Comment tenir tête à la fraude par personnification?

05 juillet 2024 par Banque Nationale

Image representant la fraude par personnification

Plusieurs organisations ont été victimes de fraude par personnification au cours des dernières années. Ce n’est pas pour rien qu’on dit qu’il s’agit de l’une des stratégies les plus utilisées pour soutirer de l’information aux entreprises. Voici comment mieux comprendre ce type de fraude pour protéger votre organisation de celle-ci.

Dans cet article :

Qu’est-ce que la fraude par personnification?
Comment se protéger de la fraude par personnification?
J’ai été victime de fraude, que dois-je faire?

Qu'est-ce que la fraude par personnification?

Les fraudeuses et fraudeurs qui ont recours à la fraude par personnification visent à usurper l’identité d’une personne pour retirer des sommes d’argent d’une organisation ou d’un particulier.

Ces personnes peuvent se faire passer pour des membres de l’administration ou des fournisseurs de votre entreprise. Derrière leur fausse identité, elles commencent par vous envoyer un courriel, un message texte (hameçonnage) ou même vous téléphoner. Si vous mordez à l’hameçon, ces personnes peuvent vous demander, sous un prétexte mensonger, d’effectuer un virement de fonds. Elles peuvent aussi tenter de mettre la main sur des informations confidentielles – comme des renseignements bancaires, des listes de personnel, de clientèle ou encore des identifiants et des mots de passe – qu’elles utilisent ensuite pour détourner des fonds. Autre tactique fréquente : vous inciter à effectuer des achats, par exemple des cartes cadeaux ou encore des cartes de crédit prépayées, puis à leur remettre les codes de ces cartes.

Si vous pensez posséder tous les outils pour éviter de tomber dans leur piège, rappelez-vous que les cybercriminelles et cybercriminels sont rusés. Ils et elles peuvent avoir recours à différentes tactiques pour créer un sentiment d’urgence, jouer avec vos émotions ou même développer un lien de confiance avec vous. Ce n’est pas pour rien que les fraudes en entreprise les plus courantes sont la fraude au président et la fraude au faux fournisseur.

La fraude au président

La fraude au président est une forme d’ingénierie sociale. Lorsqu’elles ont recours à celle-ci, les personnes malintentionnées se font passer pour un membre de la direction et ciblent une partie prenante de l’organisation (souvent une personne qui possède les accès nécessaires) et lui demandent d’effectuer une tâche précise.

Concrètement, la fraudeuse ou le fraudeur commence par mettre sa victime en confiance avant de lui demander d’effectuer une tâche qui implique souvent de l’argent. La nature de cette tâche est variable, elle peut par exemple consister à acheter des cartes cadeaux ou autres récompenses pour féliciter l’équipe après un gros projet au travail. Sa victime, qui se sent alors privilégiée d’avoir été choisie par une supérieure ou un supérieur hiérarchique, peut facilement tomber dans le panneau.

Et comment les fraudeuses et les fraudeurs savent-ils cibler les bonnes personnes? Ils et elles peuvent entre autres :

Fouiller Internet et les médias sociaux
Contacter une personne en amont sur un média social
Échanger avec la victime et recueillir des informations pour rendre leur demande la plus crédible possible

Une fois cette personne identifiée, il ne leur reste plus qu’à mettre en place un scénario bien ficelé pour qu’un virement ou une divulgation de renseignements confidentiels soit effectué, et ce sans même que la victime suspecte qu’il s’agit d’une fraude.

La fraude au faux fournisseur

Cette fraude est elle aussi souvent utilisée pour soutirer de l’information à une personne clé d’une entreprise. Plutôt que de se faire passer pour un membre de la direction comme dans la fraude au président, la fraudeuse ou le fraudeur se fait ici passer pour un fournisseur de l’entreprise.

Cette personne contacte une cliente ou un client pour l’informer d’un changement de coordonnées bancaires. Une fois les coordonnées bancaires du fournisseur modifiées, tout virement lui étant destiné est en fait dirigé vers le compte bancaire de la fraudeuse ou du fraudeur.

Et comment cette personne réussit-elle à se faire passer pour le vrai fournisseur? En ayant recours à l’ingénierie sociale pour recueillir des données et usurper l’identité du réel fournisseur. Ces données lui permettent de manipuler la personne qu’elle contacte en créant, par exemple, une adresse courriel qui imite celle du vrai fournisseur. Elle peut aussi copier la mise en forme de ses courriels et de ses factures, ou même imiter sa voix au téléphone grâce à l’intelligence artificielle.

Comment se protéger de la fraude par personnification?

Les échanges virtuels constants et les nombreuses données sensibles qui peuvent circuler en ligne rendent les entreprises vulnérables. Faire preuve de vigilance et sensibiliser vos équipes aux différents types de fraudes peut vous aider à prémunir votre organisation des cyberattaques.

1. Comment se prémunir?

Impliquez et responsabilisez vos équipes. Rappelez-leur fréquemment de faire preuve de prudence sur les médias sociaux, tant privés que professionnels.

Mentionnez-leur de ne pas divulguer d’informations sur le fonctionnement de l’organisation, leur expliquant que celles-ci pourraient être utilisées par les fraudeuses et les fraudeurs. Informez-les régulièrement sur les différents types de fraudes et n’oubliez pas de sensibiliser systématiquement les nouvelles recrues et les stagiaires.

Bon à savoir : les fraudeuses et les fraudeurs privilégient les moments où plusieurs personnes de l’organisation peuvent être absentes pour réussir leur coup. Raison de plus pour redoubler de prudence lors des périodes de congés scolaires – particulièrement durant les vacances estivales – ou encore lors des jours fériés, les vendredis soir et les fins de semaine.

Au-delà d’impliquer et de sensibiliser votre équipe, n’oubliez pas de maintenir à jour votre système de sécurité informatique. Mettez en place des processus internes de vérification, des mesures d’authentification ainsi que des signatures multiples pour les virements et paiements internationaux.

Vous pouvez également avoir recours à des outils technologiques pour détecter les courriels frauduleux. Même si les fraudeuses et les fraudeurs réussissent à contourner la technologie, posséder les bons logiciels pourrait vous permettre de bloquer une bonne majorité des courriels frauduleux.

Pour aller plus loin: Ayez tous les outils nécessaires pour maximiser la sécurité de votre organisation en consultant les contenus suivants :

→ Cybertrousse : toutes les clés pour vous protéger (réalisée par notre partenaire Cybereco^MC)
→ Hameçonnage : comment se protéger des communications frauduleuses?
→ Mot de passe : comment en créer un sécuritaire?
→ Boîte courriel : comment en renforcer la sécurité?
→ Rançongiciel : comment éviter une attaque par logiciel malveillant?
→ Télétravail : comment maximiser la sécurité de votre entreprise?
→ Guide du travail à distance : les vulnérabilités liées au télétravail et comment s’en protéger (réalisé par notre partenaire  Cybereco ^MC )

2. Comment déjouer la fraude?

Parce que les cybercriminelles et les cybercriminels jouent sur le sentiment d’urgence, les émotions et l’instauration d’un lien de confiance avec leur victime, les trois actions suivantes peuvent aider à déjouer leurs stratégies : vous arrêter, analyser et douter.

Déjouez la fraude au président

Ne cédez pas à la pression d’un membre de la direction qui souhaite obtenir un paiement rapide par message. Au moindre doute, référez-vous immédiatement à votre gestionnaire. Souvenez-vous que quelle que soit la situation, il ne faut jamais poser un geste tel qu’un transfert de fonds sur la base d’une seule communication. Osez poser des questions.
Portez un regard critique sur les transmissions inhabituelles de nouvelles coordonnées. Contactez directement le membre de la direction via les coordonnées que vous possédez au dossier.
Dans leurs communications, les fraudeuses et les fraudeurs indiquent souvent un numéro de téléphone à contacter en cas de besoin. Ne l’utilisez jamais pour effectuer vos validations.
Faites preuve de prudence. Les instructions sur la façon de procéder au virement peuvent être envoyées dans un second courriel, en provenance d’une avocate ou d’un avocat, ou d’une ou d’un comptable. Il s’agit d’une autre supercherie qui vise à rendre la demande plus légitime.

Déjouez la fraude au faux fournisseur

Vérifiez que l’adresse courriel et les coordonnées du fournisseur correspondent bien à ceux indiqués dans vos précédents échanges. Assurez-vous également que l’objet du courriel et le nom de la pièce jointe ne soient pas inhabituels.
Comparez la pagination de la facture ainsi que la mise en forme, le style et l’orthographe des communications déjà reçues de la part du fournisseur.
Demandez-vous également si vous attendiez une facture du fournisseur, et si les coordonnées bancaires sont les mêmes que celles mentionnées sur les factures précédentes.
Il s’agit d’une demande de changement de coordonnées bancaires? Vérifiez si ce fournisseur a récemment changé les siennes.
Validez la demande en contactant le fournisseur à un numéro de téléphone ou à une adresse courriel mentionnés dans son dossier et déjà utilisés.

J'ai été victime de fraude, que dois-je faire?

Les cybercriminelles et les cybercriminels renouvellent sans cesse leurs stratagèmes et sont à l’affût de toutes les failles potentielles. C’est pourquoi tout le monde, un jour ou l’autre, peut être victime de fraude. Voici quoi faire si cela vous arrive.
D’abord, il est important de comprendre qu’il peut être très difficile d’annuler un virement frauduleux déjà effectué. Contacter votre institution financière est la première chose à faire. Celle-ci peut tenter de bloquer les fonds avant qu’ils ne parviennent dans le compte de la fraudeuse ou du fraudeur.

Prévenir votre département des TI afin d’éviter toute autre fraude au sein de votre organisation et que la vigilance soit de mise est également important.

Dans le cas d’une fraude au faux fournisseur, avisez immédiatement le fournisseur, car il est fort probable que son identité ait été usurpée auprès d’autres entreprises. Si la fraudeuse ou le fraudeur est identifié, vous pourriez disposer de recours judiciaires.

Si vous avez été victime de fraude, vous pouvez contribuer activement aux efforts déployés pour enrayer ce phénomène en posant les gestes suivants :

Déposer une plainte auprès du service de police local. Décrire l'incident comme étant une « fraude au président », une « fraude au faux fournisseur » ou une fraude électronique. Assurez-vous d’être en mesure de fournir tous les détails entourant l'incident.
Signaler l'incident au Centre antifraude du Canada.

N’oubliez pas : pour mettre toutes les chances de son côté, une entreprise doit se prémunir contre la fraude en amont. La prévention demeure la meilleure stratégie pour déjouer la fraude par personnification.

Envie d’en apprendre davantage sur le sujet? Lisez nos conseils et consultez nos outils pour vous aider à prévenir la fraude.

Notes légales

Toute reproduction totale ou partielle est strictement interdite sans l’autorisation préalable écrite de la Banque Nationale du Canada.

Les articles et renseignements accessibles sur ce site Internet sont protégés par les lois sur le droit d'auteur en vigueur au Canada ou dans d'autres pays, le cas échéant. Les droits d’auteur dans ces articles et renseignements peuvent appartenir à la Banque Nationale du Canada ou à d'autres personnes. Toute reproduction, rediffusion, communication par télécommunication, incluant par référence via un hyperlien, ou toute autre utilisation non explicitement permise, de la totalité ou d’une partie de ces articles et renseignements, est interdite sans le consentement préalable et écrit de leur titulaire respectif.

Le contenu de ce site ne doit en aucune façon être interprété, considéré ou utilisé comme s’il constituait des conseils d’ordre financier, juridique, fiscal ou autre. La Banque Nationale et ses partenaires en contenu ne peuvent être tenus responsables des dommages que vous pourriez subir dans le cadre d’une telle utilisation.

Nous tenons à vous informer que l'information présentée sur ce site web, qu'elle soit d'ordre financier, fiscal ou réglementaire, pourrait ne pas être valable à l'extérieur de la province du Québec.

Cet article est offert par la Banque Nationale, ses filiales et les entités de son groupe à titre informatif seulement. Il ne crée aucune obligation légale ou contractuelle pour la Banque Nationale, ses filiales et les entités de son groupe et le contenu des programmes et des conditions qui y sont décrits est sujet à changement.

Les hyperliens contenus dans cet article pourraient rediriger vers un site externe qui n’est pas administré par la Banque Nationale. La Banque ne peut être tenue responsable du contenu de ce site externe ni des dommages résultant de son utilisation.

Les opinions présentées dans ce texte sont celles de la personne interviewée. Elles ne reflètent pas nécessairement les opinions de la Banque Nationale ou de ses filiales.

Pour tout conseil concernant vos finances et celles de votre entreprise, veuillez consulter votre conseiller de la Banque Nationale, votre planificateur financier ou, le cas échéant, tout professionnel (comptable, fiscaliste, avocat, etc.).