ARNAQUES AUX FAUX VIREMENTS : LES FOLLES TECHNIQUES DES ESCROCS
Usurpation d’identité, piratage informatique, manipulation mentale, arnaques aux faux virements … Les mafias du crime financier usent de techniques diverses et variées pour vous soutirer de l’argent. « C’est du Canteloup à la sauce escroquerie. » Voici comment Jean-Jacques Latour, responsable de l’expertise pour le dispositif Cybermalveillance.gouv.fr résume les nouvelles activités des organisations criminelles. Car, les malfrats profitent de la crise sanitaire pour mettre en place de nouveaux types d’arnaques. Un phénomène, découvert par le FBI, est en effet en pleine expansion, depuis le printemps dernier : « le deepvoice ». Ce logiciel, qui permet d’usurper la voix du président d’une société ou d’un collaborateur, est utilisé pour soutirer de l’argent aux entreprises. Les aigrefins persuadent pour cela un salarié à établir un virement de fonds urgent. Le préjudice est colossal ! Arnaques aux virements : les méthodes employées Aux États-Unis comme en France, les services de la criminalité financière de la police judiciaire sont sur le front. En 2020, les escrocs ont multiplié les techniques d’arnaques : usurpation d’identité, piratage informatique et manipulation mentale, escroquerie aux faux ordres de virement (FOVI)… Au total, les entreprises et les collectivités se sont vu dépouiller de 114 millions d’euros l’an passé, contre 89 millions en 2019, selon les données de la police judiciaire française. « La tendance est à la hausse depuis 2017. Ces derniers mois, les escrocs se sont adaptés à la pandémie et profitent de l’essor du télétravail », détaille dans les colonnes du Figaro Thomas de Ricolfis, sous-directeur de la lutte contre la criminalité financière. Avec la démocratisation du télétravail, les signaux d’alerte disparaissent. Qui se cache derrière ces arnaques ? Des petites PME aux grands groupes du CAC 40, aucune entreprise n’est épargnée. D’ailleurs, en moyenne, cinq entreprises par semaine contactent le site de cybermalveillance pour ces faits. Les organisations criminelles « étudient les sociétés, passent par les réseaux sociaux pour identifier les salariés-cibles, connaître leur fonction, et comment mettre en œuvre leur technique de persuasion », détaille au quotidien économique Thomas de Ricolfis. En France, ce sont souvent les mafias du crime financier franco-israéliennes qui sont à l’origine de ces pratiques. « La France collabore étroitement sur le plan judiciaire avec les autorités israéliennes. Les collectivités et les entreprises dans leur pays sont également touchées », ajoute Jean-Jacques Latour. Il existe toutefois aussi des groupes qui agissent depuis l’Afrique. Comment éviter ces escroqueries ? Arnaques aux faux virements : les missions de prévention se multiplient Afin d’alerter les entreprises, les missions de prévention se multiplient. D’ailleurs, le 8 mars dernier, Thomas de Ricolfis et le commandant Thierry Pezennec sont intervenus durant un webinaire rassemblant des adhérents du Medef. « La sensibilisation des entreprises et le partage d’information avec les services de police judiciaire représentent des enjeux cruciaux pour lutter contre ce véritable fléau économique. D’autant que les modes opératoires des groupes criminels sont en constante évolution », indique au Figaro Patrick Martin, président délégué du Medef. On vous demande d’effectuer un virement ? Effectuez une contre-vérification de l’e-mail et du téléphone ou exigez une double signature. Source : Planet.fr
COMMENT LE CDER A-T-IL PU SE FAIRE ARNAQUER DE PLUSIEURS MILLIONS ?
L’association de gestion et de comptabilité CDER, dont le siège se situe à Châlons, fait les frais d’une arnaque au faux président évaluée à plusieurs millions d’euros. Une enquête d’ampleur internationale est en cours. Née en 1956, l’association CDER, spécialisée dans l’expertise comptable, rassemble environ 700 collaborateurs basés pour la plupart dans la Marne, mais aussi les Ardennes, l’Aube et l’Aisne. Elle accompagne 12 000 clients dans des secteurs d’activité variés et s’impose comme la plus grande structure de ce genre en France. D’où le message adressé à ses adhérents suite à l’escroquerie aux faux ordres de virement international (Fovi) dont elle est victime. « Personne n’a eu accès aux données de nos adhérents, précise-t-on au service communication. Il ne s’agit pas d’une intrusion dans notre système informatique mais d’une usurpation d’identité. » En l’occurence, celle du président, Hervé Jacquinet, qui ne souhaite pas s’exprimer sur ce dossier tant que l’enquête est en cours. Les faits remontent à décembre et résultent d’un processus bien ficelé. D’abord, pirater la boîte mail et la ligne téléphonique du président pour se familiariser avec son style, ses expressions, puis cibler la personne en charge des affaires comptables au CDER. Ensuite, contacter cette personne sur WhatsApp et par mail en se faisant passer pour le président, et lui demander de réaliser les virements à l’étranger. Enfin, s’assurer qu’elle restera discrète sur ces transferts. « Ils ont prétexté le rachat d’une grosse entreprise via une opération boursière qui ne devait pas être divulguée pour l’instant, raconte Me Gérard Chemla, l’avocat du CDER. Ils ont aussi mis en scène le prétendu avocat d’affaires d’un cabinet parisien réputé, mais factice, pour rendre ces virements crédibles. » LA RESPONSABLE COMPTABLE MISE À PIED Assez crédibles pour répéter l’opération une dizaine de fois et détourner plusieurs millions d’euros sans même un seul contact avec le – vrai – président ou le directeur général ? « C’est une affaire rocambolesque, effectivement. Le télétravail et les échanges à distance développés à cause de l’épidémie n’ont pas aidé. De grandes entreprises ont déjà été victimes de cette mécanique redoutable. La responsable comptable a été manipulée pendant dix jours environ. » Son manquement à plusieurs procédures internes – le CDER évoque une « défaillance humaine avérée » – lui a néanmoins valu d’être mise à pied. UN MANQUE DE VIGILANCE DE LA PART DE LA BANQUE ? Tout aussi surprenant : l’absence de réaction de la banque face à ces mouvements d’argent. « Elle a laissé passer des virements colossaux et répétitifs, parfois trois dans la même journée, vers des banques étrangères. Il semblerait que la comptable ait été contactée par téléphone pour vérification, mais elle n’est pas la propriétaire du compte concerné. » Le CDER pourrait-il se retourner contre sa banque ? « C’est une question qu’il va devoir se poser, concède le défendeur. Deux plaintes ont été déposées pour escroquerie et usurpation d’identité. Les investigations suivent leur cours, notamment pour retrouver et bloquer une partie de l’argent versé dans plusieurs pays. » Les pertes ne seront pas prises en charge par les assurances dans un tel cas de figure. D’ores et déjà, l’association prévoit de renforcer ses procédures de contrôle. « Cette structure est solide. Il n’y aura pas de conséquence en termes d’exploitation, comme des licenciements par exemple. » Ses réserves financières, en revanche, risquent d’être lourdement entamées. Source : L’hebdo du vendredi
PHISHING, FRAUDE ET ESCROQUERIES EN TEMPS DE PANDEMIE
En ce début d’année 2021 comme en 2020, la cybercriminalité surfe sur la pandémie pour s’envoler vers de nouveaux horizons. Jamais le potentiel n’a été aussi prometteur pour le phishing, la fraude et les escroqueries : les cybermenaces explosent. Le phishing & la pandémie, un mélange explosif ! Les cybercriminels jouent sur la fébrilité des individus face au Covid pour leur soutirer des fonds via des ransomwares. Les malwares comme TrickBot, Agent Tesla ou Emotet, adaptent leurs contenus à la crise sanitaire : Faux fichiers de résultats de tests de Covid-19, Annonce d’un traitement contre le virus, Convocation à une vaccination rapide, Faux site de prise de rdv, de vente de masques ou de gel hydroalcoolique, Décalage d’une livraison d’un colis… Les exemples de thématiques dédiées au phishing sont nombreux et toujours d’actualité. Les cybercriminels dissimulent leur identité derrière celle des organismes de santé, la médecine du travail, les laboratoires d’analyses ou de grandes marques, pour envoyer ces messages au plus grand nombre. Le phishing n’est pas nouveau (cf. article précédent) mais le Covid-19 en a démultiplié l’ampleur et les conséquences. Dans le cas présent, ce sont plus de 7 milliards d’individus qui sont des cibles potentielles et tout le tissu entrepreneurial. Selon Barracuda Networks, le phishing a enregistré un bond de 667 % en mars 2020 et en avril, 380.000 attaques informatiques étaient liées au Covid-19 contre 1.200 en janvier. Le phishing, une goutte au milieu d’une myriade de fraudes et escroqueries en ligne Au-delà du phishing les menaces couvrent différents types d’intrusions. Certaines sont innovantes et s’appuient sur la modification des usages d’outils online tels que les conférences audio / vidéo : Les spam (courriels indésirables) : générés en masse et gérés par l’IT ils sont souvent bien filtrés par les firewalls, antivirus et autres services pare-feu des entreprises. Malware : logiciel malveillant installé à son insu. Ils sont discrets, à l’inverse du Ransomware. Exfiltration de données Phishing avec URL falsifiée : Google a dénombré 316.523 nouveaux sites factices relatifs au Coronavirus en 1 mois courant mars 2020, et les cybercriminels ont aussi déposé des centaines de milliers de noms de domaine intégrant le mot clé « covid » : plus de 200.000 ont été classés en risque élevé ou malveillant. Phishing latéral : il s’appuie sur l’utilisation d’un vrai compte piraté et exploité par un criminel. Taux de succès maximal car la confiance est déjà établie entre des interlocuteurs qui se « connaissent ». Spear phishing (harpooning): ciblé et précis, il a pour objectif de vous voler des données clés. Usurpation de marque / de nom de domaine Escroquerie / Extorsion Usurpation de compte Détournement de conversations : c’est la grande tendance. Ils peuvent conduire les utilisateurs à télécharger de faux outils de collaboration. En tête des cibles, Teams et Zoom. On note une recrudescence de fichiers malveillants portant des noms tels que « zoom-us-zoom_XXX.exe » et « microsoft-teams_V#mu#D_XXX.exe » (où X représente un pseudo numéro de version). D’ailleurs, depuis le début de l’année, plus de 1.700 nouveaux domaines ont été enregistrés comportant le mot « zoom », dont 25 % d’entre eux au cours de la semaine dernière. Phishing, fraude et escroqueries : suspicion absolue Les nouveaux outils doivent susciter encore plus de vigilance dans votre entreprise. Que ce soit à des fins de vol de données ou de détournements de fonds, l’enjeu reste financier. Ainsi du bureau physique au bureau virtuel, prudence et vigilance sont de mises. Dans ce cadre, la solution MATA I/O crypte les fichiers de règlement pour éviter les dépôts de fichiers en clair sur le réseau de l’entreprise. Cette solution crypte également les données sensibles, comme les coordonnées bancaires, pour vous protéger des requêtes informatiques malveillantes. Découvrez aussi Mata Conseil
ARNAQUE AU FAUX RIB
L’escroquerie au « faux RIB » ou plus exactement au « changement de domiciliation bancaire » connaît un certain essor. Variante de l’escroquerie dite « au faux président », cette arnaque est la plus simple à réaliser ! Elle ne nécessite aucune connaissance en informatique et peu de recherches d’informations par le biais de la relation sociale.
Fraude : le chèque est utilisé dans 46 % des opérations frauduleuses
Les vols par chèque bancaire ont progressé de 20 % l’an dernier pour atteindre 540 millions d’euros, soit davantage que les 470 millions issus de la fraude à la carte bancaire. Alors que le nombre de chèque émis chaque année continue de baisser, la fraude augmente, ce qui inquiète la Banque de France. L’usage du chèque continue de se réduire en France. Mais le nombre de chèques volés ou détournés augmente, si bien que ce moyen de paiement est désormais le moins sûr. « Le chèque est devenu en 2019 le moyen de paiement le plus fraudé, à la fois en valeur absolue et en taux de fraude », indique l’Observatoire de la sécurité des moyens de paiement qui a publié son rapport pour l’année 2019 ce mardi 22 septembre. Le chèque est désormais utilisé dans 46 % des opérations frauduleuses, quand la carte bancaire n’est présente que dans 40 % de ces opérations. Selon l’Observatoire de la sécurité des moyens de paiement, qui dépend de la Banque de France, c’est la première fois que les montants volés en utilisant des chèques sont plus importants que ceux détourné par la fraude à la carte bancaire (540 millions l’an dernier contre 470 millions d’euros pour la carte). Le montant volé a progressé l’an dernier de 20 % pour les chèques et de 7 % pour la carte bancaire. « Le montant moyen d’un chèque frauduleux progresse à 2 938 €, contre 2 700 en 2018 », note le rapport. Les cartes bancaires dix fois plus utilisées que le chèque En parallèle, le rapport relève que l’usage du chèque a continué à reculer en France en 2019, avec une baisse de 9 % du nombre émis. Il n’est plus utilisé que pour régler 6 % des transactions, très loin de la carte bancaire qui a assuré 55 % des paiements scripturaux (hors paiements en liquide). Les Français ont signé l’an dernier 1,6 milliard de chèques quand ils ont réglé plus de 14 milliards de fois des achats avec leur carte bancaire. « Au fur et à mesure que l’usage du chèque diminue, tout se passe comme s’il y avait moins de vigilance », a déploré le gouverneur de la Banque de France, François Villeroy de Galhau, en présentant ce rapport 2019. Il a aussi relevé que la fraude se reporte d’autant plus sur le chèque que les contrôles se renforcent sur les paiements par carte. Se disant attaché à ce que les Français conservent leur « liberté de choix » entre tous les moyens de paiement, il a annoncé le lancement d’une concertation pour adopter de nouvelles normes à l’horizon 2021. Les banques devront renforcer les contrôles avant d’honorer un chèque et modifier leur fabrication pour y intégrer des marqueurs de sécurité. Des « mules » pour encaisser les chèques Ces chèques sont alors utilisés pour régler un achat, ou pour être encaissés sur un compte bancaire. Un type de fraude se développe : il consiste à recruter des « mules » sur Internet, des personnes chargées d’encaisser un chèque sur leur compte, moyennant une commission. Ils font alors un virement à la personne qui leur a remis le chèque. Et souvent, ce chèque est ensuite rejeté par la banque, si bien que les« mules » sont en définitive les vraies victimes de la fraude. Un autre grand type de tricherie consiste à falsifier le montant ou le bénéficiaire d’un chèque régulièrement émis. Cela représente 27 % des montants détournés. Enfin, la contrefaçon de chèque, fabriqués à partir d’une feuille blanche, représente 14 % des montants volés. source : La Croix
THOUARS : 26 SALARIÉS LICENCIÉS SUITE À UNE FRAUDE AU PRÉSIDENT
Des anciens salariés de BRM Mobilier, demandent réparation, ce lundi, devant le Conseil des Prud’hommes. Ils dénoncent les conditions de leur licenciement qui remonte à 2016. L’entreprise de Bressuire avait fait faillite suite à une escroquerie d’1,6 millions d’euros. C’est un nouveau rebondissement dans le feuilleton BRM Mobilier, cette entreprise de Bressuire qui a fait faillite il y a cinq ans après une retentissante arnaque. Ce lundi, 26 des 44 salariés licenciés suite à la liquidation judiciaire de l’entreprise en 2016, demandent des dommages et intérêts devant le Conseil des Prud’hommes. En 2015, le patron de l’entreprise spécialisée dans la fabrication de meubles pour collectivités, s’était fait usurper son identité par une collaboratrice qui a réussi à détourner 1,6 millions d’euros. Le fabriquant de mobilier qui jouissait d’une notoriété de plus de 60 ans, avait été victime d’une « fraude au président », il s’agit d’une escroquerie qui consiste à exiger d’une entreprise un virement en se faisant passer pour l’un de ses dirigeants. Les salariés reprochent à la maison mère, le groupe Mecaseat, de ne pas avoir préserver les emplois. BRM Mobilier appartenait au groupe financier belge MecaSeat via la SPCM. « La loi n’a pas été respectée, il est fondamental que le droit puisse être appliqué dans son intégralité sans user de manoeuvres, il faut que tout le monde y compris les maisons mères, prennent leurs responsabilités face aux situations désastreuses que vivent les salariés » s’est insurgée ce matin, Sarah Djabri, l’avocate des salariés. Le jugement sera rendu le 15 décembre. Source : France3
LA FRAUDE AUX FOURNISSEURS RESTE LA TECHNIQUE PRÉFÉRÉE DES CYBERCRIMINELS
D’après une étude, en 2019 l’usurpation d’identité a été la technique la plus utilisée par les cybercriminels, devant l’intrusion dans les systèmes d’information. 48% des entreprises interrogées ont subi des fraudes aux fournisseurs dont l’objectif est obtenir le paiement de fausses factures. Malgré cela, 6 répondants sur 10 n’ont toujours pas de budget alloué à ces questions. En 2019, 7 entreprises sur 10 ont été victimes d’au moins une tentative de fraude, révèle une étude publiée le 12 mai 2020 par la société d’assurance-crédit Euler Hermes et l’Association nationale des directeurs financiers et de contrôle de gestion. Elles ont interrogé 200 entreprises françaises pour mesurer le nombre de fraudes et de cyberattaques perpétrées en 2019. L’USURPATION D’IDENTITÉ DEVANT LES CYBERATTAQUES L’usurpation d’identité est la technique la plus utilisée par les fraudeurs devant l’intrusion dans les systèmes d’information. La fraude aux fournisseurs est massivement utilisée. 48 % des entreprises interrogées ont cité ce délit qui vise à se faire passer pour un fournisseur afin d’obtenir le paiement de factures émises par le véritable fournisseur. Elle est suivie par la fraude au faux président, qui a sensiblement progressé en 2019 (38 %), les autres usurpations d’identité (banques, avocats, commissaires au compte) citées par 31 % des répondants et la fraude au faux client (24 %). L’intrusion dans les systèmes d’information est citée par 29 % des entreprises interrogées. Elle est utilisée en tant qu’attaque directe avec les rançongiciels mais également comme moyen pour préparer une fraude. « L’usurpation d’identité est un grand classique de la fraude et elle est de loin la technique favorite des fraudeurs. Son usage a toutefois évolué : là où auparavant, le mail était le facteur déclencheur, de nouvelles techniques plus pointues sont apparues et permettent aux fraudeurs de gagner en efficacité. On peut notamment penser à l’intelligence artificielle et aux logiciels d’imitation de voix, grâce auxquels les fraudeurs ont plus de crédibilité dans leurs tentatives et qui permettent de constituer des scénarios d’usurpation d’identité extrêmement convaincants », explique Armelle Raillard, experte assurance-fraude chez Euler Hermes France. 27 % DES ENTREPRISES ONT SUBI AU MOINS UNE FRAUDE AVÉRÉE L’étude montre la récurrence de ces attaques sur une même cible. En 2019, 29 % des répondants ont été visés par plus de 5 tentatives. Ils étaient 24 % en 2018. Et cette persévérance porte ses fruits. 27 % des entreprises interrogées ont subi au moins une fraude avérée en 2019 (26 % en 2018). Le moment de l’attaque est un élément central. 43 % des entreprises ont remarqué une recrudescence des attaques en veille ou en week-end et en période de congés. Rien d’étonnant, les délinquants concentrent leurs efforts sur les périodes où les entreprises sont moins armées pour se protéger. Pour près d’une entreprise sur 3, le préjudice subi est supérieur à 10 000 euros. Mais les entreprises semblent de plus en plus conscientes de ce risque. En effet, 84 % d’entre elles craignent une accentuation du phénomène sur l’année à venir. Elles étaient 78 % en 2018. Cette prise de conscience pousse les entreprises à prendre des mesures. 60 % d’entre elles ont mis en place une cartographie des risques et 40 % ont décidé de créer ou transférer un budget dédié à la lutte contre la fraude. PLUS DE 6 RÉPONDANTS SUR 10 N’ONT TOUJOURS PAS ALLOUÉ DE BUDGET SPÉCIFIQUE Mais des efforts restent à faire. Plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique à la lutte contre la fraude et la cybersécurité en 2019. « Nous sommes sur la bonne voie mais les entreprises doivent aller plus loin dans leur démarche pour se mettre à l’abri des attaques. Des dispositifs comme l’assurance-fraude existent et permettent aux entreprises de transférer ce risque majeur sur une tierce partie pour ne pas avoir à l’assumer entièrement« , indique Armelle Raillard. L’étude rappelle que la crise sanitaire actuelle peut être largement exploitée par les cyberdélinquants. « Le risque est que la crise que nous traversons conduise à une moindre vigilance ou à la ‘dégradation temporaire’ des dispositifs de contrôle en raison de la priorité légitime donnée à la continuité d’exploitation. Les cyber-fraudeurs peuvent en profiter pour exploiter toute faille du dispositif de prévention et de contrôle et accentuer leurs attaques », déclare Christian Laveau, président du groupe de travail Cyberfraude de la DFCG. Début mars 2020, des experts en cybersécurité constatent en effet une augmentation des attaques informatiques. Cette hausse est selon eux directement liée à la pandémie de Covid-19 qui agit comme « un appât pour tromper les victimes dans l’exécution de logiciels malveillants« . Source : Usine Digitale
FRAUDE AUX FAUX VIREMENTS : NOUVELLE TECHNIQUE
Des escrocs collectent vos factures impayées… pour alerter vos clients et les piéger. On vous montre la technique pour mieux les contrer ! La nouvelle tendance chez les escrocs spécialisés dans la fraude aux faux virements (Fraude au Président – FoVI) est de récupérer vos factures impayées. La méthode est simple, efficace. Les voleurs vous téléphonent, vous écrivent. Ils se font passer pour l’administration fiscale. Mission, collecter des factures de vos clients et partenaires économiques. Des factures impayées. Des cas proposent aussi de récupérer ces factures pour un contrôle administratif. Bilan, si vous communiquez ces factures, les pirates les analysent et contactent les entreprises facturées. Vous n’êtes pas la cible directe. Vous devenez le « porteur d’affaire » ! Les voyous 2.0 indiquent à vos partenaires, en usurpant votre identité (logo, papier à lettre, numéro de téléphone, …) un changement de banque et fournissent un nouveau RIB. L’argent est détourné. Il est versé sur des comptes en banques basés en Ukraine ou encore en Roumanie. Usurper les cabinets d’avocats et comptables A noter une autre alerte, cette fois émanant du cabinet Fidal (1 450 avocats, juristes, consultants), 90 bureaux en France et 367 millions de CA en 2018. « Le fraudeur usurpe l’identité de Fidal pour contacter, par téléphone ou par courriel, les services comptables ou financiers d’une entreprise et leur soutirer de l’argent. » explique l’entreprise. Ici aussi, les pirates émettent de fausses factures, prétendument en souffrance, comportant le logo et les coordonnées du cabinet. Même finalité, détourner l’argent en changeant le destinataire. N’acceptez jamais un changement de RIB sans de multiples contrôles humains. Un compte en banque à l’étranger doit OBLIGATOIREMENT vous alerter ! Source : Zataz
VICTIMES DE DÉTOURNEMENT DE FONDS : COMMENT RÉAGIR ?
Falsification de chèque ou de facture, fournisseur fictif… Le détournement d’actifs est une forme de fraude très répandue dans les entreprises de toutes tailles. Apprenez à détecter la fraude et à mieux vous en prémunir. Vous êtes dirigeant d’entreprise ou Daf, et, un matin, vous recevez un appel de votre comptable vous annonçant que vous avez été victime de détournement d’actifs. Un de vos clients a effectué un paiement sur le mauvais compte. Après avoir recollé les morceaux du puzzle, il s’avère que le client a reçu une facture (falsifiée) accompagnée d’une demande de changement de RIB. Cas classique et très répandu. Le détournement d’actifs est le deuxième cas de fraude le plus fréquent dans les entreprises françaises. Comment agir lorsque vous êtes dans cette situation ? Et comment vous prémunir contre ce type d’arnaque au sein de votre établissement ? Apportez les premiers secours ! 1. Arrêter tous les paiements Afin de limiter la casse et d’éviter qu’une autre fraude ne survienne, il faut stopper les sorties de cash de votre entreprise. Cela signifie que vous n’effectuez aucun paiement fournisseur avant d’être certain d’avoir sécurisé vos flux financiers. 2. Contacter immédiatement la banque et la police judiciaire Votre banque pourra étudier immédiatement les possibilités de récupérer les fonds grâce aux relations interbancaires. La police judiciaire pourra mener en parallèle les actions de police (enquête, relation avec les services des autres pays, etc.). 3. Prévenir vos clients et vos fournisseurs Afin de vous assurer que cette fraude ne se reproduise pas, il est impératif de faire une communication à vos clients et vos fournisseurs. La transparence est très importante dans ces cas-là, car elle permet de garder la confiance de vos partenaires, de montrer votre réactivité et surtout d’éviter que cela se répète les jours suivants. Pour ce faire, communiquez sur deux points essentiels : a. L’entreprise a été victime d’une fraude : tout envoi / paiement d’argent sera effectué une fois le système sécurisé. Une communication sera faite. b. À chaque demande de modification de RIB, le client / fournisseur doit confirmer que la demande est légitime en appelant au numéro qu’il a toujours eu dans sa base comme contact dans votre entreprise. 4. Contrôler les coordonnées de tous vos partenaires Sécuriser votre base, clients et fournisseurs, est aussi une priorité. Vous devez prendre le temps de contrôler votre base et d’effectuer les actions adaptées. Vérifiez toutes les dernières modifications de coordonnées bancaires, les adresses et numéros de téléphone. 5. Sensibiliser vos équipes Ce n’est pas une honte d’être victime de détournement de fonds. Alors parlez-en au sein de votre entreprise. Plus vos employés seront sensibilisés, plus ils auront les bons réflexes et seront en alerte. 6. Vérifier la sécurité de votre système d’information La sécurisation de votre système d’information est une priorité. Contrôlez les accès à votre système et investiguez s’il y a eu intrusion ou non. Après sécurisation des flux d’entrée et de sortie d’argent de votre entreprise, il vous faut maintenant mettre en place les procédures qui vous protégeront face à ce type d’attaque. Cela permettra aussi d’instaurer un niveau de confiance supplémentaire envers vos partenaires. Source : DAF MAG
LA TECHNOLOGIE DEEPFAKE COMME MOYEN DE FRAUDE
Les fausses vidéos qui mettent dans la bouche de personnalités des propos qu’elles n’ont jamais tenus prêtent généralement à rire. Surtout sur les réseaux sociaux. Une belle illustration est celle de la vidéo de l’ancien président Barack Obama. Mais le deepfake amuse aussi les escrocs informatiques. Une société allemande l’a appris à ces dépens. La fausse voix synthétisée du CEO d’une entreprise a permis à des arnaqueurs futés de détourner 220.000 euros. Et cette technique semble effrayer les géants du web. Deepfake -traduit en français par hypertrucage- est un mot-valise créé à partir des mots anglais ‘deep learning’et ‘fake’. Il a fait son entrée dans le vocabulaire geek à la fin 2017 lorsque des célébrités semblaient apparaître dans des clips pornographiques. Le vrai danger des deepfakes est moins la manipulation des images qui a toujours existé que la possibilité de rendre cette manipulation accessible au plus grand nombre. Et c’est à cela que l’on assiste aujourd’hui. C’est le Wall Street Journal qui a révélé cette » fraude au président » réalisée en Europe et particulièrement bien préparée. Pour convaincre l’employé d’effectuer un versement, les pirates ont utilisé une version synthétisée de la voix du patron de l’entreprise. Une bonne imitation semble-t-il, puisque le virement a été illico dirigé vers un compte externe à l’entreprise. Une seconde tentative d’extorsion auprès du même groupe n’a toutefois pas été couronnée de succès. Chat échaudé craint l’eau froide. Renseignements pris, auprès de la cyber crime unit belge et de l’éditeur de logiciels de sécurité Eset, il n’y aurait pas eu, à ce jour, de cas semblable en Belgique, mais une tentative aurait été signalée voici un an en France. Dans un reportage de la BBC, Symantec, une autre entreprise de sécurité dit pourtant avoir traqué au moins trois attaques fomentées contre des entreprises privées utilisant l’identité du patron pour obtenir des transferts d’argent. Et si ce n’était qu’un début ? La version technologique d’une fraude ancestrale Pour Jean-Michel Merliot, responsable informatique chez Eset, cette nouvelle escroquerie, basée sur » la fraude au président » est l’une des premières tentatives qui atteint son but. Selon lui, ce n’est finalement que la version technologique d’une fraude ancestrale basée sur l’imitation vocale jusqu’alors réservée aux spécialistes du genre. « Techniquement c’est assez simple à faire. Générer une voix qui ressemble à celle d’une personne est facile, mais dans certains cas la qualité laisse à désirer. » De l’analyse de programme à l’analyse de données Selon lui, le Deepfake s’inscrit dans la même problématique que la retouche d’image. » Il existe des algorithmes statistiques qui permettent de voir si une photo a été modifiée. On distingue que la structure d’une couleur est trop régulière pour être vraie. » A l’avenir, il en ira de même pour la vidéo et le son. Mais, explique l’expert en sécurité, il s’agit non plus de l’analyse de programmes, qui est le fonds de commerce des développeurs d’antivirus, mais de l’analyse de donnée. » Là, on va devoir s’y mettre « , résume Jean-Michel Merliot pour qui ce nouveau type de piratage permettrait, par exemple, de contourner les procédures de protection d’accès basées sur le visage ou la voix. Mais le plus grave pourrait être la capacité des hackers de détruire la réputation d’une personne en lui faisant tenir des propos indignes. Zao et FacApp : les applis qui ne font plus rire Mais déjà, la machine à Deepfake semble mise en route. Le 30 août, dernier, l’application chinoise ZAO a donné une nouvelle dimension à la technologie Deepfake en permettant le téléchargement gratuit (sur l’App store chinois uniquement) d’un logiciel permettant de remplacer n’importe quel visage d’une photo par celle de l’internaute. Une simple photo numérique permet de calquer sa propre photo sur celle d’un acteur connu. Très vite, Zao a atteint les sommets en termes de téléchargements. Avec un sérieux bémol, puisque les conditions d’utilisation de l’appli précisent que les utilisateurs accordent à ZAO, le droit d’utiliser leurs photos et de vidéos synthétisées. Ce qui a suscité une levée de boucliers des utilisateurs, faisant chuter l’appréciation de l’appli à 1,9 étoile sur 5. Un problème qui rappelle celui soulevé par l’application russe FaceApp à la fin du mois de juillet. L’application permet ici de » vieillir » un individu sur une photo grâce à des filtres. Même succès auprès des internautes, mais même critiques sur le manque de protection des données personnelles offertes par l’application. La manipulation audio fait des émules La manipulation audio est loin d’être anecdotique. Des applications maîtrisent déjà synthèse vocale partir d’une suite d’extraits audio fournis c’est le cas de la société Lyrebird, qui permet de créer une copie vocale en quelques minutes. Il suffit de lire à haute voix 30 extraits de texte en anglais. Il est ensuite possible à un escroc de faire lire n’importe quel texte à l’avatar vocal. C’est aussi le cas d’un générateur de texte baptisé GPT2, que ces développeurs ont toutefois décidé de ne pas rendre la version complète du logiciel. Les Gaffa s’emparent de l’affaire Plus encore que l’arnaque allemande, les géants du net craignent les débordements d’applis chinoises telle que Zao. Ainsi Facebook et Microsoft ont décidé d’investir 10 millions de dollars pour répondre au « défi de détection Deepfake », peut-on lire dans le Financial Times. La mission de ce projet est de stimuler la création d’outils capables de repérer des vidéos manipulées. Les deux entreprises se sont associées à des chercheurs en intelligence artificielle d’Oxford et Berkeley et d’autres pour détecter les vidéos dites « profondes », qui menacent de créer des campagnes de désinformation de plus en plus réalistes. Avec, en prime, un nouveau partenariat au pays de l’intelligence artificielle, une coalition qui compte deux autres Gafa parmi ses membres : Google et Apple, et les universités Cornell Tech et MIT. L’objectif est de concevoir des systèmes capables de détecter les légères imperfections d’une image falsifiée pour mettre en garde les internautes contre des messages détournés de la réalité. La principale crainte est de voir arriver sur les réseaux sociaux des vidéos