La fraude au virement est une menace omniprésente qui ne cesse de s'intensifier. De récentes évolutions liées à la pandémie de Covid-19, et le télétravail généralisé que cette dernière a occasionné, ont exacerbé les risques de cyberattaques. Comment les entreprises peuvent-elles déceler des activités frauduleuses sur leurs virements bancaires ? Quels sont les principaux moyens de s'en protéger ?
En tant que particuliers, nombreuses sont les personnes à pouvoir témoigner d’un cas de fraude vécu, que ce soit par carte bancaire ou par chèque. Les entreprises ne sont pas non plus à l’abri de ces pratiques frauduleuses. En 2016, le montant des escroqueries sur les fraudes déclarées représentait entre 300 et 450 millions d’euros*. Ce qui laisse penser que le montant global est bien plus important, car toutes les entreprises qui ont subi une fraude ne le rapportent pas.
Du grand groupe à la PME, par carte bancaire, chèque ou encore virement, les fraudeurs ne font pas de distinction et s’attaquent à tous. Or, lorsqu’on est une PME ou PMI, une fraude peut être extrêmement préjudiciable et mettre en péril la société. Notamment les fraudes sur virements bancaires, qui peuvent représenter des montants conséquents, allant jusqu’à plusieurs centaines de milliers d’euros. La récupération des fonds est difficile et cela peut poser un problème central pour l’entreprise, jusqu’à aller, dans certains cas, au dépôt de bilan. Comment identifier les fraudes sur virements bancaires et comment s’en prémunir ?
Identifier la fraude sur virement bancaire
Il existe 4 types de fraudes sur les virements bancaires aujourd’hui. Voici une explication de leurs mécanismes, de la plus courante à la moins répandue :
- L'arnaque à la facture fantôme : le principe est simple, l’escroc envoie une facture au service comptabilité de la société, celle-ci n’identifie pas que c’est une fausse facture et la règle. Les fraudeurs peuvent également noter « facture validée par le service X » pour lui donner encore plus de crédibilité. Ce type de fraude est très répandu, souvent d’un montant de quelques centaines d’euros. Cette arnaque est compliquée à déceler, de nombreuses entreprises ne se rendant pas compte qu’elles ont subi une fraude.
- Le changement de coordonnées bancaires de fournisseurs : le fraudeur collecte des informations sur les liens de l’entreprise avec des fournisseurs, puis envoie un email de mise à jour de coordonnées bancaires, en se faisant passer par le fournisseur officiel de l’entreprise. Celle-ci pense traiter avec la personne habituelle et effectue les paiements vers le compte de l’escroc au lieu de régler son fournisseur. Cette fraude, très répandue - c’est celle que les clients d’iBanFirst ont le plus rencontrée dans le passé dans leurs banques traditionnelles - peut avoir des répercussions plus lourdes que la précédente, est souvent de l’ordre de plusieurs dizaines de milliers d’euros.
- La fraude au président : en tant que particulier, vous avez sûrement reçu de nombreux emails d’escrocs se faisant passer pour des proches et vous demandant un virement immédiat pour les aider à sortir d’une mauvaise passe. La fraude au président en est le reflet dans le monde professionnel. Elle se fonde sur le même mécanisme : l’escroc récupère des informations pour connaître l’entreprise et ses dirigeants, via les réseaux sociaux par exemple. Il incarne ensuite l’un des dirigeants par email, en prétextant une opération financière urgente et confidentielle. Par pression ou par sentiment de confiance, l’entreprise exécute la transaction et l’escroc récupère l’argent, qu’il transfère vers des comptes à l’étranger. Ce type de cas est de plus en plus courant en France et peut atteindre des sommes non négligeables, de l’ordre de plusieurs centaines de milliers d’euros.
- Le malware bancaire : dernier cas, le moins courant mais le plus risqué : le malware bancaire. C’est une fraude sophistiquée, qui peut aller jusqu’au million d’euros escroqué. Les fraudeurs envoient un email à l’un des employés de l’entreprise visée, avec une pièce jointe. Celle-ci, sous une apparence inoffensive, est en fait un malware, comme un cheval de Troie par exemple. Le logiciel malveillant redirige vers une interface bancaire qui n’est pas l’interface réelle, mais qui y ressemble totalement, ou alors redirige vers un numéro de téléphone en signalant un problème sur le compte, numéro qui renvoie en fait vers le fraudeur. Ces opérations permettent aux escrocs de transférer rapidement des montants importants vers des comptes offshore, et lancent parfois des attaques informatiques DDoS contre l’entreprise victime, pour la détourner de la fraude.
Il est important d’avoir connaissance de ces différents mécanismes pour s’en protéger au mieux, ces opérations n’étant pas inhabituelles et les fraudes devenant de plus en plus sophistiquées.
Comment se protéger de la fraude sur virement bancaire ?
Il existe plusieurs bonnes pratiques simples pour permettre de se protéger des fraudes sur virement bancaire.
La recommandation la plus importante pour les entreprises afin de se protéger de la fraude bancaire est de toujours vérifier auprès de son fournisseur la véracité des informations. Cela peut par exemple être de téléphoner à son fournisseur pour s’assurer des coordonnées bancaires avant d’effectuer tout virement et demander des RIB qui émanent directement de la banque, plutôt que des coordonnées bancaires intégrées directement dans un mail.
Il est important d’intégrer tous les éléments de connaissance qui se rapportent à un fournisseur précis dans une base de données, avec ses coordonnées bancaires, le nom des personnes de contact, les emails avec noms de domaine, le numéro de téléphone. En cas de modification des coordonnées bancaires, il est primordial de les faire valider par un responsable et surtout de réaliser des vérifications supplémentaires dès qu’une donnée change par rapport à votre fournisseur.
Si vous avez des suspicions de fraude, utiliser 2 canaux différents de communication pour vérification, par exemple l’email et le téléphone. Enfin, dans le cadre des grands fournisseurs de l’entreprise, il est important de réaliser des contrôles stricts et réguliers, pour s’assurer de la sécurité des transactions.
De façon globale, il faut faire particulièrement attention à la cohérence des informations et vérifier en interne la validité des demandes. La majorité des fraudes pourraient être évitées en prêtant un œil attentif à la cohérence des informations et en effectuant des vérifications supplémentaires en interne. Cela concerne autant la fraude au président, que les changements de coordonnées bancaires ou les fausses factures.
Ensuite, assurez-vous d’être bien protégé techniquement parlant.
- L’antivirus est un incontournable, pour s’assurer que les pièces jointes que vous recevez ne sont pas malveillantes.
- Toujours utiliser un ordinateur interne pour réaliser les virements bancaires, jamais d’ordinateur tiers, sauf en connexion VPN.
- Il est fortement conseillé de mettre en place des systèmes d’authentification à deux facteurs pour vous connecter à vos comptes bancaires. Chez iBanFirst, c’est incontournable, la sécurité de nos clients étant notre priorité.
Enfin, il est important de former son équipe à ces sujets. En effet, dans plus de 95% des cas la fraude est liée à une erreur humaine. Expliquer les mécanismes à vos collaborateurs, effectuer des formations avec exemples de fraudes à l’appui, inciter vos équipes à vérifier systématiquement l’identité d’une personne demandant des informations sur l’entreprise, limiter la diffusion d’informations concernant votre société et vos collaborateurs sur internet sont autant de moyens de limiter les risques de fraudes.
Ne négligez pas l’aspect de la formation, cela peut faire toute la différence. Chez iBanFirst, nous effectuons des formations régulières sur les sujets de fraude. Pour vous assurer que la sensibilisation de vos équipes est efficace, vous pouvez utiliser des logiciels qui simulent des emails avec pièce jointe ou qui demandent des informations sur l’entreprise, qui vous permettent de récupérer la donnée sur les gens qui cliquent ou répondent à l’email. Cela vous permet d’aller rediscuter de ces sujets avec les collaborateurs qui ont cliqué ou répondu à l’email, afin de limiter au maximum la réalisation d’une fraude dans ces mêmes conditions.
Comment recouvrir les sommes des opérations frauduleuses ?
Si, malgré toutes ces bonnes pratiques, vous êtes victime d’une fraude sur virement bancaire, il est nécessaire de réagir promptement, le temps étant crucial dans ce type d’affaires. Dès suspicion d’un cas de fraude, il faut alerter son supérieur hiérarchique ainsi que l’établissement qui a envoyé les fonds. En fonction du timing, cela peut permettre de stopper le virement. 48h après avoir effectué le virement, les fonds ont malheureusement de fortes chances d’avoir déjà été transférés à l’étranger, ou utilisés.
Bien entendu, accompagnez vos actions d’un dépôt de plainte. Une semaine après le virement, les chances de recouvrir les sommes escroquées chutent, et il vous faudra vous en remettre au travail de la police et à la saisie potentielle des fonds.
Il faut noter qu’il est peu probable de récupérer l’ensemble de la somme envoyée par erreur, et les délais de recouvrement sont longs.
La fraude bancaire est une réalité pour toutes les entreprises et peut réellement mettre en danger la viabilité des PME - PMI. Sécurité informatique, vérification des informations systématique et formation de votre équipe sont votre tiercé gagnant pour limiter au maximum les risques.
Catégories