Le FBI a détecté une vague d’arnaques ciblant des milliers d’entreprises dans 45 pays. Les fonds transférés disparaissent généralement dans des comptes bancaires asiatiques.Si les faux ordres de virement sont très en vogue chez les cybercriminels, c’est parce que ça rapporte beaucoup pour un risque quasi-nul. Cette fois, c’est le FBI qui en apporte la preuve. L’agence fédérale a fait l’analyse hier, jeudi 22 janvier, d’une arnaque qui s'attaque aux entreprises en envoyant de fausses factures électroniques. Bilan : plus de 214 millions de dollars détournés en un an avec des victimes dans 45 pays !
Pour être crédibles, les cybercriminels visent les sociétés qui travaillent avec des fournisseurs étrangers, ce qui suppose une certaine ingénierie sociale au préalable. Les fausses factures invitent la victime à déclencher un virement bancaire. « Les virements envoyés vers des banques étrangères sont transférés ensuite plusieurs fois, mais s'évaporent rapidement », indique le Centre des plaintes pour les délits sur internet (ICCC), un bureau créé conjointement par le FBI et l'organisme à but non-lucratif National White Collar Crime Center.
Trois modes opératoires
La destination finale de ces transferts se situe généralement auprès des « banques asiatiques, situées en Chine et à Hong-Kong », ajoute l'ICCC, qui précise que les chiffres concernent la période du 1er octobre 2013 au 1er décembre 2014. L'arnaque touche particulièrement les Etats-Unis, avec 1.198 victimes répertoriées, tandis qu'elles sont 928 dans les autres pays. Au total, les entreprises américaines ont accusé 179 millions de dollars de pertes.
L'arnaque pouvait se dérouler de trois façons. Dans la première version, une entreprise est contactée par téléphone, fax ou courriel pour solliciter un paiement. Les adresses utilisées sont usurpées et apparaissent sur l'écran de la victime comme celles de fournisseurs légitimes. Les appels et les fax semblaient également crédibles.
Dans une deuxième version, des e-mails de cadres très haut placés de l'entreprise sont usurpés pour sommer le destinataire d'émettre un virement, avec la mention « envoyer d'urgence ». Dans une dernière variante, le courriel d'un employé est hacké, et l'arnaqueur envoyait ensuite de fausses factures à des vendeurs.
La France, également dans le viseur
En France, l’arnaque par faux virements bancaires fait également des ravages. Quelques cas emblématiques ont été révélés en 2014, comme Michelin (1,6 million d’euros) ou KPMG (7,6 millions d’euros). Mais en réalité, les entreprises françaises sont exposées en permanence à ces attaques. « Il y en a toutes les semaines, précise le lieutenant Gwénaël Rouillec, de la Gendarmerie nationale. Cela va de quelques milliers à quelques millions d’euros de pertes. A ce jour, aucune affaire n’a été résolue. »
Pour se protéger, les forces de l’ordre préconisent de limiter le partage d’informations sur Internet et les réseaux. Il n’est pas très prudent, par exemple, de mettre en ligne l’organigramme de l’entreprise. Mais le plus important, c’est de vérifier que vous communiquez bien avec le bon interlocuteur. Parfois, il suffit d’analyser l’entête de l’email pour se rendre compte qu’il y a anguille sous roche. Mais parfois, ce n’est pas aussi trivial. Certains pirates, en effet, parviennent à pirater les systèmes de messagerie ou de téléphonie au sein de l’entreprise, leur permettant d’usurper parfaitement l’identité de quelqu’un. La seule solution réside alors dans le processus de validation, avec à la clé éventuellement des vérifications de visu.
AVEC AFP
Pour être crédibles, les cybercriminels visent les sociétés qui travaillent avec des fournisseurs étrangers, ce qui suppose une certaine ingénierie sociale au préalable. Les fausses factures invitent la victime à déclencher un virement bancaire. « Les virements envoyés vers des banques étrangères sont transférés ensuite plusieurs fois, mais s'évaporent rapidement », indique le Centre des plaintes pour les délits sur internet (ICCC), un bureau créé conjointement par le FBI et l'organisme à but non-lucratif National White Collar Crime Center.
Trois modes opératoires
La destination finale de ces transferts se situe généralement auprès des « banques asiatiques, situées en Chine et à Hong-Kong », ajoute l'ICCC, qui précise que les chiffres concernent la période du 1er octobre 2013 au 1er décembre 2014. L'arnaque touche particulièrement les Etats-Unis, avec 1.198 victimes répertoriées, tandis qu'elles sont 928 dans les autres pays. Au total, les entreprises américaines ont accusé 179 millions de dollars de pertes.
L'arnaque pouvait se dérouler de trois façons. Dans la première version, une entreprise est contactée par téléphone, fax ou courriel pour solliciter un paiement. Les adresses utilisées sont usurpées et apparaissent sur l'écran de la victime comme celles de fournisseurs légitimes. Les appels et les fax semblaient également crédibles.
Dans une deuxième version, des e-mails de cadres très haut placés de l'entreprise sont usurpés pour sommer le destinataire d'émettre un virement, avec la mention « envoyer d'urgence ». Dans une dernière variante, le courriel d'un employé est hacké, et l'arnaqueur envoyait ensuite de fausses factures à des vendeurs.
La France, également dans le viseur
En France, l’arnaque par faux virements bancaires fait également des ravages. Quelques cas emblématiques ont été révélés en 2014, comme Michelin (1,6 million d’euros) ou KPMG (7,6 millions d’euros). Mais en réalité, les entreprises françaises sont exposées en permanence à ces attaques. « Il y en a toutes les semaines, précise le lieutenant Gwénaël Rouillec, de la Gendarmerie nationale. Cela va de quelques milliers à quelques millions d’euros de pertes. A ce jour, aucune affaire n’a été résolue. »
Pour se protéger, les forces de l’ordre préconisent de limiter le partage d’informations sur Internet et les réseaux. Il n’est pas très prudent, par exemple, de mettre en ligne l’organigramme de l’entreprise. Mais le plus important, c’est de vérifier que vous communiquez bien avec le bon interlocuteur. Parfois, il suffit d’analyser l’entête de l’email pour se rendre compte qu’il y a anguille sous roche. Mais parfois, ce n’est pas aussi trivial. Certains pirates, en effet, parviennent à pirater les systèmes de messagerie ou de téléphonie au sein de l’entreprise, leur permettant d’usurper parfaitement l’identité de quelqu’un. La seule solution réside alors dans le processus de validation, avec à la clé éventuellement des vérifications de visu.
AVEC AFP