Arnaque au président – Ingénierie sociale

Accueil - Entreprises - Arnaque au président – Ingénierie sociale
Toutes les méthodes utilisées consistent à obtenir la confiance de la victime. C’est ce qui la conduira à agir pour le bénéfice des criminels.

S'inscrire à la newsletter

S'inscrire à la newsletter

Arnaque au présidentActuel : arnaques à des clubs sportifs

Plusieurs clubs sportifs ont été victimes d’une arnaque au faux Président dans les cantons de Vaud et du Valais.

Un faux courriel du Président du club est adressé au caissier, lui demandant d’opérer immédiatement un virement sur un compte bancaire étranger afin de régler une facture.

En cas de doute, prenez contact téléphoniquement avec le soi-disant expéditeur du message pour demander confirmation.

En quoi consiste l’arnaque au président ?

L’arnaque au président, aussi appelée « ingénierie sociale », consiste à instrumentaliser des personnes afin de contourner les dispositifs de sécurité d’une entreprise. Le but est d’amener les personnes visées à effectuer des transferts d’argent, à trahir des secrets ou à divulguer des informations confidentielles.

Ce type d’arnaque se base sur la force de persuasion et se sert de la crédulité des victimes. Les malfrats se font passer pour un supérieur hiérarchique (directeur, membre du conseil d’administration, etc.), un avocat/notaire, un agent d’assurance, un employé de régie ou un partenaire commercial.

Déroulement d’une arnaque au président

Deux facteurs favorisent l’arnaque au président : d’une part la communication d’entreprise, qui s’effectue aujourd’hui majoritairement par courriel et, d’autre part, la structure interne de la plupart des grandes entreprises. Celle-ci est devenue si complexe que le risque de se faire prendre est minime. Le mode opératoire de ces escrocs de haut vol comprend quatre étapes.

1) Collecte d’information

Pour collecter des informations utiles sur l’entreprise, ses collaborateurs, ses partenaires et ses projets d’investissement, les criminels consultent le site internet de celle-ci, le registre du commerce, les médias sociaux, etc. Sur LinkedIn, par exemple, ils trouvent aisément des renseignements sur l’identité, la fonction et les relations commerciales des employés de l’entreprise visée. Ce sont surtout ceux du service financier qui les intéressent, puisqu’ils sont habilités à procéder aux transferts d’argent.

2) Prise de contact

Forts de ces informations, les escrocs établissent ensuite le contact via e-mail, par exemple en falsifiant l’adresse de l’expéditeur, une opération relativement simple à effectuer. Ils se font alors passer pour le président, le directeur exécutif ou un associé de l’entreprise et adressent leur demande de paiement directement à la personne concernée du service financier.

3) Mise sous pression

Cette personne est alors priée de procéder au virement d’une grosse somme sur un compte défini, pour des motifs allant du rachat confidentiel d’entreprise à l’établissement de nouvelles relations bancaires. Dans tous les cas, le paiement doit rester secret et être effectué aussi vite que possible. Les escrocs exercent une telle pression sur le responsable des opérations financières qu’il finit par faire l’impasse sur certaines étapes de la procédure sans mettre ses collaborateurs au courant. Souvent, le recours à un faux consultant ou à un cabinet d’avocat factice intensifie encore la pression exercée.

4) Paiement

Une fois le versement effectué, il est en général impossible de récupérer l’argent. Le compte du bénéficiaire a beau se trouver dans une banque reconnue à l’étranger, dès que l’argent y a été versé, celui-ci est ventilé sur d’autres comptes et sa trace se perd irrémédiablement.

Variante de l’arnaque au président : l’« e-mail phishing / hacking »

L’auteur pirate une boîte e-mail (phishing ou hacking) puis recherche et collecte les informations utiles pour lui dans le carnet d’adresse et la correspondance. Ces dernières serviront à la prise de contact avec la future victime. L’auteur utilise notamment l’adresse e-mail piratée et se fait ainsi passer auprès du destinataire pour le réel expéditeur du courriel envoyé. Des documents falsifiés comme des ordres de virement, factures, etc. serviront de justificatifs pour déclencher les transactions délictueuses.

Recommandations pour éviter l’arnaque au président

  • En cas de doute, vérifier l’origine d’un courrier électronique et chercher le contact personnel (direction, compagnie d’assurances, etc.).
  • Respecter le processus interne en cas de transaction d’argent (hiérarchie, compétence, consultation, principe des «quatre yeux», signature collective, etc.).
  • Chaque transaction doit faire l’objet d’une justification écrite (contrat, assurance-vie, etc.).
  • Ne pas se laisser mettre sous pression.
  • Éviter de transgresser les règles de sécurité internes et de violer les règles de confidentialité (sous prétexte d’une urgence).
  • Se garder d’utiliser le bouton « répondre » en cas de courriel douteux, mais rédiger un nouveau courriel. L’adresse électronique de l’auteur constitue une « contrefaçon » qui est souvent quasi identique à l’originale.
  • S’abstenir d’ouvrir des fichiers attachés douteux.
  • Avertir et sensibiliser les victimes potentielles, comme les collaborateurs du service comptabilité.
  • Mettre en place, si possible, un trafic sécurisé ou certifié des e-mails.

Sources : Police cantonale fribourgeoise et Prévention suisse de la Criminalité