l’escroquerie au PDG (également appelée « whaling »), lorsque le pirate informatique se fait passer pour une personne insoupçonnée.
Faire un virement de près d’un million d’euros rapidement et sans réfléchir et se rendre compte quelques minutes plus tard que l’on s’est fait escroquer et que l’on a perdu, en un clin d’œil, beaucoup d’argent et tout autant de crédibilité et de prestige.
Et dire que cela n’est pas arrivé à un technophile désemparé, mais à un cadre supérieur d’un géant international de la production télévisuelle.
Jaime Ondarza, italo-bolivien, 55 ans, est depuis quelques mois directeur général pour l’Europe du Sud de Fremantle, société de production de programmes à succès tels que« X Factor« ,« Italia’s Got Talent« ,« Un Posto al Sole« .
Le 19 mars, un message WhatsApp contenant les références du PDG du siège de l’entreprise a suffi à le convaincre d’effectuer, sans réfléchir, un virement de 937 670 euros avec effet immédiat pour l’acquisition d’une entreprise en Asie.
Ainsi, après avoir répondu par l’affirmative à cette demande qui, pour une entreprise comme Fremantle, n’était même pas si étrange, une autre communication est arrivée sur le compte e-mail de son entreprise, également fausse, apparemment adressée à un avocat qu’il connaissait.
Un faux profil, probablement volé dans le réseau de contacts du gérant, qui lui a fourni le compte bancaire sur lequel effectuer le dépôt.
C’est ainsi que le transfert a été effectué, pour le plus grand plaisir des criminels qui ont sûrement célébré on ne sait où sur le globe.
En fait, l’argent est arrivé sur un compte courant d’une banque asiatique et a ensuite été distribué à des dizaines d’autres ibans disséminés en Extrême-Orient mais aussi dans d’autres endroits du monde.
Ce n’est qu’après quelques heures que le directeur a commencé à soupçonner qu’il y avait quelque chose d’étrange dans la transaction qu’il venait de conclure.
Il ne lui a fallu que peu de temps pour se rendre compte qu’il avait été escroqué et que, malgré l’alerte immédiate au 112 au milieu de la nuit et la déclaration à la police postale le lendemain matin, l’argent était désormais irrémédiablement perdu.
Ondarza aurait été victime d’un stratagème exploitant les failles d’un système informatique mal protégé. En fait, selon le Corriere della Sera, il a été « percé d’abord par le spoofing, c’est-à-dire par un message envoyé à partir d’un profil cloné avec un numéro de VoIP pour la transmission de données qu’il pensait être celui de son supérieur direct et qui, au contraire, variait peu par rapport à l’original ».
Escroquerie au PDG ou chasse à la baleine
Celle qui a touché le directeur est communément appelée« arnaque au PDG » ou, dans un langage plus technique, » Business E-mail Compromise ».
Ces attaques ont une cible particulière : les « niveaux C », c’est-à-dire les employés et les cadres d’une entreprise qui sont en mesure de faire circuler de l’argent, notamment d’effectuer des transferts en ligne. C’est en effet à eux que l’on envoie un e-mail, apparemment d’un haut responsable de l’entreprise, demandant d’effectuer un virement urgent vers un compte bancaire qui, on ne le découvrira que plus tard, appartient à une organisation criminelle.
De plus, avec l’évolution constante de la technologie et de la criminalité, les variantes de l’arnaque au PDG sont désormais nombreuses : du message qui arrive via WhatsApp à l’appel téléphonique, les cybercriminels sont désormais capables de reproduire la voix de n’importe quelle personne, trompant ainsi facilement le destinataire de la communication.
Il y a ensuite les diverses opérations d’usurpation d’identité, c’est-à-dire un large éventail d’attaques dans lesquelles un pirate dissimule son identité en se faisant passer pour une source fiable afin d’accéder à des informations confidentielles, en contournant les règles d’authentification basées sur les adresses IP et les noms d’hôtes.
À cela s’ajoutent les techniques sophistiquées d’ingénierie sociale par lesquelles les criminels obtiennent des informations sur les victimes potentielles, nécessaires à l’optimisation des activités malveillantes.
En effet, la réussite de ce type d’escroquerie nécessite, outre le faux compte e-mail, une connaissance détaillée de l’identité des responsables à contacter, du ton et de la formulation de l’éventuel bon de commande et du jargon de communication utilisé, une connaissance des achats à effectuer, des contacts sociaux de la victime, de ses habitudes, et de tout ce qui peut être utile pour rendre la supercherie la plus réaliste possible.
Les risques liés à ce type d’attaques se traduisent par des pertes de données importantes, des violations des systèmes de sécurité informatique et surtout des dommages économiques considérables, comme le montre la dernière affaire en date.
Peu de structures y ont échappé jusqu’à présent. En effet, ce type d’escroquerie a touché environ 70 % des entreprises et organisations du monde entier, tous secteurs confondus, publics et privés.
Une question se pose alors : comment se défendre contre cette escroquerie ?
Tout d’abord, en gardant à l’esprit qu’à notre époque, il vaut mieux ne faire confiance à personne, même s’il s’agit de notre patron ou du plus fidèle des fournisseurs qui nous écrit ;
Vérifiez toujours l’authenticité de la demande en appelant la personne concernée ;
vérifiez toujours l’adresse électronique de l’expéditeur.
Il nous rappelle également qu’il est important d’être toujours vigilant en matière de cybersécurité:
ne perdez jamais la concentration et la conscience de ce que vous faites et n’agissez jamais dans la précipitation et la distraction ;
activez toujours toutes les vérifications nécessaires avant d’entreprendre des actions qui pourraient très rapidement avoir des conséquences irréversibles ;
ne jamais cesser de pratiquer une formation de qualité, tant théorique que pratique.
Les cybercriminels se glissent astucieusement dans les failles de la distraction et de l’inconscience. Ces fissures, tout aussi astucieuses, doivent être maintenues hermétiquement fermées.
