Entreprises : attention aux usurpations d’identité

usurpation-identite

Les tentatives d’escroqueries sont en constantes augmentations. Faux courriers, demandes frauduleuses ou encore usurpations d’identité… de plus en plus d’entreprises affirment avoir été victimes de pratiques frauduleuses : 28% en 2020. Mais comment réagir ? Comment reconnaître une usurpation d’identité ? Capeos vous propose quelques pistes pour être averti et sensibilisé aux dangers de la fraude en entreprise.

L’usurpation d’identité, la première technique de fraude

Les techniques d’usurpation d’identité existent depuis de nombreuses années et ne cessent de se renouveler et de se perfectionner. Cette fraude consiste à dérober puis détourner les données d’identification d’une personne ou d’une entreprise pour voler ou réclamer des fonds à l’entreprise victime d’une fraude. Les emails sont la première cible des escrocs pour accéder aux données sensibles des entreprises via des invasions de spams et phishing.
Selon le baromètre Onfido, l’usurpation d’identité a augmenté de 41% dans le monde entier en 2020.

 

Les différentes techniques d’usurpation d’identité

Il existe un grand nombre de tentatives d’escroquerie, mais beaucoup d’entre elles usurpent l’identité d’une administration, avec notamment l’une des plus connues, l’usurpation de la Direction générale des finances publiques (DGFiP). L’entreprise reçoit un mail accompagné de faux formulaires, en ouvrant et en remplissant ces derniers, la structure malveillante récupère les informations sensibles et soutire de l’argent à l’entreprise victime. La DGFiP recense également d’autres tentatives d’usurpation de son nom, comme des demandes de règlement de factures non payées.
Ces tentatives frauduleuses ne se limitent pas à l’administration fiscale mais touchent d’autres secteurs tels que les banques, ou encore les distributeurs d’énergie. Par exemple, il existe également des tentatives d’usurpation de « faux fournisseurs ». L’entreprise victime reçoit un mail de l’un de son fournisseur habituel lui informant que les informations bancaires ont été changées. L’entreprise prend en compte ces nouvelles informations et réalise les futurs règlements sur ce nouveau compte bancaire. Le temps que le vrai fournisseur et l’entreprise victime discernent la fraude, des sommes ont d’ores-et-déjà été extorquées.
En bref, les cyber-escrocs préparent des emails travestis et s’en servent comme arme pour inciter les destinataires à s’intéresser à son contenu.
Si vous recevez ce type de message, soyez donc particulièrement vigilant, et contactez la personne directement avec les coordonnées que vous utilisez habituellement.

 

Comment repérer et réagir face à une tentative de fraude ?

Il est important de préciser que les usurpations d’identité ne sont pas des attaques de cybersécurité puisque la personne malveillante ne s’introduit pas dans le système informatique de l’entreprise, mais exploite un salarié pour voler des fonds à la société. Ainsi, pour se prémunir au maximum de ces tentatives de fraude, des formations de sensibilisation existent pour aider les salariés à adopter les bonnes pratiques pour tenter de déjouer les menaces. Même si certaines pratiques frauduleuses sont difficiles à repérer, de nombreux signes peuvent vous alerter.
Soyez attentif et redoublez de vigilance sur le contenu des messages. Voici une liste non exhaustive d’éléments qui doivent alerter :

  • Les fausses adresses mails ou autrement appelé le Spoofing (par exemple les adresses de la DGFiP contiennent toujours le suffixe @dgfip.finances.gouv.fr). Si vous avez pour habitude d’échanger avec le PDG de l’entreprise Dupont : pdg@dupont.fr et que vous venez de recevoir un mail de pdg@dupond.fr, il s’agit potentiellement d’une menace. Prêtez ainsi attention à toutes les éventuelles différences ou changements de dénominations ;
  • Le Spear Phishing, technique d’hameçonnage ciblée. Par exemple : « Bonjour Madame Gautier, votre RH Monsieur Dupont vous demande de remplir le formulaire via ce lien » ;
  • Le Phishing, il s’agit ici d’un email générique non ciblé envoyé à grande échelle. Exemple : « vous avez un colis en attente, merci de payer les frais de livraison pour le débloquer… » ;
  • L’ingénierie sociale, c’est un type d’escroquerie fondée sur la confiance d’une personne pour soutirer des infos pour faire du Spear Phishing ;
  • Les fautes d’orthographe, de syntaxe, les formulations de phrases étranges ou manquants de sens ;
  • Les demandes d’informations sensibles telles que les données bancaires.

À noter que les entreprises malveillantes perfectionnent toujours leurs mails en y ajoutant l’entête, le logo, les mêmes accroches… En cas de doute ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes du mail, ne répondez pas et supprimez le message de votre boîte mail.

 

Quelles solutions pour éviter les emails malveillants ?

Protégez vos emails, vos données privées et vos salariés en optant pour un logiciel de sécurité. Pour éviter les menaces en ligne telles que les campagnes de phishing vous pouvez utiliser certains logiciels tels que Sophos, Mailinblack ou encore Barracuda. Au-delà, vous pouvez à minima mettre en place dans votre entreprise ces quelques astuces :

  • Utiliser une version mise à jour de votre navigateur Web ;
  • Ne pas répondre aux courriers indésirables ;
  • Utiliser un antivirus ou des filtres anti-spam ;
  • Mettre en place une procédure stricte concernant le transfert d’argent ;
  • Instaurer la double authentification ;
  • Alerter vos salariés des potentiels risques.

Quelles que soient les attaques frauduleuses, il est important de comprendre les enjeux de procédures adéquates et d’une bonne prévention contre les usurpations d’identité.
Un projet ? Capeos vous accompagne dans les étapes clés de votre entreprise : expertise comptable, juridique, audit, RH, gestion de patrimoine, fiscalité, formation…

Nous conseillons...