21.03.2023 - Dans le cas de tentatives d'arnaque au président, les cybercriminels collectent à l'avance des données publiques. Le plus souvent, ils s'approvisionnent sur les sites officiels des entreprises, sur lesquels figurent le nom et la fonction des employés. Les données disponibles sur les réseaux sociaux peuvent être utilisées à des fins malhonnêtes, comme le montre une attaque contre le service du personnel d'une entreprise signalée au NCSC la semaine dernière.
Dans le cas de tentatives d'arnaque au président, les cybercriminels font pression sur les responsables des finances des entreprises en se faisant passer pour leur directeur général et en leur ordonnant d'exécuter un versement prétendument urgent. Le plus souvent, ils affirment qu'il est impossible de les joindre par téléphone, soit parce qu'ils n'y ont pas accès, soit parce qu'ils sont en réunion. Les cybercriminels se procurent à l'avance les informations requises, à savoir le nom et l'adresse électronique du directeur et des responsables des finances, en consultant les sites officiels des entreprises visées. Ainsi, en cherchant à améliorer leur proximité avec leur clientèle, les entreprises s'exposent à des tentatives d'escroquerie.
Outre le scénario classique décrit ci-dessus, on observe depuis quelque temps des variantes de cette même arnaque. L'une d'elles, appelée la variante RH, prend pour cible les responsables des ressources humaines. Les cybercriminels se servent là aussi des données qu'ils trouvent sur les sites officiels des entreprises. Toutefois, c'est sur les réseaux sociaux qu'ils collectent de plus en plus souvent les informations dont ils ont besoin, comme le prouve une arnaque signalée au NCSC la semaine dernière.
Les services du personnel, cibles des arnaques au président
Dans la variante RH, le service du personnel reçoit le courriel d'un prétendu collaborateur demandant de recevoir son prochain salaire sur un autre compte. Pour mener à bien cette arnaque, le cybercriminel doit disposer du nom et de l'adresse électronique du responsable des ressources humaines ainsi que du nom d'un collaborateur. Dans le cas signalé au NCSC la semaine dernière, ces informations ne figuraient pas sur le site officiel de l'entreprise. C'est pourquoi, dans un premier temps, il a été supposé que les cybercriminels les avaient obtenues à la suite d'une tentative de piratage ciblant l'entreprise ou l'employé en question. Des recherches ultérieures ont toutefois révélé que ces informations avaient été recueillies sur les réseaux sociaux. En effet, certaines plateformes, comme Xing ou LinkedIn, ont pour objectif de mettre en relation des professionnels. Il est donc essentiel que leurs utilisateurs puissent y publier des informations sur leur qualifications. Dans le cas signalé au NCSC, le nom et la fonction du responsable des ressources humaines de l'entreprise étaient disponibles sur Xing.
Les cybercriminels ont également pu trouver sur cette plateforme le nom, le prénom et la fonction d'autres collaborateurs de l'entreprise ainsi qu'un lien direct vers leur profil. Ces informations leur permettent de cibler les collaborateurs qui perçoivent les salaires les plus élevés.
L'adresse électronique du service du personnel constituant souvent le premier moyen pour les éventuels candidats d'accéder à l'entreprise, elle est généralement disponible sur la toile. Dans le cas signalé au NCSC, les cybercriminels l'ont trouvée sur un autre réseau social.
En se servant de ces diverses informations, les cybercriminels prennent contact avec le service du personnel par courriel et demandent que le salaire du collaborateur dont ils ont usurpé l'identité soit versé sur leur compte. S'ils réussissent leur coup, il est heureusement fort probable qu'ils ne puissent pas aller plus loin. En effet, la fraude est découverte au plus tard à la fin du mois, lorsque la victime remarque qu'elle n'a pas reçu son salaire. Ce genre d'arnaque n'est donc pas particulièrement rentable pour les cybercriminels.
Faut-il interdire l'utilisation des réseaux sociaux?
À l'heure où le rôle des réseaux sociaux gagne en importance, il est évident qu'il ne sert à rien d'interdire l'utilisation de ces plateformes aux collaborateurs. Chaque entreprise devrait toutefois définir des règles pour préciser quelles informations ses employés peuvent partager sur Internet et lesquelles doivent rester privées.
Le nombre élevé d'informations disponibles en ligne profite assurément aux cybercriminels. Il est donc particulièrement important de sensibiliser à ces dangers tous les collaborateurs de l'entreprise autorisés à effectuer des paiements ainsi que les membres des services du personnel. Les coordonnées du compte sur lequel un salaire est versé ne devraient être modifiées qu'au moyen de méthodes de vérification ou après consultation de la personne concernée.
Reccomandations:
- Sensibilisez tous vos collaborateurs au risque d'arnaque au président. Les personnes qui travaillent au service des finances ou du personnel ou qui occupent des postes clés doivent impérativement être informées de ce risque. Dans les associations, il y a lieu de former tous les membres qui exercent une fonction de président ou de trésorier.
- Élaborez une marche à suivre pour expliquer la façon de modifier des coordonnées bancaires, même dans l'urgence. Il convient généralement de mettre en place une deuxième méthode de vérification (par ex. par téléphone).
- Définissez des règles pour préciser quelles informations relatives à l'entreprise les collaborateurs peuvent publier sur les réseaux sociaux.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 21.03.2023
