• La fraude aux indemnités commence dans la boîte de réception : comment les e-mails usurpés transforment les procédures d'assurance courantes en détournement de fonds

La fraude aux indemnités commence dans la boîte de réception : comment les e-mails usurpés transforment les procédures d'assurance courantes en détournement de fonds

Blog, Sécurité du courrier électronique

Découvrez comment les e-mails frauduleux et les attaques de type « Business Email Compromise » (BEC) exploitent les processus de gestion des demandes d'indemnisation pour détourner les versements.

par Ahona Rudra

Dernière mise à jour :
5 Temps de lecture : 5 min
La fraude aux indemnités commence dans la boîte de réception : comment les e-mails usurpés transforment les procédures d'assurance courantes en détournement de fonds
Table des matières-

Points clés à retenir

  • La fraude à l'assurance commence souvent au sein de fils de discussion légitimes, et non par des attaques distinctes
  • Les pirates misent sur le timing, en injectant des requêtes au moment où des paiements ou des mises à jour sont attendus
  • Même les expéditeurs qui semblent familiers peuvent faire l'objet d'une usurpation d'identité ou avoir été piratés
  • Les modifications des informations de paiement et des coordonnées bancaires constituent les étapes les plus risquées du processus
  • Il est essentiel de combiner l'authentification par e-mail avec des procédures de vérification rigoureuses pour prévenir la fraude

La fraude à l'assurance ne commence pas toujours par un accident simulé ou une fausse déclaration de blessure.

Parfois, tout commence par un simple e-mail. Un expert demande un document supplémentaire. Un sinistré répond en indiquant une nouvelle adresse. Une entreprise de remise en état envoie une facture révisée. Rien dans cette succession d'événements ne semble inhabituel, et c'est précisément pour cela que cela fonctionne.

Les équipes d'assurance sont conçues pour assurer la fluidité du traitement des dossiers. Après une tempête, une hausse des sinistres en responsabilité civile ou un retard dans le traitement des accidents du travail, les collaborateurs traitent à un rythme soutenu les devis, les pièces jointes, les validations et les détails des indemnités. Lorsqu'un message est intégré à un dossier de sinistre réel, il bénéficie de la crédibilité du flux de travail qui l'entoure.

Cela fait de la boîte de réception un terrain propice aux malfaiteurs. Ils n’ont pas besoin d’inventer une demande de toutes pièces s’ils peuvent s’immiscer dans une conversation existante et détourner de l’argent, des documents ou la confiance.

Pourquoi le traitement des demandes d'indemnisation est-il si facile à détourner ?

Pourquoi les demandes d'indemnisation sont-elles si faciles à détourner ?

Le traitement des sinistres présente trois caractéristiques particulièrement appréciées des pirates : l'urgence, la répétition et une coordination intensive par e-mail. Un seul dossier peut impliquer l'assuré, un courtier, un expert en sinistres, un interlocuteur du service financier, un prestataire de réparation et un conseiller juridique externe. Lors d'un événement de catastrophe, une seule boîte de réception partagée peut traiter des dizaines de demandes quasi identiques avant midi.

C'est pourquoi le lien entre la cybercriminalité et la fraude à l'assurance s'impose comme une évidence dans le secteur des assurances. Une fois que les criminels ont accès à une boîte mail, à une facture ou à un échange avec un fournisseur, ils n'ont pas besoin d'une violation spectaculaire. Ils peuvent attendre le moment réel du paiement et s'immiscer là où l'on s'attend déjà à une transaction.

Les équipes qui comprennent ce qu’est le DMARC savent déjà que cela va bien au-delà de la délivrabilité. Le DMARC fonctionne en association avec SPF DKIM pour aider les propriétaires de domaines à vérifier qui est autorisé à envoyer des e-mails via leur domaine et à déterminer comment les serveurs destinataires doivent traiter les messages qui échouent à ces vérifications. Cela revêt une importance particulière dans le cadre des réclamations, car l’usurpation d’identité s’avère souvent plus lucrative que les attaques par force brute visant à perturber le service.

Comment se déroule concrètement le vol de gains

Imaginons un sinistre immobilier suite à des dégâts causés par la grêle. Un entrepreneur achève les travaux d'urgence, l'expert en sinistres approuve le devis, et le service financier s'apprête à verser une somme de 28 400 $. Un pirate informatique ayant accès à une seule boîte de réception de cette chaîne observe discrètement la situation pendant quelques jours, puis envoie un bref message indiquant que l'entrepreneur a changé de banque et joint un formulaire de virement mis à jour.

L'e-mail n'a pas besoin d'être tape-à-l'œil. Il suffit qu'il arrive au moment où l'équipe attend déjà une facture finale ou une confirmation de virement ACH. Selon le communiqué d'intérêt public de l'IC3 (FBI) sur la fraude par usurpation d'e-mails professionnels(BEC), les pertes déclarées liées à cette pratique ont dépassé les 55 milliards de dollars à l'échelle mondiale entre octobre 2013 et décembre 2023. Ce chiffre explique pourquoi un « simple » e-mail demandant un changement de mode de paiement ne doit jamais être traité comme une simple formalité administrative.

Les mécanismes sont volontairement ennuyeux :

  • Une demande d'indemnisation valide génère un véritable fil de discussion par e-mail comprenant des noms, des numéros de dossier et des pièces jointes.
  • Un pirate informatique parvient à s'introduire dans le système par le biais d'une attaque par hameçonnage, de l'utilisation d'identifiants déjà utilisés ou de règles de redirection de messagerie.
  • Ils attendent que le moment du paiement, du remboursement ou du règlement rende leur demande crédible.
  • Une facture révisée, une modification bancaire ou une instruction de paiement est envoyée depuis un compte similaire ou piraté.
  • Les fonds sont transférés avant que quiconque ait pu vérifier la transaction via un deuxième canal.

Le même principe s'applique à l'indemnisation des accidents du travail, à la responsabilité civile, à l'assurance automobile professionnelle et à la subrogation. Si un simple message peut déterminer qui sera indemnisé, où seront acheminés les documents sensibles ou quels dossiers seront considérés comme authentiques, la demande d'indemnisation présente déjà suffisamment d'intérêt pour attirer les abus.

Ce que les gens ne remarquent pas quand l'expéditeur leur semble familier

La plupart des équipes savent repérer un e-mail de phishing mal ficelé. Les cas les plus difficiles sont ceux où le message semble authentique à 95 %. Un expéditeur frauduleux peut par exemple changer une lettre dans un nom de domaine, répondre au sein d'un fil de discussion existant ou adopter exactement le ton qu'un fournisseur utilise habituellement.

C'est pourquoi la meilleure habitude à prendre lors de la vérification n'est pas de « rechercher les fautes de grammaire », mais de « vérifier si la demande s'inscrit dans le flux de travail ». Un prestataire de services de réparation qui utilise le même domaine depuis 18 mois ne devrait pas envoyer soudainement ses coordonnées bancaires depuis une nouvelle adresse, une heure avant le versement. L'avocat d'un demandeur qui envoie habituellement des fichiers PDF via un portail sécurisé ne devrait pas demander soudainement des instructions de règlement par le biais d'une simple réponse envoyée depuis un téléphone portable.

Dans le domaine des assurances, bon nombre des signes avant-coureurs courants du phishing sont subtils : une adresse de réponse modifiée, un nouveau type de pièce jointe, une mention d'urgence de dernière minute ou une demande de contourner le portail habituel sous prétexte que « celui-ci est plus rapide ». Ce sont là de petits détails, mais dans le cadre d'un processus de traitement des sinistres, ils font souvent la différence entre un traitement normal et une manœuvre frauduleuse.

Les recommandations du FBI concernant les attaques par hameçonnage des e-mails professionnels énoncent très clairement la règle à suivre : vérifiez les modifications de paiement ou de compte par un autre canal, examinez l'adresse complète de l'expéditeur et soyez particulièrement vigilant lorsque la demande est formulée de manière pressante. Les bonnes équipes chargées du traitement des sinistres respectent cette règle même lorsque le message semble familier, car le fait que la fraude semble familière est justement le but de l'attaque.

À quoi ressemble concrètement un processus de traitement des sinistres plus sûr ?

Un meilleur processus de gestion des sinistres ne traite pas chaque e-mail comme s'il s'agissait d'une urgence absolue. Il n'impose des contrôles supplémentaires que lorsque la fraude peut avoir des conséquences coûteuses : modifications de compte, instructions de règlement, factures révisées et réexpédition de documents sensibles.

Commençons par le côté domaine. Une analyse rapide à l'aide d'un outil d'analyse de domaine peut révéler si votre domaine d'envoi présente des failles d'authentification manifestes concernant DMARC, SPF, DKIM et les contrôles associés. PowerDMARC, quant à lui, est spécialement conçu pour identifier les risques liés au phishing, à l'usurpation d'identité, à la fraude et à l'usurpation. Cela s'avère utile, car les fraudes aux indemnités aboutissent souvent bien avant que quiconque ne remarque un problème de paiement dans le registre.

Il convient ensuite de renforcer les règles de transfert au sein du processus de traitement des demandes. Si une modification bancaire intervient après l'approbation du paiement mais avant le versement, elle doit déclencher une procédure de contrôle différente de celle d'une simple mise à jour de statut. Un dossier comportant une demande de remboursement de 1 200 $ pourrait nécessiter un rappel rapide. Un dossier comportant une révision de règlement de 40 000 $ pourrait nécessiter un rappel ainsi qu'un deuxième validateur dans la même journée ouvrable.

Un ensemble de contrôles fonctionnel se présente généralement comme suit :

  • Toute opération de virement ou de paiement ACH est vérifiée à l'aide du numéro de téléphone déjà enregistré dans nos fichiers, et non de celui indiqué dans l'e-mail.
  • Toute modification des instructions de paiement effectuée dans les 30 jours suivant l'intégration du fournisseur fait l'objet d'une escalade.
  • Les boîtes de réception partagées ne permettent pas le transfert automatique silencieux vers des adresses externes.
  • Les services financiers et le service des sinistres utilisent la même liste de contrôle, ce qui empêche les pirates de cibler l'équipe la plus vulnérable.
  • Chaque modification bancaire vérifiée est enregistrée avec la date, le nom du vérificateur et le résultat du rappel.

L'authentification des e-mails joue également un rôle important dans ce contexte. Selon les directives de Google destinées aux expéditeurs, les expéditeurs de messages en masse vers des comptes Gmail personnels doivent utiliser SPF DKIM, publier une politique DMARC et faire correspondre le domaine de l'organisation indiqué dans l'en-tête « De » avec SPF DKIM. Ces exigences visent à garantir la fiabilité des expéditeurs à grande échelle, mais cette même rigueur aide les compagnies d'assurance à réduire les risques d'usurpation d'identité et à clarifier les indices sur lesquels s'appuient les employés pour déterminer si un message est légitime.

Les meilleures équipes d'assurance testent également leurs procédures à l'aide de dossiers réels. Prenez un dossier récent de sinistre immobilier, un dossier d'accident du travail et un dossier de responsabilité civile. Posez une question directe pour chacun d'entre eux : si un faux e-mail annonçant une modification du montant d'indemnisation arrivait en ce moment même, à quel stade précis serait-il intercepté, et par qui ? Si la réponse est vague, c'est que le contrôle l'est aussi.

Conclusion

La fraude aux indemnités coûte cher lorsque les lacunes courantes des processus sont considérées comme de simples aléas administratifs sans gravité. Un message falsifié peut détourner le paiement d’un prestataire, retarder un règlement ou faire tomber des données sensibles sur les demandeurs entre de mauvaises mains sans déclencher d’alerte évidente. La solution est généralement moins radicale qu’on ne le pense : renforcer la confiance accordée à l’expéditeur, clarifier les règles de vérification et établir une liste restreinte de situations qui ne doivent jamais être considérées comme « routinières ». Si les changements bancaires, les révisions de factures et les instructions de paiement déclenchent systématiquement un rappel et un réexamen, l’attaquant perd l’avantage du timing. Choisissez dès aujourd’hui un processus de gestion des sinistres en cours et testez comment un faux e-mail de modification de paiement passerait de la boîte de réception au décaissement. Comblez ensuite cette faille avant l’arrivée du prochain message d’apparence banale.

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Règle de protection de la FTC : votre établissement financier a-t-il besoin du protocole DMARC ?Compression SPFSPF : réduisez les requêtes SPF et optimisez votre SPF