7 mars 2023

L’arnaque au président, comment s’en prémunir ?

L’arnaque au président, comment s’en prémunir ?

Gilbert Chikli est célèbre pour avoir popularisé l’arnaque au président, une technique sophistiquée d’escroquerie, en se faisant passer pour un responsable d’entreprise et en persuadant les employés de transférer de l’argent sur un compte frauduleux. L’affaire Chikli, présentée dans le documentaire “Le Masque” sur Netflix, a mis en lumière les risques de cette arnaque et souligné la nécessité pour les entreprises de renforcer leur sécurité et de sensibiliser leurs employés.

Même aujourd’hui, l’arnaque au président reste une menace importante pour les entreprises, avec environ 6 000 entreprises touchées chaque mois et plus de 2 300 plaintes déposées en 5 ans. Cette attaque cible généralement quelques collaborateurs clés d’une organisation, mais elle peut toucher tous les types de structures et le nombre d’attaques est en augmentation constante. Avec la généralisation du télétravail depuis la crise sanitaire du COVID, les collaborateurs communiquent davantage avec leurs collègues par téléphone et e-mail, ce qui facilite l’usurpation d’identité des supérieurs hiérarchiques. Les escrocs ciblent donc les travailleurs isolés qui ne peuvent pas facilement partager leurs doutes ou interrogations avec leurs collègues directs.

Quel est le mode opératoire ?

L’arnaque au président est une technique d’ingénierie sociale très sophistiquée et développée.

En effet, cette attaque requiert un travail en amont de recherche d’informations afin de pouvoir plus facilement manipuler la cible par la suite. Lors des attaques passées, les individus malveillants ont par exemple réussi à obtenir des informations personnelles sur un directeur financier qui avait perdu récemment sa femme. Ils se sont également renseignés sur les projets de rachat ou fusion d’une entreprise visée. Toutes les informations personnelles ou professionnelles collectées sont utilisées pour crédibiliser le scénario.

Cette catégorie d’escroquerie est généralement réalisée par email, SMS et téléphone. L’escroc utilise souvent des techniques de “spoofing” pour faire croire à la victime qu’il utilise une adresse e-mail ou un numéro de téléphone légitime de l’entreprise. Ils peuvent également fournir des informations privilégiées sur l’entreprise ou utiliser d’autres tactiques de manipulation pour convaincre la victime d’effectuer le virement bancaire.

L’individu malveillant va tenter de convaincre un collaborateur interne d’effectuer des ordres de virements, dans le cadre d’opérations exceptionnelles et confidentielles (croissance externe, besoin de trésorerie sur une filiale, etc.), vers son compte bancaire situé à l’étranger. Il va alors confirmer sa demande à la victime en envoyant un mail, un courrier officiel ou un SMS depuis la messagerie ou le numéro de téléphone piraté du dirigeant et ainsi voler de l’argent à l’organisation. Dans ce type d’attaque, le degré d’urgence, de confidentialité ou le caractère inhabituel de la demande devraient susciter des suspicions.

Une entreprise française de commerce électronique a été victime de cette escroquerie en 2015. Les escrocs ont créé un faux compte de messagerie électronique, qui ressemblait presque parfaitement à celui du PDG de l’entreprise, et ont envoyé un e-mail à un responsable financier de l’entreprise. Dans cet e-mail, ils ont demandé un virement urgent de plus de 18 millions d’euros pour finaliser une acquisition confidentielle. Le responsable financier a été trompé par l’authenticité de l’e-mail et a effectué le virement. Il a fallu plusieurs semaines à l’entreprise pour réaliser que l’argent avait été envoyé à une banque étrangère et qu’elle avait été victime d’une fraude.

En 2016, Snapchat a également été victime d’une arnaque au président. Les fraudeurs se sont fait passer pour le PDG de l’entreprise et ont envoyé un e-mail à un employé de la paie, lui demandant de fournir les informations fiscales de l’entreprise. L’employé a fourni les informations, qui ont été utilisées pour usurper l’identité de l’entreprise et demander des remboursements fiscaux frauduleux.

fraude arnaque au président

Comment se protéger contre les fraudes au président ?

Afin de se protéger contre les fraudes au président, il convient d’instaurer des circuits de vérification non dérogeables pour les paiements internationaux, manuels ou importants, avec plusieurs niveaux de validation ou une double signature. Il faut systématiquement demander une confirmation des demandes de paiement via un contre-appel en veillant à contacter son interlocuteur habituel avec les coordonnées déjà connues de la société. Il convient également de ne pas divulguer d’informations sur le fonctionnement de l’entreprise à des personnes externes. Il est surtout indispensable de sensibiliser régulièrement l’ensemble des employés des services comptables, trésorerie, secrétariats, standards, à ce type d’escroquerie afin qu’ils soient en mesure de reconnaître les signaux d’alerte et enfin de prendre l’habitude d’en informer systématiquement les remplaçants à leurs postes.

La solution BlueSecure

BlueSecure propose une offre complète de sensibilisation à l’arnaque au président : formation dédiée en e-learning, test de validation des connaissances, campagnes de phishing avec modèles d’arnaque au président par e-mail, SMS et appels téléphoniques. Notre offre alliant théorie et pratique vous permet ainsi de sensibiliser tous vos collaborateurs à tous les risques qu’ils peuvent rencontrer au sein de votre organisation.

Contactez-nous pour plus de renseignements :

NOUS CONTACTER