L’USURPATION D’IDÉNTITÉ SUR INTERNET

La technique préférée des pirates contre les entreprises !
 

Parmi les types de fraude affectant les entreprises, l’usurpation d’identité se détache singulièrement et arrive en tête des techniques utilisées par les pirates qui multiplient les attaques pour arriver à leurs fins. Mais quelles formes prend-elle ? Peut-on s’en prémunir ?

À propos de l'auteur, Raphaël Tessier

Expert en noms de domaine depuis plus de 15 ans, il conseille les entreprises et les professionnels sur tous les aspects du nommage. Il les aide à faire les bons choix et à prendre des mesures concrètes pour lutter contre toutes les formes d’atteinte ou de fraude sur Internet pour protéger leur chiffre d’affaires. Son expertise permet en outre de rationaliser les coûts liés aux noms de domaine.

TECHNIQUES DE FRAUDE

La fraude au faux fournisseur

Il s’agit d’une attaque par ingénierie sociale, appelée parfois « science du piratage humain », qui permet de manipuler un individu en invoquant, par exemple, le caractère d’urgence d’une action. Le principe est on ne peut plus simple : le fraudeur, se faisant passer pour un fournisseur de l’entreprise, signale au service comptable un changement de compte bancaire destiné au règlement des factures. Ni vu ni connu jusqu’au moment où le vrai fournisseur réclame les sommes qui lui sont dues… Un exemple ? Celui de l’entreprise Michelin, victime en 2014 d’une arnaque à hauteur de 1,6 millions d’euros. Pourtant, dans ce cas, un simple appel auprès du fournisseur afin de vérifier ses coordonnées bancaires aurait suffi à éviter le piège tendu.

Si vous êtes victimes d'une fraude au faux fournisseur, contactez un expert EBRAND.

La fraude au faux président

Elle consiste à convaincre le collaborateur d’une entreprise d’obéir à un prétendu ordre du dirigeant. Le plus souvent, il s’agit d’effectuer en urgence un virement important à un tiers sous prétexte d’une dette à régler, d’une provision à verser sur un contrat en cours ou autre. Ça peut aller loin, comme le prouve la fraude ayant visé en 2018 le groupe de cinéma Pathé via sa filiale aux Pays-Bas : les fraudeurs ont réussi à convaincre le directeur financier et la directrice de la filiale de transférer 19,2 millions d’euros destinés à financer une prétendue acquisition à Dubaï. Le moyen utilisé : des emails envoyés depuis une fausse adresse électronique semblant provenir de la direction du Groupe !

Si vous êtes victime d'une fraude au faux président, contacter un expert EBRAND.

La fraude au faux client

Elle consiste à détourner de la marchandise en se faisant passer pour un prospect ou un client. Elle est suffisamment fréquente pour que la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes alerte les entreprises sur l’existence de telles escroqueries. Car le mode opératoire des fraudeurs ne laisse rien au hasard : le soi-disant client fournit les coordonnées d’un distributeur, français ou étranger, dont l’identité a été usurpée, ainsi que les documents susceptibles de mettre le vendeur en confiance (extrait K-Bis, compte bancaire…). Il ne lui reste qu’à passer une grosse commande payable à 30 ou 45 jours après réception. Payable oui, mais…

Si vous êtes victime d'une fraude au faux client, contacter un expert EBRAND.

LA PRÉVENTION

Déjouer ce type de fraude relève essentiellement de mesures de bon sens qu’on a tous tendance à négliger par manque de temps, surcharge de travail ou simple fatigue… Pourtant l’humain n’est pas seul en cause. Aussi élaborée soit-elle, l’usurpation d’identité repose la plupart du temps sur un faux nom de domaine (typosquatting), une fausse adresse mail (phishing), un faux profil réseaux sociaux, un faux site web, une fausse annonce (places de marché), une fausse facture… Autant de “faux” qu’il est possible d’anticiper en appliquant ces mesures préventives :

Surveillez les enregistrements de noms de domaine

De nos jours, ne pas surveiller Internet revient à conduire sans ceinture de sécurité ! Le premier geste de prévention consiste donc à détecter ces faux avant qu’ils ne soient exploités par les pirates. Afin de prémunir votre société contre la fraude et contrôler plus largement votre activité sur Internet, il est recommandé de mettre en place :

• Une SURVEILLANCE DES NOMS DE DOMAINE LIÉS À L’ENTREPRISE, pour êtes alerté dès qu’un pirate dépose un nom de domaine similaire et agir au plus vite. Attention à ne pas confondre surveillance de noms de domaine et surveillance de marques : il s’agit de deux services différents, complémentaires et non substituables l’un à l’autre. 

• Une SURVEILLANCE DES MOTS-CLÉS LIÉS À VOTRE ACTIVITÉ, pour assurer une veille concurrentielle. Sachez que, pour certaines extensions comme le .FR, il est même possible d’être alerté dès qu’un nom de domaine est déposé par une société identifiée.

Et n'oubliez pas d'ajouter systématiquement à la liste noire de votre système informatique les noms de domaine frauduleux identifiés. Rappelons qu’une surveillance de noms de domaine chez EBRAND vaut entre 75 et 429 euros par mois, un « budget sécurité des noms de de domaine » relativement modeste eu égard aux risques encourus. En effet, s’en passer peut coûter très cher à l’entreprise comme en témoignent les exemples que nous avons cités.

Enfin, sachez qu’au-delà de la surveillance des noms de domaine, il est possible de surveiller plus largement les contenus publiés sur Internet, les marketplaces (Alibaba, Le bon coin…) afin d’identifier les ventes de produits sans contrat de distribution ou les produits contrefaits, et les réseaux sociaux où les faux comptes et la contrefaçon prolifèrent (Facebook, Instagram…).

Pour en savoir plus sur les outils de surveillance de l'Internet, contactez un expert EBRAND.

Restez méfiant face à l'urgence

L’urgence de la demande doit alerter, davantage encore lorsqu’elle arrive le vendredi soir à 18 h 00. Il est d’autant plus impératif de prendre le temps d’effectuer les vérifications qui s’imposent et de respecter les procédures internes mises en place, quelle que soit l’urgence ou la confidentialité invoquée. Cette vérification doit prendre la forme de :

• Un contre-appel auprès du partenaire commercial ou financier, en utilisant les coordonnées figurant dans le fichier interne de l’entreprise ;
• Une consultation des factures antérieures en cas de rappel pour non-paiement et une vérification systématique des coordonnées bancaires avant de procéder à tout règlement ;
• Une contre-validation orale et de visu auprès de sa hiérarchie (les outils de visio-conférence s’y prêtent fort bien, même et surtout en télétravail).

Activez la double authentification

Oui, une procédure de validation des ordres (financiers, d’achat ou de livraison) doit être clairement définie et respectée au sein de l’entreprise. Peu importe sa taille. Activez l’authentification à deux facteurs partout où c’est possible et notamment pour accéder aux interfaces bancaires, registrar, fournisseurs… Celle-ci permet de renforcer la sécurité de la connexion à votre compte en ligne en ajoutant une étape de validation complémentaire. Ainsi la réception d’un code unique sur votre smartphone complète le traditionnel couple “nom d’utilisateur-mot de passe”.

Sensibilisez tous les collaborateurs de l'entreprise

Les collaborateurs de l’entreprise doivent être conscients que celle-ci peut être à tout moment victime d’une tentative d’escroquerie. Ainsi vous devez communiquer sur l’importance des procédures et présenter des exemples concrets de fraude. Relayer en interne les articles qui en parlent est un bon réflexe. Chefs d’entreprise et cadres dirigeants doivent être les premiers à respecter les procédures même si celles-ci sont contraignantes.

RÉAGIR

Agir avant d’être victime !

Sans être exhaustifs, les conseils ci-dessus permettent de limiter les risques d’incidents. N’hésitez pas à impliquer tous les services de l’entreprise afin d’identifier les potentiels points sensibles liés à votre activité. Personne ne peut savoir quand il sera victime d’une cyberfraude mais chacun peut anticiper les risques afin de les minimiser. La surveillance de l'Internet s’intègre à la stratégie de gestion des risques de l’entreprise.

Les surveillances proposées par EBRAND permettent d’être alerté au plus vite lorsqu’un nom de domaine frauduleux est détecté. Nos équipes spécialisées peuvent ensuite vous conseiller sur les actions à mener afin d’éviter des dommages préjudiciables à l’entreprise.

Prenez dès maintenant les mesures qui s’imposent pour protéger l’activité de votre entreprise sur Internet !

QUI CONTACTER ?