre employé effectue le transfert. Votre entreprise vient d’être victime d’une escroquerie aux faux ordres de virement (FOVI), également appelée « arnaque au Président ».
- Il existe de nombreuses variantes de cette escroquerie. Citons à titre d’exemple :
- L’usurpation de l’identité d’un fournisseur afin de réaliser une modification des coordonnées bancaires ;
- Une demande de mise en conformité obligatoire de votre entreprise pour respecter la réglementation en vigueur relative à l’accueil des handicapés ou le RGPD.
- Le changement de relevé d’identité bancaire : de nouvelles coordonnées bancaires vous sont adressées par e-mail avec des caractéristiques de messagerie très proches de celles du fournisseur et/ou de l’interlocuteur habituel ;
• L’usage d’une fausse identité : en usurpant l’identité du dirigeant ou d’un responsable de l'entreprise ciblée ou d’une personnalité (de type faux président ou faux ministre) ;
• Via un lien frauduleux : un lien qui contient un logiciel espion et vous invite à vous connecter sur le portail de la banque gestionnaire des comptes et à composer les identifiants et codes d’accès. De faux ordres de virement bancaire sont alors établis, les mots de passe modifiés, privant les services comptables de toute vérification de leur trésorerie.
Différentes techniques identifiées
→ Ces attaques sont réalisées tout au long de l’année, parfois avec des prédominances la veille de week-end, de jours fériés et de vacances scolaires, ou vacances ou déplacements des responsables de la structure.
* * *
II - POUR S’EN PRÉMUNIR :
Dans un monde de plus en plus connecté, il convient de protéger certaines informations essentielles à la sécurité de votre entreprise et qui n’ont pas d’intérêt économique à être connues de tous. Ainsi, l’identité des personnes habilitées à réaliser des mouvements ou des changements de coordonnées bancaires doit impérativement être protégée.
Respecter une hygiène informatique stricte :
Dans le domaine des escroqueries aux faux ordres de virement, l’humain est bien souvent le maillon faible du système. Il convient donc de réaliser des campagnes de sensibilisation fréquentes notamment sur le risque du phishing.
Sécuriser le process de virement :
Ce process doit être parfaitement connu des personnes habilitées. Il doit obligatoirement nécessiter une procédure de vérification et de validation hiérarchique interne non dérogeable.
En soi, 7 bons gestes sont à adopter :
- Méfiez-vous de toute proposition commerciale prétendument « urgente ».
- Ne communiquez pas d’informations susceptibles de faciliter le travail des escrocs (noms des différents managers, chefs de division, moyens de règlement, listing fournisseurs…).
- Sensibilisez l’ensemble du personnel et les partenaires (exemples : affiches de sensibilisation, e-learning mis à disposition sur le site du Club des directeurs de sûreté et de sécurité des entreprises – CDSE).
- Réalisez une veille régulière sur les évolutions des escroqueries.
- Prenez le temps de vérifier, même dans l’urgence et sous la pression, les demandes de virement.
Les contre-mesures les plus simples :
• contactez le numéro habituel connu en interne et non celui fourni par l’escroc,
• vérifiez auprès du site internet de votre entreprise si elle a signalé être victime d’une escroquerie.
- Sécurisez les installations informatiques.
- Veillez à la sécurité des accès aux services de banque à distance.
* * *
III - QUE FAIRE EN CAS D’ESCROQUERIE ?
Si vous pensez avoir été victime d’une telle escroquerie, agissez méthodiquement :
- Identifiez les virements frauduleux et avertissez au plus vite votre banque pour rappeler les fonds. Chaque seconde passée diminue drastiquement les chances de récupérer votre argent.
- Conservez les preuves et contactez la brigade de gendarmerie ou le commissariat de police dont vous dépendez. Vous pouvez également poser vos questions 24heures/24 et 7jours/7 à la brigade numérique.
- Identifiez les différentes failles de sécurité qui ont conduit à cette escroquerie et corrigez-les en conséquence.
- Bon à savoir : Des enquêteurs spécialement formés aux investigations économiques et financières prendront en charge votre dossier afin d’identifier les auteurs et de les interpeler. Si les fonds sont d’ores et déjà situés à l’étranger, les forces de l’ordre tenteront de les faire bloquer via la coopération internationale.
- Contactez immédiatement votre banque pour effectuer un rappel des fonds, la rapidité de la réaction est primordiale.
- Contactez le service de police ou de gendarmerie le plus proche en apportant un maximum d’éléments (entête de courriels et contenus, numéros de téléphone, dates et heures des appels, éléments confidentiels communiqués aux fraudeurs...).
Pour aller plus loin :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/escroquerie-faux-ordres-virement-fovi
|
