Les escroqueries aux faux ordres de virement (FOVI)
L'escroquerie aux faux ordres de virement consiste à tromper intentionnellement une personne ou une entreprise, en recourant à une usurpation d'identité (un dirigeant, un prestataire, un "expert"...) pour obtenir la remise volontaire de fonds par virement bancaire.
L'escroquerie au président est la plus utilisée et la plus redoutable.Ainsi, après s'être largement renseigné sur la situation de la future victime, l'escroc se fait passer pour un donneur d'ordre et avec force persuasion et pression psychologique, demande à un collaborateur le virement de sommes pour des "opérations exceptionnelles, confidentielles et extrêmement urgentes" sur un compte à l'étranger.
La fraude par changement de coordonnées bancairesL'escroc se fait passer pour le fournisseur ou un prestataire de l'entreprise ou de l'association et fait croire à un changement de domiciliation bancaire pour les prochaines factures à régler. Le faux RIB est envoyé par mail, avec des caractéristiques de messagerie très proches de celles de l'interlocuteur habituel et officiel.
Ces types d'escroqueries peuvent entraîner le dépôt de bilan d'une entreprise ou d'une association. Il est donc primordial de suivre quelques règles de sécurité.
- Sensibilisez tous vos collaborateurs qui peuvent être susceptibles de recevoir des mails ou des appels pour exécuter des virements.
- Contrôlez toujours la demande par un contre appel auprès de vos interlocuteurs habituels.
- Instaurez des procédures de vérification et un système de contre-signatures multiples pour les paiements internationaux.
- Vérifiez le contenu des mails : fautes d'orthographes, problèmes de syntaxe, bon libellé de l'adresse mail de l'émetteur...
- Prévenez immédiatement votre agence bancaire et la banque destinataire pour demander le blocage des fonds.
- Avisez rapidement la Police Nationale ou la Gendarmerie et déposez plainte.
La fraude au faux supports techniques
Les fraudeurs se présentent comme appartenant aux services techniques de la Banque. Ils vous contactent pour effectuer des tests, renforcer le niveau de sécurité, ou offrent des mises à jour de votre espace abonné. Ils vous proposent de prendre la main sur votre ordinateur, et/ou vous incitent à réaliser un virement pour tester des mises à jour. Vous pensez être en environnement de test et suivez les instructions qui vous sont données. Malheureusement, vous venez de donner un accès aux informations et espace de transactions de votre entreprise.
Comment vous en prémunir ?- Soyez en alerte dès qu’un appel spontané de la Banque vous propose de réaliser des tests depuis votre espace client : votre banque ne vous contactera jamais de sa propre initiative pour ce motif. Si des tests peuvent être réalisés, ils sont toujours à votre initiative.
- Assurez-vous de l’identité du professionnel et de la destination des fonds avant d'effectuer un transfert d'argent, sachez que les banques ne font JAMAIS de test de virement.
- Soyez en alerte dès qu’une demande cumule les 4 caractéristiques typiques de la tentative de fraude : urgence de la demande, insistance de l’interlocuteur, montant élevé et virement vers un pays inhabituel.
- Mettez en place ou actualisez des procédures qui sécurisent vos informations et opérations.
- Sensibilisez régulièrement vos collaborateurs internes à la fraude, en leur rappelant les procédures et mesures de contrôle internes mises en place.
- Et surtout, faites-vous confiance : Si vous avez un doute, il est très probablement fondé, appelez en parallèle votre conseiller ou votre contact habituel et expliquez-lui la situation.
Les escroqueries via des petites annonces
Une personne met un bien en vente sur internet. Le vendeur est contacté par un acheteur potentiel et un accord est trouvé sur le prix d’acquisition. Au moment du règlement de la transaction, l’acheteur, sous un prétexte quelconque, paye par chèque un montant supérieur au prix de la vente et demande le remboursement de la différence par virement ou espèces. Le chèque reviendra impayé et le vendeur sera lésé.
Comment s'en protéger ?- Se méfier des offres trop attractives ;
- n’accepter que des paiements correspondants au montant de la transaction ;
- n’accepter que des paiements respectant les modalités qui ont été définies ;
- ne pas oublier que le chèque, y compris le chèque de banque, n’est pas un moyen de paiement garanti : un rejet est toujours possible ;
- en cas de doute, ne pas se dessaisir du bien et se laisser le temps de procéder aux vérifications nécessaires en prenant contact avec son gestionnaire de compte ;
Le phishing (ou hameçonnage)
Le phishing est une technique par laquelle des personnes malveillantes se font passer pour des entreprises ou des organismes financiers qui vous sont familiers en envoyant des courriels frauduleux et récupèrent des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.
L’escroquerie repose le plus fréquemment sur la contrefaçon d’un site internet (celui d’une banque ou d’un marchand en ligne). Les messages évoquent souvent des factures, des impayés, des menaces de fermeture de service ou tout autre sujet sollicitant votre émotion.
Les banques et organismes sociaux (CAF, mutuelles, etc.) ou les entreprises commerciales ne demandent jamais à leurs clients de venir saisir leurs informations personnelles dans un courrier électronique.
Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.
Préférez saisir des informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.
Ne cliquez pas sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.
Méfiez-vous des pages internet suspectes de validation d’opérations sensibles ou d’une lenteur inhabituelle de vos outils internet.
En cas de doute ou de problème, prenez contact rapidement avec votre agence bancaire ou l’organisme qui aurait envoyé ce courriel.
Les logiciels malveillants (virus, chevaux de Troie, vers informatiques)
- Les logiciels malveillants ont en commun la capacité d’exécuter une ou plusieurs des actions suivantes une fois qu’ils ont contaminé votre dispositif numérique :
- Endommager votre système
- Prendre les commandes de votre ordinateur
- Changer le fonctionnement de votre système. Un type courant de logiciels malveillants modifie votre navigateur vous laissant voir du contenu Web modifié (notamment des bannières publicitaires différentes) ou vous dirige vers de faux sites Web dans le but de recueillir vos données personnelles. La modification du contenu Web peut être difficilement repérable car le nom du site reste inchangé (url).
- Récupérer vos données personnelles. Certains types de programmes malveillants peuvent lire les données stockées dans votre système ou saisies au clavier, dont vos renseignements financiers ou vos noms d’utilisateur et vos mots de passe, puis les transmettre à leur concepteur.
- Chiffrer vos données pour vous extorquer des fonds en échange du déchiffrement
Il est préférable de ne jamais télécharger un fichier à moins d’avoir la certitude de sa légitimité et de celle de sa source. Lorsque vous téléchargez des fichiers, vous permettez à un autre ordinateur de sauvegarder quelque chose sur votre disque dur. Cela peut permettre l’installation d’un logiciel malveillant sur votre poste de travail, logiciel qui peut ne pas être détecté par des antivirus à jour, dans le cas où il s’agit d’une variante récente.
Il ne faut jamais ouvrir une pièce jointe sans que l’expéditeur ait confirmé son intention de vous l’envoyer car elle peut contenir un logiciel malveillant.
Avant de cliquer sur un lien, laissez-y votre curseur pendant un instant pour vous assurer que l’adresse URL (adresse Web) qui s’affiche y correspond. Car même si vous ne visitez pas de sites malveillants intentionnellement, cliquer sur le mauvais lien peut vous y conduire.
Il est également important d’équiper son poste de travail d’un anti-virus et de mettre régulièrement ses logiciels à jour.
Les attaques sur les mots de passe
Pour accéder à vos données personnelles et effectuer des opérations frauduleuses, les personnes malveillantes peuvent usurper votre identité en s’attaquant à vos mots de passe.
Plusieurs techniques sont connues :
- des logiciels permettent de générer tous les mots de passe possibles ;
- d’autres utilisent des mots issus de liste, notamment ceux du dictionnaire ;
- une autre méthode consiste simplement à deviner le mot de passe, en fonction d’éléments que l’attaquant aura pu obtenir sur le propriétaire du mot de passe et de ses proches (nom, prénom, date de naissance…).
Plus il y a de caractères et plus leur espace de départ (types de caractères) est grand, plus ces types d’attaques mettront du temps à aboutir : un mot de passe long (8 caractères minimum) utilisant trois types de caractères différents (parmi minuscule, majuscule, symbole et chiffre) ne peut ainsi être trouvé en un temps raisonnable par un attaquant ayant des moyens conventionnels.
Le choix d’un mot de passe ne faisant aucune référence à un mot connu du dictionnaire ou à des références personnelles rendra les attaques plus complexes.