15.06.2021 - Le NCSC a reçu un nombre modéré d'annonces la semaine dernière. Un cas d'escroquerie au président a fourni un exemple de l'importance du principe du double contrôle pour prévenir les dommages. Les courriels frauduleux réclamant de prétendus frais d'envoi ou droits de douane pour des colis circulent depuis des mois. Bon nombre de ces annonces correspondent à des commandes qui ont effectivement été passées. Les victimes ont l'impression que les cybercriminels ont accès au système de l'administration des douanes ou au système postal. Mais ce n'est pas le cas.

Escroquerie au président évitée grâce au principe du double contrôle

Le NCSC recommande généralement d'appliquer le principe du double contrôle ou la signature collective à deux comme mesure de protection pour les paiements. Un cas rapporté au NCSC la semaine dernière a montré l'importance de cette mesure. L'escroquerie a commencé de manière habituelle: le soi-disant dirigeant a demandé par courriel au service financier si un paiement urgent pouvait être effectué rapidement. À ce stade, rien n'indiquait que l'expéditeur était un faux et que l'employé ne communiquait pas avec son supérieur. La correspondance sur les modalités de paiement a continué jusqu'à ce qu'il soit précisé que l'argent devait être viré sur un compte étranger. Conformément à la procédure, l'employé du service financier devait à ce moment-là obtenir la seconde signature de son collègue de travail pour déclencher le paiement. Cependant, celui-ci a immédiatement remarqué qu'il s'agissait d'une tentative d'escroquerie et le paiement n'a pas été effectué.

Sensibilisez tous vos collaborateurs au problème de l'escroquerie au président. Ceux qui travaillent au service financier ou qui occupent des postes clés doivent impérativement être informés au sujet de ces attaques potentielles. Dans les associations, il y a lieu de former tous les membres qui exercent une fonction de président ou de trésorier.
Tous les processus relatifs aux opérations de paiement doivent être clairement réglementés au sein de l'entreprise et respectés par les collaborateurs dans tous les cas (par ex. le principe du double contrôle ou la signature collective à deux).
De manière générale, ne divulguez aucune information interne et faites preuve de la plus grande vigilance avec les demandes de paiement. Ne donnez jamais suite à une demande de paiement inhabituelle.

Faux courriels annonçant un colis: une question de statistiques

Un courriel réclamant des droits de douane avait été reçu pratiquement en même temps que la vraie notification du bureau de poste indiquant qu'un colis était en route. Il doit donc y avoir une fuite de données à l'administration des douanes ou à la poste. De tels soupçons et d'autres du même genre ont fréquemment été communiqués au NCSC au cours des derniers mois. À ce jour, aucune fuite de données n'a toutefois été constatée à la poste ou à l'administration des douanes. Le fait que ces courriels arrivent en même temps est plutôt lié à des effets statistiques. En période de COVID-19, les commandes en ligne ont connu un véritable essor. Les escrocs aussi l'ont remarqué et, depuis l'apparition de la pandémie, ils ont intensifié l'envoi de courriels frauduleux de notification de colis réclamant des frais.

L'exemple suivant montre la forte probabilité que les deux événements coïncident dans le temps:

Si l'on part du principe qu'un huitième de la population suisse, soit environ un million de personnes (pour simplifier, supposons une population de 8 millions d'habitants), passe une commande en ligne par semaine et que les attaquants envoient 100 000 courriels à des Suisses en une semaine - ce qui est probablement une hypothèse plutôt basse -, alors, d'un point de vue purement statistique, 12 500 personnes reçoivent également un courriel frauduleux correspondant au cours de la même semaine où elles ont passé une commande en ligne.

L'envoi de ces courriels est une opération de masse pour les escrocs. Ils supposent que sur le très grand volume de marchandises commandé, il y aura forcément des victimes potentielles qui attendent un colis.

Ignorez les avis d'envoi de colis qui exigent le paiement de frais.
En cas de doute et si vous attendez un colis, veuillez vous renseigner auprès de l'entreprise de livraison concernée.
N'oubliez pas qu'aucune entreprise sérieuse ne demande à ses clients de payer des frais avec des cartes Paysafe.

Statistiques actuelles