Les particuliers, mais aussi les entrepreneurs, sont la cible de cyberfraude. Febelfin met en garde contre les criminels qui se font passer pour des employés de banque. Par le biais d’une forme sophistiquée d’escroquerie, ils tentent de dérober de grosses sommes d’argent sur des comptes professionnels.
Le nombre d’indépendants et de PME victimes d’escroquerie au compte à sécurité renforcée est en forte augmentation dans notre pays, avertit Febelfin, la fédération du secteur bancaire belge, bien que l’organisation ne dispose pas de chiffres exacts. Cette fraude se déroule généralement en une ou deux étapes. Tout d’abord, une entreprise reçoit un message de phishing d’un expéditeur qui semble digne de confiance à première vue – comme un secrétariat social, une banque ou un opérateur de télécommunications. Ce message contient un lien vers un site web. Après un bref moment d’inattention, le destinataire clique sur le lien. Le site sur lequel il atterrit alors a fière allure et ressemble parfois comme deux gouttes d’eau au site officiel de l’expéditeur présumé. “Les escrocs utilisent ce site pour collecter des informations personnelles sur la victime, telles que les coordonnées et parfois même les codes de connexion aux services bancaires en ligne”, explique Isabelle Marchand, porte-parole de Febelfin.
Dans un deuxième temps, la victime reçoit un appel téléphonique de l’escroc, qui se fait passer pour un employé de banque. Il l’avertit de l’existence de transactions suspectes sur le compte de l’entreprise. Avec les informations obtenues par le fraudeur lors de la première phase ou expédition de phishing, il peut se référer au solde du compte ou aux transactions récentes, par exemple. “Grâce à ces informations, le fraudeur peut gagner la confiance de la personne dupée, explique Isabelle Marchand. Il peut ainsi convaincre les employés de transférer une grosse somme d’argent sur un compte supposé sûr.”
Inattention
Bien entendu, ce compte sécurisé n’existe pas du tout. Une fois que la victime a effectué la transaction, l’argent a disparu à jamais. “Les fraudeurs utilisent souvent des comptes de passeurs pour transmettre rapidement leur butin, explique Jeroen Fiers, conseiller politique en matière de numérisation à l’Agence flamande pour l’innovation et l’entrepreneuriat (VLAIO). Il arrive également que les criminels sautent la première étape et appellent immédiatement la victime, la persuadant de transférer de l’argent sur un compte à sécurité renforcée ou de confirmer un transfert. Bien entendu, une banque ne vous demandera jamais de transmettre vos codes bancaires personnels pour transférer de l’argent sur un autre compte ni d’installer un logiciel pour vous aider à distance – ni par téléphone, ni par courrier électronique, ni par SMS, ni par les médias sociaux.”
Chaque entreprise, petite ou grande, court le risque d’être piratée un jour.” Patrick Hauspie, VLAIO
“Toutes les entreprises, grandes ou petites, courent le risque d’être piratées un jour ou l’autre, notamment par le biais de techniques de phishing qui tentent de tirer parti de l’étourderie ou de l’inattention des gens”, souligne Patrick Hauspie, conseiller de programme AI & cybersécurité chez VLAIO. Il est important de prendre un certain nombre de mesures techniques contre la cyberfraude, telles que les sauvegardes, l’authentification à deux facteurs, les mises à jour et les pare-feux. Mais souvent, les humains sont le maillon faible. C’est pourquoi les criminels ciblent souvent les employés des entreprises par le biais de la fraude au compte à sécurité renforcée et d’autres techniques d’hameçonnage.
Formation et simulations
“Les outils logiciels intelligents ne suffisent pas à mettre en œuvre une politique de cybersécurité solide. Chaque membre de l’entreprise doit être vigilant face aux tentatives de piratage”, souligne Jeroen Fiers. Il est important d’aiguiser la vigilance des employés face aux courriels frauduleux par le biais de formations, de campagnes et de simulations de phishing. Des accords clairs sont également nécessaires, tels que des directives indiquant où, comment et quand les employés peuvent utiliser les ordinateurs portables, les tablettes et les smartphones de l’entreprise. Ou encore qui a accès à quels logiciels et à quels mots de passe.
“Souvent, les entreprises ne savent pas à 100 % où se trouvent toutes leurs informations, qui y a accès, quelles sont les informations dont elles disposent ou ce que certains appareils et systèmes peuvent faire”, explique Patrick Hauspie. Il est également indispensable de disposer d’un cahier des charges contenant des procédures claires en cas de problème. Qui fait quoi ? Qui doit être contacté ? Comment limiter l’impact ?
“Surveillance de quartier”
Les entreprises peuvent s’assurer contre les dommages causés par les cyberattaques. Dans notre pays également, un certain nombre d’assureurs proposent de telles polices. Elles prévoient le paiement de dommages et intérêts dans des cas précis de piratage informatique. Pensez à un virus informatique qui paralyse une chaîne de production, à un employé qui clique involontairement sur un lien infecté et dont les documents deviennent illisibles, ou à un système qui tombe en panne et détruit des données. “Les entreprises ne peuvent pas se dédouaner de leur responsabilité et de leur sentiment d’insécurité en souscrivant une cyberassurance. Prévenir le piratage informatique est toujours mieux que le guérir”, rappelle Jeroen Fiers.
Pour obtenir une couverture de ce type, le secteur de l’assurance exigera des entreprises qu’elles répondent à des exigences encore plus fondamentales en matière de cybersécurité dans les années à venir. “Les entreprises pourraient également coopérer plus étroitement en matière de cybersécurité”, conclut Patrick Hauspie. Si elles entrent en contact avec des criminels qui tentent de les inciter à frauder leur compte bancaire, elles pourraient peut-être alerter d’autres entreprises, dans le cadre d’une sorte de “surveillance de quartier”. Le Centre pour la cybersécurité en Belgique s’acquitte déjà en partie de cette tâche aujourd’hui, par l’intermédiaire de la boîte aux lettres et de la page d’accueil de Safeonweb.
Cinq conseils
1. Ne cliquez jamais sur des pièces jointes ou des liens inconnus. Passez le pointeur de votre souris sur le lien sans cliquer et vérifiez que l’adresse web, souvent visible en bas du programme de messagerie, correspond au texte de l’hyperlien. Un lien cliquable provenant de economy.fgov.be et se présentant comme htttp://qs897.it/client952 est très suspect.
2. Ne communiquez jamais d’informations personnelles ou de codes bancaires d’entreprise (numéro de compte, code PIN ou code de réponse) par e-mail, SMS, téléphone ou médias sociaux. La banque ne vous demandera jamais de le faire.
3. La banque ne vous conseillera pas non plus de transférer l’argent de l’entreprise sur le compte d’un tiers. Il n’existe pas de “compte sûr”.
4. De même, la banque ne vous demandera jamais d’installer un logiciel (Anydesk, Teamviewer) pour prendre le contrôle de l’ordinateur à distance.
5. Vous recevez un message douteux ou un appel étrange et vous vous interrogez sur son authenticité ? Dans ce cas, soyez prudent et n’y donnez pas suite. Vous voulez plus d’informations ? Appelez la banque vous-même. Les escrocs ne peuvent pas intercepter cet appel. Transmettez également le message à suspect@safeonweb.be.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici