Si vous travaillez dans un bureau, vous avez certainement l’habitude de recevoir une tonne de courriels au quotidien.
Les traiter le plus efficacement possible fait aussi partie du travail, mais y répondre rapidement peut parfois vouloir dire qu’on ne les vérifie pas tous attentivement.
Par exemple, qu’arriverait-il si vous receviez un courriel de votre patron vous demandant de payer une facture en retard d’un nouveau fournisseur? Probablement que vous en feriez une priorité.
Mais il est possible que ce courriel ne provienne pas réellement de votre patron. Si vous n’usez pas de prudence, vous pourriez ne pas remarquer qu’il provient d’un fraudeur qui essaie d’arnaquer votre entreprise.
Il s’agit d’un stratagème répandu, appelé le « courriel d’affaires compromis » ou « fraude du président », et malheureusement, il est souvent très efficace.
En 2020, le Centre antifraude du Canada a déclaré que les victimes au pays avaient enregistré des pertes de près de 30 millions de dollars liées à cette fraude, et plus de 26 milliards de dollars ont été dérobés ainsi dans le monde. « Les entreprises de pratiquement tous les types et toutes les tailles sont vulnérables devant la fraude du courriel d’affaires compromis », affirme Dennis Parker, vice-président, Services bancaires aux entreprises à la TD.
« Malheureusement, il n’est pas nécessaire d’avoir une grande expertise technique pour duper les gens et les pousser à faire des paiements. »
Mode opératoire
Ce type de fraude commence généralement par la collecte d’information. Les fraudeurs peuvent passer des semaines à recueillir des renseignements sur le site Web de votre entreprise, sur les plateformes de médias sociaux, dans des communiqués de presse et dans d’autres sources fiables. Ils peuvent même parfois intercepter des échanges par courriel avant de décider qui sera ciblé et à quel moment.
Le fraudeur doit également décider quelle identité il prendra – habituellement, il s’agira d’un haut dirigeant, d’un fournisseur connu ou d’un employé –, et si le compte de courriel de cette personne sera piraté ou usurpé.
Ensuite, le fraudeur envoie généralement un courriel à un moment opportun, demandant de façon autoritaire à la cible, dans l’urgence, de faire l’une des choses suivantes :
- Payer une facture par virement interbancaire ou transfert électronique de fonds (TEF)
- Mettre à jour des renseignements sur le compte de fournisseurs
- Mettre à jour des renseignements sur la paie des employés.
Il s’agit habituellement d’un courriel qui semble provenir de quelqu’un que vous connaissez et crée un sentiment d’urgence, grâce à un ton confiant et convaincant. Le courriel fait appel au piratage psychologique et est savamment rédigé pour que le destinataire applique les instructions sans remettre en question le contenu au préalable.
Comment vous protéger et protéger votre entreprise
- Ne présumez pas que le courriel est un moyen de communication sécuritaire. Il est facile pour un fraudeur d’usurper une adresse courriel.
- Favorisez une culture de remise en question au sein de votre entreprise. Les employés devraient se sentir à l’aise de pouvoir poser des questions sur une demande inhabituelle.
- Prenez le téléphone ou parlez en personne pour confirmer des instructions de paiement reçues par courriel.
- Déterminez des politiques et des procédures pour valider la modification de renseignements sur les fournisseurs ou les employés.
- Les courriels qui demandent des numéros de compte ou d’autres renseignements liés aux services bancaires ou financiers devraient vous mettre en alerte.
- Demandez à votre banque des caractéristiques de sécurité additionnelles qui peuvent réduire le risque d’être victime d’une fraude.
Si vous pensez avoir été victime d’une telle fraude
Signalez-la : La fraude du courriel d’affaires compromis est une infraction criminelle. Même si les fonds n’ont pas été transférés, il est judicieux de signaler l’incident au service de police local, à votre institution financière et au Centre antifraude du Canada. Ces signalements sont utiles aux enquêteurs.
Parlez-en : Si vous êtes victime de fraude, et même si vous avez simplement reçu un courriel frauduleux, racontez ce qui vous est arrivé. Savoir, c’est pouvoir. Faire circuler l’information contribue à éviter que d’autres soient victimes de ces arnaques.