Escroqueries aux faux ordres de virement

Depuis 2010, plusieurs centaines d'entreprises ont été victimes de tentatives ou d'escroqueries avérées aux faux ordres de virement pour un montant global supérieur à 300 millions d'euros. Quelques conseils pour se protéger !

Recrudescence des escroqueries aux faux ordres de virement

L'escroquerie aux faux ordres de virement bancaire, réalisée par courriel ou par téléphone, est une menace permanente pesant sur toute entreprise et ce, quelle que soit sa taille ou son secteur d'activité.

Opérant souvent depuis l'étranger, bien organisés et informés, jouant sur l'usurpation d'identité, très habiles dans l'art de manier certains ressorts psychologiques, les professionnels de l'escroquerie financière abusent leurs victimes sans exercer de violence.

Risques très faibles d'être appréhendés, profits pharaoniques, absence totale de scrupules quant aux éventuelles conséquences de leurs actes, le tout pour un investissement « temps/moyens » très limité, sont autant d'arguments pouvant expliquer leurs motivations.

Toutefois, souvent très conséquentes, les sommes extorquées peuvent dangereusement fragiliser la santé financière des entreprises.

Dans un contexte économique déjà tendu, les dirigeants ne peuvent se permettre de rester totalement passifs.

Comment se prémunir ?

• Vérifier l'existence et l'application de procédures internes concernant les virements.
• Sensibiliser régulièrement les équipes financières et comptables ainsi que tout salarié exerçant une fonction de «filtre» (secrétaire, assistante de direction, standardiste,...). Ces personnels sont susceptibles d’être contactés par l’escroc lors de la phase préparatoire de recueil d’informations.
• Les former au bon usage des moyens informatiques mis à leur disposition, aux dangers des réseaux sociaux ainsi qu'à la protection de l'information. Les responsabiliser par la mise en place de chartes.
• Ne pas rendre public l'organigramme de l'entreprise pour ne pas faciliter la collecte d'informations de l’escroc. Filtrer les renseignements mis en ligne sur votre ou vos sites internet.
• Inviter l'ensemble des salariés à faire rapidement remonter à la hiérarchie tout fait « anormal ».
• Lorsqu'une demande de virement est faite hors du formalisme habituel, exiger une sollicitation écrite provenant d’une adresse mail professionnelle (et non personnelle), ainsi qu’un numéro de téléphone fixe (et non portable). Vérifier systématiquement les coordonnées recueillies.
• Orienter l'interlocuteur vers la procédure régulière, et ne rien entreprendre sans l'aval de la hiérarchie. Veiller également à contacter l'établissement bancaire pour vérifier les dires de l'appelant.
• Ne communiquer aucun code confidentiel par téléphone, fax ou courriel.
• Si une tentative de fraude venait à être détectée durant la phase « contact », tenter de retourner la situation à son avantage en collectant un maximum de renseignements sur l'appelant.

En cas de problème avéré ou de simple tentative : déposer rapidement plainte auprès du service de police ou de gendarmerie territorialement compétent.

Source : gendarmerie de Rhône-Alpes.

Plus d'informations

• Consultez le guide " ordres de virement : 9 réflexes de sécurité " rédigé par " la Fédération Bancaire Française (FBF).
  
  
• Consultez le document PDF " Escroqueries aux faux ordres de virements : comment s'en prémunir ? " de la Sécurité Economique territoriale de Rhône-Alpes.
  
  
• Pour plus d'informations, consultez le document PDF de la gendarmerie de Rhône-Alpes.

SEPA :

Alerte de la DCRI sur des escroqueries réalisées sous couvert de demande de vérification du bon fonctionnement du protocole de virement.

L'escroquerie au RIB dite aussi fausse domiciliation bancaire 

Très habiles et déterminés, les escrocs sont dotés d'une imagination débordante et ont souvent un coup d'avance. Peu importe le mode opératoire, ils utilisent l'ensemble des ressorts psychologiques pour amener leurs potentielles victimes à répondre favorablement à leurs demandes. La méfiance doit donc être de mise.

Exemples concrets : 

- En février 2017, trois entités rhônalpines (une entreprise, une mairie ainsi qu'une communauté de communes) ont été touchées par une nouvelle version de l'escroquerie dite "à la fausse domiciliation bancaire". Le montant total des sommes visées (escroqueries réussies et tentative) dépasse les 600 000 €.

Pour parvenir à leurs fins, le ou les auteurs s'intègrent dans un marché public et contactent l'ordonnateur et le comptable (par mail ou par téléphone).
Ils leur communiquent des coordonnées bancaires erronées dans le but de se faire virer en URGENCE les sommes demandées par les Directions Départementales des Finances Publiques (DDFIP) locales sur des comptes hébergés à l'étranger, mais au sein de la zone SEPA.
Au total, plus d'une quarantaine de faits similaires auraient été recensés au niveau national.

- Courant mars 2015, une société asiatique se faisant passer pour un fournisseur contacte une entreprise rhônalpine et l'informe par courriel de son changement de domiciliation bancaire. Une facture et un Relevé d'Identité Bancaire mentionnant les nouvelles coordonnées y sont joints.

Confiante, l'entreprise victime effectue immédiatement 2 virements pour un montant supérieur à 200 000 €.
Les dirigeants ne s’aperçoivent de l'escroquerie que quelques temps après. Lors des vérifications, ils constatent que l'adresse mail utilisée diffère légèrement de celle habituellement employée par le fournisseur.

De quoi parle-t-on ?

Apparue pour la première fois il y a environ deux ans, l'escroquerie au « faux RIB », ou plus exactement au « changement de domiciliation bancaire », connaît ces derniers temps un certain essor.
Variante de l'escroquerie dite « au faux président », cette arnaque est la plus simple à réaliser. Elle ne nécessite aucune connaissance en informatique et peu de recherches d'informations par le biais de l'ingénierie sociale.
Pour y parvenir, la création de fausses adresses mail, de fausses factures à entête de fournisseurs bien réels et l'adjonction d'un RIB suffisent.

Que faire ?

En amont :

• Mettre en Oeuvre des procédures écrites strictes concernant les virements.
• Ne vous fiez jamais aux seules déclarations des appelants et/ou aux documents reçus. Vérifiez systématiquement les dires de vos interlocuteurs par le biais de contre-appels de sécurité (passés de préférence depuis un téléphone portable, le serveur téléphonique ayant pu être piraté),
• Contrôler et limiter la diffusion d'informations concernant l'entreprise. A ce titre, éviter la mise en ligne de l'organigramme de la société pour ne pas faciliter le travail des escrocs. De même, ne communiquer aucune information sensible (factures, baux, ...) par téléphone, fax ou mail sans avoir formellement identifié le demandeur.
• Sensibiliser régulièrement les salariés et ce quel que soit le niveau de responsabilité exercé. De même, les responsabiliser en adoptant une charte d'utilisation des moyens informatiques, d'internet et des réseaux sociaux.

Lors de la réception de courriels :

• Ne jamais se contenter des seules informations affichées. Ne pas répondre à un mail en utilisant la fonction « répondre » de la messagerie. La victime risquerait alors de ne pas s'apercevoir qu'elle a affaire à une fausse adresse.
• Contacter immédiatement et systématiquement par téléphone le fournisseur en utilisant de préférence un téléphone portable, le serveur téléphonique ayant peut être été piraté par l'escroc en vue de rediriger les contre-appels de sécurité.

La mise en place d'une veille régulière permettra d'anticiper et de s'adapter aux nouvelles menaces.

En cas de problème avéré ou de simple tentative :

- En cas de virement, alertez sans délai votre banque voire même la Banque de France.

- Déposer rapidement plainte auprès du service de police ou de gendarmerie territorialement compétent.

Source : Lettre électronique N° 7 éditée par la région de gendarmerie de Rhône-Alpes 

L'escroquerie au faux technicien d'une banque

Récemment, le comptable d'une PME est contacté par un individu se présentant comme technicien de maintenance de la banque gérant les comptes de la société. Celui-ci invoque la migration en cours vers une nouvelle version du site web de la banque et indique qu'à cet effet quelques manipulations informatiques sont nécessaires sur le poste dédié à la comptabilité. L'employé s'exécute et le jour même un virement de plus de 170 000 € à destination d'un pays balte est réalisé à son insu. Plusieurs autres affaires similaires ont d'ores et déjà été recensées.

De quoi s'agit-il ?

Déjà utilisée à de nombreuses reprises en 2013 et 2014, lors du passage aux normes européennes de paiement SEPA, l'escroquerie réalisée par un individu se présentant comme technicien de maintenance d'une banque revient sur le devant de la scène. Variante de l'escroquerie dite au faux virement, elle est particulièrement simple à réaliser et ne nécessite que peu de moyens techniques.

Lors du contact, l'escroc invoque une quelconque opération de maintenance (mise à jour serveur, maintenance du site de la banque, …) et invite le comptable à se rendre sur un site internet via une URL communiquée. Un programme se télécharge alors automatiquement. Par la suite, il est demandé au salarié de se connecter sur le site de la banque gérant les comptes de la société en rentrant son identifiant et son mot de passe, puis de réaliser diverses manipulations telle que la navigation dans les différents onglets de l'interface. A l'issue, l'escroc indique que le site de la banque sera indisponible durant quelques jours puis met un terme à la communication.

A aucun moment le comptable ne s'est rendu compte que le programme malveillant téléchargé avait permis à l'attaquant de prendre le contrôle à distance de son ordinateur. Par contre, quelques temps après, il constatera qu'un virement a été effectué à son insu.

Que faire ?

Les potentielles victimes peuvent facilement éviter de tomber dans le piège en respectant les procédures édictées en interne et en appliquant quelques mesures de bon sens.

En amont : Sensibiliser régulièrement les équipes financières et comptables ainsi que tout salarié exerçant une fonction dite de «filtre» (secrétaire, assistant de direction, standardiste,…).
En effet, ces personnels sont susceptibles d’être contactés par l’escroc lors de la phase préparatoire de recueil
d’informations ou durant l'escroquerie en elle-même.

En ce qui concerne l'informatique, proscrire l'accès aux ordinateurs en mode « administrateur ». Créer des comptes « utilisateurs » avec des privilèges correspondant aux besoins réels des postes occupés. Toute installation de programme ou d'exécutable sur les machines de l'entreprise ne peut et ne doit être réalisée que par un responsable informatique.

Durant la phase contact : En cas de doute et surtout avant de débuter toute opération demandée par l'appelant, contactez immédiatement votre hiérarchie ainsi que votre organisme bancaire pour vérifier ses dires.

Le standard téléphonique de l'entreprise ayant également pu être piraté (dans le but de router les appels vers un complice), privilégier le contact depuis un téléphone portable.

Important : Dans le cas où le comptable ou le responsable financier aurait commencé à télécharger un quelconque programme, isoler immédiatement l'ordinateur utilisé en le déconnectant du réseau. Cette simple opération empêchera l'escroc de pouvoir prendre la main à distance sur le PC à l'insu de l'utilisateur réel.

Comment se protéger des arnaques aux petites annonces ?

• Identifier les arnaques à la petite annonce

Aujourd'hui, l'achat et la vente entre particuliers via internet sont considérés par les Français comme bien plus efficaces que les brocantes ou les vides greniers. Pourtant, 76% des sondés déclarent " la peur de se faire avoir " comme principal frein à ce type d'échange.

Les fraudeurs pratiquent la dissimulation et l'imitation. Leur objectif est de vous tromper en se faisant passer pour un organisme de confiance comme votre banque ou votre opérateur téléphonique.

Pour vous escroquer, le fraudeur peut se montrer pressant. Il peut vous demander de lui envoyer des informations confidentielles. Par exemple : votre numéro de carte bancaire, ou un numéro de suivi de colis par email pour obtenir de l'argent.

• 6 conseils pour éviter les pièges

1. Méfiez-vous des offres trop alléchantes. Prenez votre temps, n'agissez jamais dans l'urgence.
2. N'envoyez jamais vos coordonnées de cartes bancaires ou vos coupons de cartes prépayées par email.
3. N'expédiez jamais un colis avant que l'argent soit bien viré dans votre compte bancaire ou votre compte PayPal.
4. Soyez vigilants avec les demandes provenant de l'étranger quand vous ne disposez que d'un contact par email.
5. Recherchez l'email de votre interlocuteur sur un moteur de recherche pour vérifier son identité.
6. Quand vous publiez une petite annonce, masquez les informations qui pourraient être utilisées pour usurper votre identité.

Téléchargez le document PDF sur l'alerte piratage aux petites annonces.

Ce document a été élaboré par le CECYF (le Centre Expert contre la Cybercriminalité Français), PayPal (solution rapide et sécurisée pour payer et être payé sur Internet), et Signal Spam (association à but non lucratif qui développe un réseau de confiance pour agir contre le Spam).