Entre 2016 et 2019, Business Email Compromise (BEC) scams a coûté aux organisations américaines 3,1 milliards de dollars américains en pertes et aux organisations canadiennes 33,6 millions de dollars américains. Ce type d’escroquerie omniprésente cible les grandes et les petites entreprises. Aux États-Unis, la fréquence des escroqueries BEC a triplé au cours des trois dernières années, environ 80 % des entreprises étant ciblées.
Les escroqueries BEC peuvent être difficiles à identifier et encore plus difficiles à récupérer. Pour cette raison, il est impératif de comprendre les types courants d’escroqueries BEC et d’adopter des stratégies pour protéger vos entreprises contre les victimes.
Vous trouverez ci-dessous quelques formes courantes d’escroqueries BEC et des conseils pour que votre organisation se protège contre cette fraude. Il n’existe pas de solution unique pour résister aux escroqueries BEC, car votre stratégie de gestion des risques dépend de votre situation spécifique.
Malgré la forte exposition aux escroqueries BEC, les entreprises continuent d’être régulièrement escroquées. Souvent, les entreprises supposent qu’elles sont en sécurité parce qu’elles croient avoir suffisamment de politiques et de mesures de protection en place, pour découvrir plus tard qu’il y avait une lacune dans leur politique ou qu’il n’y avait pas suffisamment de formation pour les employés concernés.
Les escroqueries BEC visent à mal diriger les paiements ou la transmission d’autres choses de valeur. Traditionnellement, les escroqueries BEC ciblent les employés d’entreprises et d’organisations autorisées à virer de l’argent, à payer des comptes ou à accéder à des informations autrement confidentielles. Se faisant passer pour des cadres, des vendeurs ou des fournisseurs, les fraudeurs correspondent généralement par courriel avec un employé de l’entreprise qui tente d’exploiter la capacité de l’employé à accéder à des informations ou à autoriser certaines transactions.
L’escroquerie BEC la plus connue commence par un e-mail d’un fournisseur ou d’un employé connu demandant de modifier les détails de paiement de son compte.
Cet e-mail frauduleux peut provenir de l’adresse e-mail authentique associée au fournisseur / employé (parce que le fraudeur a infiltré le compte de messagerie du fournisseur), ou d’un compte de messagerie qui est si similaire à l’adresse authentique qu’il est facile de manquer la différence. Il se peut que le fraudeur connaisse tous les détails sur le paiement à venir du fournisseur. Ou le fraudeur peut connaître le nom du représentant du fournisseur et les détails du paiement à venir (parce que le fraudeur a compromis les comptes de messagerie de l’organisation et a accès à tous ces détails).
L’e-mail peut contenir diverses caractéristiques d’authenticité:
Ne vous fiez à aucun de ces facteurs (seuls ou en combinaison) pour authentifier la demande de modification.
Un autre type de fraude BEC implique un e-mail qui est prétendument du PDG ou d’un autre cadre supérieur ordonnant au destinataire de virer des fonds à un tiers sur une base urgente. Une version différente de cette escroquerie implique un courriel du PDG / cadre supérieur demandant au destinataire d’acheter des cartes-cadeaux et d’envoyer les numéros de carte-cadeau par courriel au PDG / cadre supérieur, souvent sur la base présumée qu’ils sont pour un événement d’entreprise ou un client important.
La même règle s’applique que celle énoncée ci-dessus : ne vous fiez pas aux caractéristiques habituelles de l’authenticité pour vous fier à la demande par courriel.
La mise en place d’une politique écrite et la formation de vos employés en ce qui concerne la politique peuvent vous aider à vous protéger contre ces escroqueries. Les mesures que vous pouvez prendre pour vérifier si la demande de changement de compte ou la demande de virement bancaire / carte-cadeau est authentique comprennent ce qui suit:
Vos politiques de protection contre le BEC ne sont utiles que si tous les employés concernés sont correctement formés à leur sujet. S’assurer que la formation régulière est mise en œuvre et que des discussions d’équipe ont lieu pour examiner le protocole.
De plus, vos stratégies doivent suivre le rythme de l’évolution du paysage des menaces. Au fur et à mesure que les pirates trouvent de nouvelles façons de tromper les gens, vous devez ajuster votre protocole de défense. Passez régulièrement en revue vos politiques avec des experts pour vous protéger contre les nouvelles escroqueries.
Tout comme vous ne voulez pas que les paiements effectués à vos fournisseurs soient détournés frauduleusement, vous ne voulez pas non plus que les paiements dus à votre organisation soient détournés. Informez vos clients du protocole qu’ils doivent suivre dans le cas où ils reçoivent une prétendue demande de votre organisation de modifier les détails de paiement du compte.
Nous vous recommandons de demander conseil sur les mesures supplémentaires que votre organisation devrait prendre. Pour plus d’informations sur la façon de se protéger contre les escroqueries BEC et d’y répondre, l’équipe Bennett Jones Privacy and Data Protection est disponible pour vous aider.