• Personne réalisant un paiement en ligne

Comment se prémunir des fraudes au faux compte bancaire ?

Les fraudes bancaires sont nombreuses et se matérialisent sous différentes formes.

La cyber menace est de plus en plus présente au sein des entreprises, les angles d’attaques des fraudeurs sont multiples et évoluent avec les nouvelles technologies. Les entreprises sont des cibles privilégiées des fraudeurs car elles ne se protègent pas encore toutes contre ces risques.

Des angles d’attaque multiples

Les cybercriminels ont un choix de modes opératoires assez large selon leurs cibles et leurs moyens pour organiser des attaques. De la fraude au virement, la plus utilisée, au ransomware, les arnaques sont difficiles à prévoir mais cela ne freine pas les cybercriminels.

Les fraudes les plus utilisées 

  • La fraude au faux fournisseur : Elle consiste à usurper l’identité d’un ou de plusieurs fournisseurs de l’entreprise ciblée. Le fraudeur prend contact avec sa victime, après avoir réalisé du social engineering pour récolter un maximum d’informations, afin d’obtenir un virement bancaire pour le paiement d’une facture existante. Pour cela il aura préalablement demandé l’opération d’un changement des coordonnées bancaires dans le système de l’entreprise pour les remplacer par celles de son compte frauduleux.

  • La fraude au président : Basé également sur l’usurpation d’identité, le fraudeur se fait passer pour le président de l’entreprise auprès du service comptable dans le but, aussi, d’obtenir un virement bancaire frauduleux. Il joue sur le caractère urgent et confidentiel de l’opération pour que son interlocuteur n’effectue pas de vérification et fasse le virement sur les coordonnées bancaires que le fraudeur a fournies.

  • La fraude au faux conseiller bancaire : Encore une fois c’est grâce à l’usurpation d’identité que le fraudeur arrive à ses fins. Il prend contact avec l’entreprise pour signaler une opération irrégulière sur ses comptes bancaires. Il cherche alors à se procurer les identifiants pour se connecter à l’espace personnel du compte bancaire et donc effectuer des virements à sa guise.

  • Le phishing : On parle de campagne de phishing, car ce sont des envois en masse de SMS ou mails contenant généralement une pièce jointe ou un lien frauduleux. L’expéditeur usurpe souvent des marques connues des cibles ou des entités de confiance comme la banque ou des organisations publiques. Lorsque les victimes cliquent sur le lien ou la pièce jointe, le fraudeur peut alors récupérer leurs identifiants ou leurs informations de carte bancaire pour ensuite effectuer des paiements ou virements bancaires en leur nom.

  • Le ransomware : Un peu différent des attaques précédentes, c’est une cyberattaque qui consiste à s’introduire dans le SI de l’entreprise ciblée afin d’accéder à des données sensibles. Celles-ci sont chiffrées, et donc prises en otage, pour réclamer une rançon à la victime contre la non-diffusion de ces informations et leur déchiffrage.

  • La fraude à la carte bancaire : Elle fait souvent l’objet de campagnes de phishing pour récupérer les données de carte bancaire (code et numéro de carte par exemple), sur des portails de paiement en ligne. Cette technique peut aussi faire passer la victime par une copie du site internet de sa banque pour récupérer ses identifiants et se connecter en ligne à sa place comme lors d’une fraude au faux conseiller bancaire et donc effectuer une opération en son nom.

New call-to-action

Des risques cyber accrus

La crise sanitaire a favorisé l’augmentation du nombre de cyberattaques, notamment avec la mise en place du télétravail sans grande sécurisation des accès. En 2021, nous avons pu observer une augmentation de 13% des attaques, d’après le rapport d’Orange Cyberdefense Security. Le risque cyber est donc bien présent en entreprise et touche particulièrement la chaîne de paiement. C’est en intervenant à différents niveaux du processus P2P que les fraudeurs réussissent à soutirer au moins un virement bancaire frauduleux à leurs cibles.

Voici quelques chiffres sur la fraude en 2021 selon le Baromètre Euler Hermes :

  • 2/3 des entreprises ont au moins subi une tentative de fraude.

  • 33% des entreprises victimes ont subi un préjudice supérieur à 10K €.

  • 14% ont subi un préjudice supérieur à 100K €.

  • La fraude au président et au faux fournisseur représente respectivement 46% et 47% des attaques.

Les tentatives d’escroquerie se propagent aussi entre les entreprises, 13% des victimes le sont par rebond (Baromètre ANOZR WAY). C’est-à-dire que lorsqu’un fraudeur s’attaque à une entreprise, il se procure beaucoup d’informations sur tout son environnement. Il peut alors continuer à mener des arnaques sans avoir à refaire un travail complet de recherches. Les cibles suivantes sont souvent un client, un fournisseur, un partenaire et ils subissent une attaque par rebond.

Peut-on récupérer l’argent d’une fraude ?

Les fraudeurs sont très organisés. Lorsque la tentative de fraude est lancée, le fraudeur a déjà ouvert plusieurs comptes dans des banques différentes avant le lancement du virement frauduleux.  Par exemple, lors d’une fraude au faux fournisseur, l’entreprise effectue la transaction, l’escroc reçoit le virement sur un compte bancaire. Généralement le compte est dans une banque du même pays que celui du fournisseur dont l’identité est usurpée. Une fois l’argent sur ce compte, il est immédiatement déplacé vers plusieurs comptes à l’étranger, jusqu’à sa disparition. Avec ces méthodes, le fraudeur est difficilement traçable par les autorités et s’assure de ne pas se faire démasquer.

Il est donc très compliqué de récupérer l’argent d’une fraude, l’entreprise victime se rend compte de la fraude souvent trop tard pour que les démarches auprès de la banque et des autorités ne permettent de rappeler le virement. Toutefois, si le virement bancaire n’est pas instantané et que l’émetteur de l’opération se rend compte suffisamment tôt de l’escroquerie, il peut faire opposition et obtenir, selon sa banque et celle du destinataire, un remboursement de la somme transférée. Même si cette situation est très rare. Lorsque la fraude est reconnue, il faut que la victime dépose plainte et apporte des preuves afin d’obtenir un remboursement, s’il est permis par sa banque.

Comment s’en prémunir ?

La cybersécurité est un sujet sérieux qui doit être considéré dans l’organisation globale de l’entreprise et dans les processus de paiement. La principale faiblesse à pallier est la faiblesse humaine. C’est le principal facteur qui permet à la tentative de fraude de réussir.

Quelques bonnes pratiques :

Organiser des formations régulières afin d’informer et de sensibiliser les collaborateurs aux nouvelles techniques de fraude et aux modes opératoires.

Avant chaque transaction bancaire, paiement ou opération, effectuer l’authentification des données, quel que soit le montant du virement.

En cas de doute ou pour la création et modification des coordonnées d’un tiers, il est primordial de prendre contact par téléphone auprès du fournisseur pour plus de sécurité.

Même face à un interlocuteur pressant, toujours effectuer chaque étape de sécurité, voir prendre contact avec ses supérieurs.

Cela permet d’éviter toute intrusion.

En limitant l’authentification manuelle, le facteur humain est moins présent et le risque de fraude également.

En cas de fraude :

La première opération à réaliser est de faire opposition à la transaction (ou à la carte bancaire), porter plainte pour arnaque et demander un remboursement des fonds si la banque et la situation le permettent.

Cela permet de les reporter aux autorités et éviter qu’un client ou un fournisseur en soit victime par rebond.

Les preuves peuvent permettre d’identifier les modes opératoires et d’identifier les cybercriminels.

Pour se prémunir d’une nouvelle arnaque en ligne.

Je choisis mon réseau et je partage !