Le pire type d'escroquerie par hameçonnage est celui que vous ne pouvez pas simplement ignorer : comme la fraude au PDG. Des courriels censés provenir du gouvernement, vous demandant d'effectuer ce paiement fiscal en suspens sous peine de poursuites judiciaires. Des courriels qui semblent provenir de votre école ou de votre université et qui vous demandent de payer les frais de scolarité que vous n'avez pas payés. Ou même un message de votre patron ou de votre PDG vous demandant de lui transférer de l'argent "pour lui faire plaisir".

Qu'est-ce que la fraude des PDG ?

La fraude au PDG est une escroquerie par hameçonnage par courriel dans laquelle les fraudeurs se font passer pour le PDG d'une entreprise afin de convaincre les employés de leur envoyer de l'argent. Les courriels contiennent généralement le vrai nom et le titre professionnel du PDG de l'entreprise.

Le problème avec les courriels de ce type est qu'ils se font passer pour une figure d'autorité, qu'il s'agisse du gouvernement, du conseil d'administration de votre université ou de votre patron au travail. Ce sont des personnes importantes, et ignorer leurs messages aura presque certainement de graves conséquences. Vous êtes donc obligé de les regarder, et si cela vous semble suffisamment convaincant, vous pourriez en fait tomber dans le panneau.

Vous n'êtes pas à l'abri de la fraude des PDG

Une escroquerie de 2,3 milliards de dollars par an, voilà ce que c'est. Vous vous demandez peut-être : "Qu'est-ce qui peut bien faire perdre autant d'argent à des entreprises à cause d'une simple escroquerie par courrier électronique ? Mais vous seriez surpris de voir à quel point les courriels frauduleux des PDG peuvent être convaincants.

En 2016, Mattel a failli perdre 3 millions de dollars à cause d'une attaque de phishing lorsqu'un cadre financier a reçu un e-mail du PDG lui demandant d'envoyer un paiement à l'un de leurs fournisseurs en Chine. Mais ce n'est qu'après avoir vérifié plus tard auprès du PDG qu'elle a réalisé qu'il n'avait jamais envoyé le courriel du tout. Heureusement, la société a travaillé avec les forces de l'ordre en Chine et aux États-Unis pour récupérer leur argent quelques jours plus tard, mais cela n'arrive presque jamais avec ces attaques.

Les gens ont tendance à croire que ces escroqueries ne leur arriveront pas... jusqu'à ce que cela leur arrive. Et c'est là leur plus grande erreur : ne pas se préparer à la fraude des PDG.

Les escroqueries par hameçonnage peuvent non seulement coûter des millions de dollars à votre organisation, mais elles peuvent aussi avoir un impact durable sur la réputation et la crédibilité de votre marque. Vous courez le risque d'être considéré comme l'entreprise qui a perdu de l'argent à cause d'une escroquerie par courrier électronique et de perdre la confiance de vos clients dont vous stockez les informations personnelles sensibles.

Au lieu de se démener pour limiter les dégâts après coup, il est beaucoup plus logique de sécuriser vos canaux de courrier électronique contre les escroqueries par harponnage comme celle-ci. Voici quelques unes des meilleures façons de vous assurer que votre organisation ne devienne pas une statistique dans le rapport du FBI sur le BEC.

Comment prévenir la fraude des PDG : 6 étapes simples

1. Sensibilisez votre personnel à la sécurité
   Ce point est absolument essentiel. Les membres de votre personnel, et en particulier ceux du secteur financier, doivent comprendre comment fonctionne la compromission des e-mails professionnels. Et il ne s'agit pas seulement d'une présentation ennuyeuse de deux heures sur le fait de ne pas écrire son mot de passe sur un post-it. Vous devez les former à la recherche de signes suspects indiquant qu'un e-mail est faux, à la recherche d'adresses e-mail usurpées et de demandes anormales que d'autres membres du personnel semblent faire par e-mail.
2. Attention aux signes révélateurs de l'usurpationd'identité
   Les escrocs du courrier électronique utilisent toutes sortes de tactiques pour vous faire accéder à leurs demandes. Il peut s'agir de demandes/instructions urgentes de transfert d'argent pour vous faire agir rapidement et sans réfléchir, ou même de demandes d'accès à des informations confidentielles pour un "projet secret" que les supérieurs ne sont pas encore prêts à partager avec vous. Il s'agit là de sérieux signaux d'alarme, et vous devez vérifier deux ou trois fois avant d'agir.
3. Protégez-vous avec DMARC
   Le moyen le plus simple d'éviter une escroquerie par hameçonnage est de ne jamais recevoir l'e-mail en premier lieu. DMARC est un protocole d'authentification des e-mails qui vérifie les e-mails provenant de votre domaine avant de les transmettre. Lorsque vous appliquez le protocole DMARC sur votre domaine, tout attaquant se faisant passer pour un membre de votre organisation sera détecté comme un expéditeur non autorisé et son courriel sera bloqué dans votre boîte de réception. Vous n'avez plus à vous occuper des courriels usurpés.

Découvrez ce qu'est DMARC.

1. Obtenir une autorisation explicite pour les virements électroniques
   C'est l'un des moyens les plus simples et les plus directs d'empêcher les transferts d'argent aux mauvaises personnes. Avant de s'engager dans une transaction, il faut obligatoirement demander l'accord explicite de la personne qui demande de l'argent en utilisant un autre canal que le courrier électronique. Pour les virements plus importants, il faut obligatoirement recevoir une confirmation verbale.
2. Courriers électroniques de drapeau avec des extensions similaires
   Le FBI recommande à votre organisation de créer des règles de système qui signalent automatiquement les courriels qui utilisent des extensions trop semblables aux vôtres. Par exemple, si votre entreprise utilise "123-business.com", le système pourrait détecter et signaler les courriels utilisant des extensions comme "123_business.com".
3. Acheter des noms de domaine similaires
   Les attaquants utilisent souvent des noms de domaine d'apparence similaire pour envoyer des courriels de phishing. Par exemple, si votre organisation a un "i" minuscule dans son nom, ils peuvent utiliser un "I" majuscule, ou remplacer la lettre "E" par le chiffre "3". Cela vous aidera à réduire les risques que quelqu'un utilise un nom de domaine extrêmement similaire pour vous envoyer des courriels.