Savez-vous quel est le pire type d'escroquerie par phishing ? Le genre que vous ne pouvez pas ignorer : comme la fraude au PDG. Des courriels censés provenir du gouvernement, vous demandant d'effectuer ce paiement fiscal en suspens sous peine de poursuites judiciaires. Des courriels qui semblent avoir été envoyés par votre école ou votre université, vous demandant de payer les frais de scolarité que vous n'avez pas payés. Ou même un message de votre patron ou de votre PDG, vous demandant de lui transférer de l'argent "pour lui faire plaisir".

Le problème avec les courriels de ce type est qu'ils se font passer pour une figure d'autorité, qu'il s'agisse du gouvernement, du conseil d'administration de votre université ou de votre patron au travail. Ce sont des personnes importantes, et ignorer leurs messages aura presque certainement de graves conséquences. Vous êtes donc obligé de les regarder, et si cela vous semble suffisamment convaincant, vous pourriez en fait tomber dans le panneau.

Mais penchons-nous sur la fraude des PDG. De quoi s'agit-il exactement ? Cela peut-il vous arriver ? Et si c'est le cas, que devez-vous faire pour y mettre fin ?

Vous n'êtes pas à l'abri de la fraude des PDG

Une escroquerie de 2,3 milliards de dollars par an, voilà ce que c'est. Vous vous demandez peut-être : "Qu'est-ce qui peut bien faire perdre autant d'argent à des entreprises à cause d'une simple escroquerie par courrier électronique ? Mais vous seriez surpris de voir à quel point les courriels frauduleux des PDG peuvent être convaincants.

En 2016, Mattel a failli perdre 3 millions de dollars à cause d'une attaque de phishing lorsqu'un cadre financier a reçu un e-mail du PDG lui demandant d'envoyer un paiement à l'un de leurs fournisseurs en Chine. Mais ce n'est qu'après avoir vérifié plus tard auprès du PDG qu'elle a réalisé qu'il n'avait jamais envoyé le courriel du tout. Heureusement, la société a travaillé avec les forces de l'ordre en Chine et aux États-Unis pour récupérer leur argent quelques jours plus tard, mais cela n'arrive presque jamais avec ces attaques.

Les gens ont tendance à croire que ces escroqueries ne leur arriveront pas... jusqu'à ce que cela leur arrive. Et c'est là leur plus grande erreur : ne pas se préparer à la fraude des PDG.

Les escroqueries par hameçonnage peuvent non seulement coûter des millions de dollars à votre organisation, mais elles peuvent aussi avoir un impact durable sur la réputation et la crédibilité de votre marque. Vous courez le risque d'être considéré comme l'entreprise qui a perdu de l'argent à cause d'une escroquerie par courrier électronique et de perdre la confiance de vos clients dont vous stockez les informations personnelles sensibles.

Au lieu de se démener pour limiter les dégâts après coup, il est beaucoup plus logique de sécuriser vos canaux de courrier électronique contre les escroqueries par harponnage comme celle-ci. Voici quelques unes des meilleures façons de vous assurer que votre organisation ne devienne pas une statistique dans le rapport du FBI sur le BEC.

Comment prévenir la fraude des PDG : 6 étapes simples

1. Sensibilisez votre personnel à la sécurité
   Celui-ci est absolument crucial. Les membres de votre personnel, et en particulier ceux de la finance, doivent comprendre comment fonctionne le Business Email Compromise. Et nous ne parlons pas seulement d'une présentation ennuyeuse de deux heures sur le fait de ne pas écrire votre mot de passe sur un post-it. Vous devez les former à la recherche de signes suspects de falsification d'un e-mail, à la recherche d'adresses e-mail usurpées et aux demandes anormales que d'autres membres du personnel semblent faire par e-mail.
2. Attention aux signes révélateurs de l'usurpationd'identité
   Les escrocs du courrier électronique utilisent toutes sortes de tactiques pour vous faire accéder à leurs demandes. Il peut s'agir de demandes/instructions urgentes de transfert d'argent pour vous faire agir rapidement et sans réfléchir, ou même de demandes d'accès à des informations confidentielles pour un "projet secret" que les supérieurs ne sont pas encore prêts à partager avec vous. Il s'agit là de sérieux signaux d'alarme, et vous devez vérifier deux ou trois fois avant d'agir.
3. Protégez-vous avec le DMARC
   Le moyen le plus simple de prévenir une escroquerie par hameçonnage est de ne jamais recevoir le courriel en premier lieu. DMARC est un protocole d'authentification de courrier électronique qui vérifie les courriers électroniques provenant de votre domaine avant de les livrer. Lorsque vous appliquez le DMARC à votre domaine, tout attaquant se faisant passer pour un membre de votre propre organisation sera détecté comme un expéditeur non autorisé, et son courrier électronique sera bloqué dans votre boîte de réception. Vous n'avez pas du tout à vous occuper des courriels usurpés.
4. Obtenir une autorisation explicite pour les virements électroniques
   C'est l'un des moyens les plus simples et les plus directs d'empêcher les transferts d'argent aux mauvaises personnes. Avant de s'engager dans une transaction, il faut obligatoirement demander l'accord explicite de la personne qui demande de l'argent en utilisant un autre canal que le courrier électronique. Pour les virements plus importants, il faut obligatoirement recevoir une confirmation verbale.
5. Courriers électroniques de drapeau avec des extensions similaires
   Le FBI recommande à votre organisation de créer des règles de système qui signalent automatiquement les courriels qui utilisent des extensions trop semblables aux vôtres. Par exemple, si votre entreprise utilise "123-business.com", le système pourrait détecter et signaler les courriels utilisant des extensions comme "123_business.com".
6. Acheter des noms de domaine similaires
   Les attaquants utilisent souvent des noms de domaine d'apparence similaire pour envoyer des courriels de phishing. Par exemple, si votre organisation a un "i" minuscule dans son nom, ils peuvent utiliser un "I" majuscule, ou remplacer la lettre "E" par le chiffre "3". Cela vous aidera à réduire les risques que quelqu'un utilise un nom de domaine extrêmement similaire pour vous envoyer des courriels.