La manipulation : meilleure arme des fraudeurs

La très grande majorité des fraudes a pour origine une erreur humaine. À tel point que les développeurs informatique ont l'habitude de dire qu'en termes de sécurité, le problème se situe généralement entre le clavier et la chaise. De fait, si les ordinateurs et les réseaux présentent des failles qui peuvent être exploitées par des attaquants, les humains sont bien plus faillibles et faciles à manipuler.

Les techniques de fraude et le hacking

L'une des plus vieilles disciplines du hacking s'appelle le social engineering. Il s'agit d'un ensemble de techniques dont le but est de tromper et de manipuler un interlocuteur. Popularisé par le hacker Kevin Mitnick dans L'Art de la supercherie paru en 2002, c'est une discipline réputée facile à mettre en oeuvre puisqu'elle ne demande pas de compétences techniques particulières. En 2002, de nombreux escrocs utilisaient des techniques de social engineering lors d'appels téléphoniques pour se faire passer pour quelqu'un d'autre.

En 2020, des sécurités sont en places pour limiter les risques du social engineering : cela peut-être une demande de confirmation de date de naissance ou d'adresse lorsque vous appelez votre opérateur téléphonique par exemple. Ces sécurités existent parce que des fraudeurs ont profité de leur absence pour obtenir des informations auxquels ils ne devaient pas avoir accès. Les opérateurs téléphoniques s'en sont rendu compte et ont décidé d'ajouter des points de contrôle pour vérifier l'identité des appelants. De manière générale, les organisations tardent à mettre en place des procédures de contrôle tant qu'elles n'ont pas subi d'attaque réussie. En France, il est par exemple fréquent de rencontrer des entreprises qui ne disposent pas d'outils de contrôle des RIB alors que la fraude au RIB est simple à exploiter, c'est l'une des raisons pour lesquelles 25% des entreprises subissent une fraude de grande ampleur chaque année.

Démonstration par l'exemple de la facilité de la fraude au changement de RIB

Je représente une société de 200 personnes. Mon département finance est constitué de 6 personnes. J'ai déjà participé à une session de formation au sujet des fraudes externes et l'on m'a expliqué qu'il faut toujours procéder à un contre-appel avant de changer un RIB, cela me paraît évident.

Êtes-vous certain que vos collaborateurs procèdent bien à ce contre-appel à chaque fois qu'ils reçoivent une demande de changement de RIB ? Êtes-vous sûr que vos collègues savent déjouer les pièges des fausses adresses e-mail ? Vérifient-ils systématiquement le pays de domiciliation du compte associé au RIB qu'ils ont reçu ? Même avec d'excellentes procédures anti fraude, vous restez vulnérable au social engineering, comme le prouve l'anecdote suivante.

En 2020, un ado de 17 ans a réussi à envoyer des Tweets avec les comptes Twitter de nombreuses personnalités comme Elon Musk ou Joe Biden. Comment a-t-il fait ? Simplement en appelant le service informatique de Twitter et en se faisant passer pour un employé ayant perdu son mot de passe d'administration. Parce qu'il a utilisé des techniques de social engineering pour être convaincant et manipuler son interlocuteur, il a réussi à obtenir un accès à un compte d'administration. Avec un simple coup de fil !

Twitter est l'une des entreprises les plus avancées en matière de sécurité informatique. Si cette entreprise a pu se faire manipuler, personne ne peut se targuer d'être à l'abri d'une fraude. Précisément parce que les humains commettent des erreurs.

Plus un attaquant a d'informations pertinentes sur votre entreprise, plus il a de chances d'arriver à vous manipuler et à vous convaincre de ne pas respecter une procédure de sécurité. Vous pouvez trouver louche de recevoir un appel entrant d'une personne se présentant comme un employé de Microsoft qui a trouvé un virus sur votre ordinateur. Par contre, si cette même personne connaît votre numéro de licence Windows, il est probable que vous allez baisser votre niveau de suspicion.

Que faire pour se protéger des fraudes

La technologie n'est pas un remède miracle; d'autant plus que l'informatique n'est pas le domaine d'expertise du département Finance. Il est très facile de se sentir protégé tout en étant vulnérable.

Trois points sont clés :

• Les collaborateurs doivent être sensibilisés régulièrement à ces problématiques.
• Vous devez mettre en place des procédures de contrôle pour chaque action à risque.
• La technologie doit permettre d'empêcher vos collaborateurs de contourner les procédures.

Quel type de procédure pour contrer la fraude aux changements de RIB ?

1. En cas de demande de changement de RIB reçue par e-mail, la première étape consiste à vérifier l'identité de la personne qui vous a envoyé une demande.
2. La seconde étape consiste à procéder à un contre-appel. À cette étape, il est capital de disposer d'une information de contact fiable du fournisseur dans une base de données KYC. Sans un outil de ce type, votre collaborateur peut décider d'utiliser le numéro indiqué dans la signature du mail qu'il a reçu pour valider la demande de changement de RIB, or ce numéro peut être celui du fraudeur qui a envoyé le mail.
3. La troisième étape est de vérifier que la demande de paiement est liée à une commande réelle. Il est capital d'avoir une procédure en place pour relier chaque paiement à une facture et un bon de commande ou un devis signé.
4. La dernière étape est de vérifier que le compte RIB reçu est associé à un compte bancaire qui appartient effectivement à votre fournisseur.

Paylev a conçu un outil de vérification qui vous permet de vérifier qu'un RIB est bien lié au SIREN de votre fournisseur. Plus largement, la plateforme de gestion des fournisseurs Paylev vous permet de structurer la relation avec vos partenaires pour lutter contre la fraude et gagner en efficacité.