Plusieurs ont été victimes de l'arnaque communément appelée la "fraude du président" au cours des dernières années en Europe et en Amérique du nord. Les auteurs de cette fraude ont ainsi empoché des centaines de millions de dollars auprès d'organisations de tous genres au cours des cinq derrières années. À titre d'exemple plus près de chez nous, la Coop Fédérée s'est fait subtiliser 5,5M$ en août 2014 par l'entremise de ce stratagème (voir La Presse).
Cueillette des informations
Ingénierie sociale
Les fraudeurs font valoir de faux prétextes pour communiquer avec différentes personnes de l’organisation ciblée, le plus souvent par téléphone, pour demander des bribes d’informations de chacun, informations qui sont ensuite combinées pour constituer un dossier complet qui leur permet de passer à l’attaque:
«Je dois envoyer une communication au président ou vice-président finance (personne autorisée à faire des transferts de fonds), est-ce que je pourrais avoir son nom, numéro de téléphone et adresse courriel s’il vous plaît ?»
"J’appelle au nom de l’organisateur de telle ou telle conférence (qui est susceptible de revêtir un intérêt pour le président ou vice-président finance de l’organisation ciblée) et j'aimerais confirmer sa présence à telle date."
"J’appelle de telle agence de voyage et j’aimerais confirmer les dates de départ et de retour du président ou vice-président finance en lien avec ses vacances."
"J’appelle de la banque et j’aimerais confirmer le nom et le poste de la ou des personnes autorisées à initier des transferts de fonds électroniques dans votre organisation."
"Avec qui dois-je communiquer pour obtenir le paiement du compte qui m'est dû? Et si cette personne est absente, avec qui d’autre?"
La combinaison de ces informations permet aux fraudeurs d’obtenir le nom du président ou vice-président finance, son adresse courriel, quand il sera absent du bureau et qui le remplace pendant son absence…
Courriels d’hameçonnage («Phishing»)
Une autre façon pour les fraudeurs d'obtenir l'information nécessaire à leur fin consiste à envoyer des courriels d'hameçonnage qui ont l’apparence de provenir d’institutions connues et qui contiennent des hyperliens (cachés ou apparents) dont l’objet est de recueillir l’information personnelle du ou des destinataires, tel leur log-in au bureau, et/ou d’installer un ou des logiciels malveillants sur leur poste de travail en vue de d'enregistrer les données entrées par l'utilisateur ou de pénétrer le réseau informatique de l’organisation ciblée.
Un fois qu’un des destinataires de ces courriels a «mordu à l’hameçon», cliqué sur les hyperliens frauduleux et fourni l’information demandée, les fraudeurs ont tout ce qu'il faut pour pénétrer le réseau informatique de l’organisation ciblée et obtenir toutes sortes d’informations confidentielles qui leur permettent de perpétrer diverses fraudes au détriment de l’organisation ciblée: vol de fonds, vol de propriété intellectuelle ou secrets de commerce, etc.
L'attaque...
Quelle que soit la méthode utilisée pour obtenir l’information pertinente, le but ultime de la fraude du président consiste à s’approprier des fonds de l’organisation ciblée.
L'approche habituelle consiste à déterminer quand la personne chargée d’autoriser les transferts de fonds (généralement le président, le vice-président finance ou le contrôleur) est absente du bureau et qui la remplace pendant son absence. Ensuite, il s'agit de placer le remplaçant sous pression.
L’approche la plus souvent utilisée consiste à envoyer un courriel au remplaçant qui donne l’apparence de provenir du supérieur absent et qui élabore un scénario plausible pour inciter le remplaçant à transférer des fonds aux fraudeurs. Le scénario le plus courant consiste à informer le remplaçant que son supérieur travaille activement sur un dossier ultra confidentiel, tel que l’acquisition d’une entreprise, et que des fonds doivent être transférés immédiatement afin de ne pas perdre cette opportunité extraordinaire qui ne sera plus disponible sous peu.
Naturellement, les fraudeurs insistent pour que le tout demeure ultra confidentiel et qu’il faille agir en toute urgence.
Le courriel envoyé au remplaçant contient généralement le nom d’un avocat fictif et indique que celui-ci va communiquer avec le remplaçant dans les minutes qui suivent afin de lui donner les coordonnées pour effectuer le transfert de fonds. Un appel provenant d’un numéro fictif suit quelque temps après et les informations relatives au transfert des fonds sont alors communiquées au remplaçant qui, malheureusement, donne trop souvent suite aux instructions des fraudeurs et transfère les fonds électroniquement. Aussitôt arrivé à destination, les fonds ainsi subtilisés sont immédiatement transférés vers d'autres institutions financières à travers le monde et disparaissent, trop souvent, à jamais…
Comment contrer la fraude du président : Le gros bon sens…
Il faut faire preuve de scepticisme face aux gens qui appellent au téléphone pour demander des informations concernant le personnel de l’organisation ciblée qui pourront ensuite être utilisées contre cette dernière. En règle générale, il est prudent d’enjoindre les employés de ne pas fournir l’information demandée mais plutôt de demander le nom de la personne qui appelle, son numéro de téléphone et de l’informer que quelqu’un la rappellera sous peu pour faire le suivi. Règle générale, les fraudeurs raccrochent et passent à une autre cible et les gens qui appellent pour des raisons légitimes n’ont pas d’objection à fournir un numéro de rappel.
En outre, les employés devraient être avisés de ne jamais procéder à des transferts de fonds sur la seule foi d’instructions contenues dans un courriel provenant (ou, dans de tels cas, ayant l’apparence de provenir) d’un supérieur. Ils devraient être invités à appeler le supérieur concerné et confirmer avec lui de vive voix la demande reçue par courrier électronique avant d’agir sur ces instructions.
Il est également prudent d’enjoindre les employés d’éviter de cliquer sur tout hyperlien contenu dans tout courriel reçu, à moins d’être absolument certain que ces courriels proviennent de sources légitimes. Le simple geste de passer le curseur par-dessus le nom de l’expéditeur, sans cliquer, révèle son adresse courriel. Il arrive encore souvent que les adresses courriel ainsi révélées ne correspondent pas aux vraies adresses courriel (nom de domaine, etc.) des organisations ou institutions dont ces courriels sont censés provenir.
Si vous recevez des courriels non sollicités qui semblent provenir d’une organisation ou institution avec lesquelles vous faites effectivement affaire et que vous êtes tentée d’en savoir plus, éviter de cliquer sur tout hyperlien contenu dans ces courriels et entrer vous-même l’adresse du site web de l’organisation ou institution avec lesquelles vous faites affaires dans la barre d’adresse de votre fureteur afin d’éviter de vous retrouver sur un site piraté dont le seul objectif est de vous voler votre nom d’utilisateur et votre mot de passe. Règle générale, les organisations et institutions légitimes ne demandent pas à leurs usagers de confirmer leurs informations confidentielles par courriel…
Que faire quand un employé a mordu à l’hameçon
Le temps est compté. Appeler votre banquier dès que possible afin qu’il puisse tenter d’annuler ou de renverser les transferts de fonds. Il y a très peu de temps pour agir, il faut donc agir avec diligence. En règle générale, les fraudeurs transfèrent l’argent volé vers plusieurs destinations internationales dès qu’ils reçoivent les fonds de leurs victimes. Une fois que l’argent a été dispersé dans plusieurs juridictions, il devient très difficile de le récupérer. Il est prudent de bloquer l’accès à votre réseau tant que vous n’êtes pas raisonnablement certain qu’il n’a pas été compromis.
Chez Lepage Marcil David Juricomptables inc., nous pouvons vous assister dans l'élaboration et l’exécution de simulations pour mettre vos employés à l'épreuve ainsi que pour les former à éviter ces types de fraudes. Nous pouvons également vous conseiller et constituer une équipe d’experts pour tenter de limiter vos dommages.
Pour de plus amples informations concernant la présente ou pour en savoir plus concernant nos services, vous pouvez me joindre à luc.marcil@lmd-cpa.com ou au 514 664-4747, poste 200.
Luc Marcil, LL.L., CPA, CA, CA•EJC, CFF
Associé principal