CybersécuritéDonnées Personnelles

La fraude au président

Le lundi 01 Juillet dernier sur 5/7matins on parlait de FRAUDE AU PRÉSIDENT. Ce fut l’occasion pour moi de mettre un accent sur les principales caractéristiques de ce fait ou on va dire phénomène.

Au prime abord la question qu’on se pose tout de suite est : la fraude en président c’est quoi?

En fait la fraude au président est  est un cas typique d’abus de confiance. Elle s’appuie sur la connaissance que les fraudeurs ont de l’entreprise cible, sur la mise en place d’un scénario crédible et sur leur capacité à contrôler psychologiquement la personne qui, malgré elle, va devenir leur complice.

Le principe

Usurper l’identité d’un donneur d’ordres pour exiger d’un collaborateur qu’il effectue un virement frauduleux, en prétextant l’urgence et la confidentialité.

Comment ça se passe ?

En se faisant passer pour un haut responsable de l’entreprise, le fraudeur (on ne va pas dire escroc) place le collaborateur en position de subordination hiérarchique. En position de force dans la relation, le fraudeur dispose de puissants ressorts pour manipuler sa victime. Il fait alors usage de l’autorité qu’on lui suppose « c’est un ordre que je vous donne là » tout en valorisant le collaborateur « je vous fais confiance ». Et on sait tous que vous n’allez pas recevoir un ordre de votre patron et le discuter , alors là non pas du tout. La victime en croyant obéir à son patron va tout simplement s’exécuter.

C’est l’une des dérivées de l’ingénierie sociale. Cette technique de piratage par e-mail est une version beaucoup plus complexe de ce que l’on connaissait autrefois sous le nom « d’arnaque nigériane ». Les arnaques au président ciblent les PME et grandes entreprises qui ont une activité internationale. En fait plus dans votre activité vous êtes sujets à utiliser des virements et là tout de suite vous devenez une cible.

Un petit test ça vous dit je suppose

Typiquement c’est une infraction punie par le CODE DU NUMÉRIQUE en vigueur au Bénin dans son article 566, Chapitre 10 du Livre Sixième

Quiconque, soit en faisant usage de faux noms ou de fausses qualités, soit en employant des manœuvres frauduleuses quelconques, se fait remettre ou délivrer des biens et valeurs par le biais d’un système informatique ou d’un réseau de communication électronique et a part un de ces moyens, escroqué tout ou partie de la fortune d’autrui est puni d’un emprisonnement de deux (02) ans à sept (07) ans d’une amende égale au quintuple de la valeur mise en cause sans qu’elle soit inférieure à un million (1 million) de francs CFA

Code du Numérique 229-Article 566 alinéa 1

Faisons un petit scénario mais  vous êtes prévenu que c’est un acte puni par la loi et toute personne voulant reproduire cela est responsable de ses actes…

Déjà il faut retenir que la personne qui veut utiliser cette technique sur votre entreprise la connait assez bien et connait aussi le personnel. Comment peut-il connaitre votre entreprise sans y entrer? et bien les réseaux sociaux.. C’est tout un tas de procédés tous aussi faciles que je ne vais pas mettre au jour au risque d’être enseignant de cette technique.

Une fois qu’il sait à qui il a à faire et connait donc les déplacements du supérieur hiérarchique ( le patron) il va tout simplement engager le contact avec sa victime. Sans trop de protocoles et avec les astuces de l’ingénierie sociale, il va tout simplement donner un ordre qui doit être exécuter instamment et dans les minutes. Connaissant le patron et ne voulant pas perdre votre boulot et bien vous allez juste vous exécuter.

Scénario :

Supposons que le patron est parti en voyage pour la chine ou il est parti rencontrer des partenaires et ramener de la marchandise. En tant que collaborateur direct vous avez monté tout le dossier et préparé avec lui ses documents de   voyage. Vous savez qu’il est parti pour un important dossier. Et on sait tous que le patron n’a pas la tête à faire des plaisanteries ou rire avec vous et même si c’est le cas c’est circonstanciel.

Vous savez tout ça et le fraudeur aussi il le sait. Comment? juste déjà parce qu’il est assez informé ou à pris votre ordinateur à distance par tout un tas de techniques. Voilà le décor planté. Un jour vous recevez un mail depuis la chine de votre supposé patron  ou même un sms whatsapp  qui vous dit ceci :

Estelle regarde sur mon bureau et envoie moi la photo de mon registre de commerce, et une photo de mon extrait de naissance. Notre partenaire viendra au Benin avec moi au retour. Veillez à tout remettre en ordre avant x date

Naturellement en position de subordonné(e) vous exécutez sans mot. Dans l’apres-midi il vous envoie un autre sms vous disant

j’ai besoin urgemment d’un complément de 10 million. Envoyez moi un virement sur le compte XX c’est urgent. Faites vite Je vous attends pour signer le contrat. Veuillez à garder la confidentialité sur la venue du partenaire. Je vous fais confiance sur mes affaires ne me décevez pas. Merci

Tout confiant de ce qualificatif vous faites le nécessaire pour le patron. A son retour vous vous rendez compte de votre bêtise.. Le mal est fait..

Que faire face à une demande inhabituelle ?

  • Respectez les procédures internes : elles ont justement été établies afin d’empêcher les fraudes.
  • Résistez à la pression et faites preuve d’esprit critique face à un interlocuteur trop pressant, si besoin en faisant appel à un collègue ou à un responsable.
  • Ecoutez votre intuition : si une demande vous paraît suspecte, c’est probablement qu’elle l’est !
  • Vérifiez la légitimité de la demande en effectuant un contre-appel vers un numéro déjà référencé ou mettant en œuvre la méthode prévue en interne.

Les bons réflexes pour limiter le risque de fraude :

  • Limitez la diffusion d’informations (réseaux sociaux, sites internet, modèles type de courrier, signature…) ;
  • Mettez en place des procédures internes sécurisées (double contrôle, respect des procédures, accès limité aux données sensibles) ;
  • Sensibilisez vos collaborateurs, surtout les services comptables et financiers ;
  • Soyez vigilant face à toute demande urgente ou confidentielle et qui ne respecte pas les procédures internes ;
  • Méfiez-vous de tout ordre de virement inhabituel (montant important, vers un compte inconnu ou un pays avec lequel l’entreprise n’a aucune activité).
Afficher plus

Fawaz MOUSSOUGAN

Consultant en cybersécurité, Alumni Yali Dakar : Public Management, Digital Grassroot Ambassador Contact@cyber-attitude.com

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
error: Contenu protégé !!
Fermer
Fermer