Le cyberrisque à l’ère du coronavirus

La pandémie de COVID-19 a entraîné des changements dans le comportement «normal» des clients et les activités des entreprises. Des individus sans scrupules exploitent les craintes des clients et l’incertitude et la désinformation autour de cette pandémie pour arnaquer les particuliers et les entreprises. La pandémie procure aux fraudeurs de nouvelles façons de joindre des victimes potentielles en ligne. Les médias regorgent d’histoires de fraudes et alors que les gouvernements offrent aux entreprises de l’aide pour atténuer les conséquences économiques du confinement et des mesures de distanciation sociale, les fraudeurs essaient de se faire passer pour des entités gouvernementales offrant des prêts ou des possibilités d’allègement financier.

Les cas de cyberfraude de cette nature ont augmenté considérablement, et la place massivement plus importante que le télétravail occupe amplifie ces nouvelles menaces, surtout pour les entreprises qui n’offraient pas cette souplesse auparavant. L’une des principales pistes d’attaque est la compromission des courriels d’affaires. C’est aussi une façon rapide de perdre beaucoup d’argent.

De simple à sophistiqué

Selon son 2019 Internet Crime Report, le Federal Bureau of Investigation a reçu aux États-Unis près de 24 000 plaintes au sujet de la compromission des courriels d’affaires, qui a entraîné des pertes de plus de 1,7 milliard de dollars américains¹. Il a affirmé en avril qu’il s’attendait à une hausse des stratagèmes de compromission des courriels d’affaires liés à la pandémie de COVID-19, citant deux cas distincts où les fraudeurs ont fait croire à leurs victimes qu’elles devaient changer leurs comptes bancaires en raison de nouveaux processus relatifs au coronavirus².

Les stratagèmes de fraude liés à la compromission des courriels d’affaires ciblent les entreprises, les gouvernements et les organismes sans but lucratif. Basés sur des techniques de piratage psychologique ou d’intégration informatique, ils se présentent sous diverses formes et visent à persuader la cible de transmettre des fonds ou des données sensibles. Voici notamment comment ils se présentent :

• Dans le cadre du harponnage, les fraudeurs ciblent une personne en particulier en recueillant des renseignements personnels à son sujet puis en se faisant passer pour une entreprise ou une personne connue ou digne de confiance. L’hameçonnage, en revanche, prend la forme d’un envoi de masse et n’est pas personnalisé.
• Dans le cadre du piratage psychologique, les fraudeurs utilisent un faux nom de domaine qui s’approche du nom de votre entreprise et établissent des adresses de courriel d’entreprise, par exemple prénom.nomdefamille@fightcompany.com au lieu de prénom.nomdefamille@rightcompany.com.
• Dans le cadre de l’usurpation d’une adresse électronique, les fraudeurs utilisent une adresse de courriel correcte tirée d’Internet. Si vous répondez au courriel, votre réponse est transmise au véritable employé. Les fraudeurs utilisent cette arnaque conjointement avec le piratage psychologique, par exemple ils voient sur Facebook qu’un membre de la direction d’une entreprise va prendre un vol et qu’il n’aura pas accès à Internet pendant un certain nombre d’heures.
• Les fraudeurs envoient des logiciels malveillants à des réseaux d’entreprises ou à l’adresse de courriel de membres de la direction d’entreprises pour causer des dommages ou voler des données.

Dans la plupart des cas, ces courriels prennent la forme d’une demande de fonds. Ils peuvent aussi sembler provenir d’un fournisseur et demander que tout paiement futur soit envoyé à un nouveau compte bancaire, dont les détails donnés sont en réalité ceux du compte du cybercriminel. L’objectif de cette fraude est de rediriger les paiements.

Tirer profit des craintes

Les fraudes par hameçonnage liées à la COVID sont elles aussi monnaie courante. Les cybercriminels tirent parti des préoccupations des entreprises en ce qui a trait au contexte économique actuel et de la médiatisation des programmes d’aide gouvernementale pour essayer de les tromper et de leur voler de l’argent ou des données. Le Centre antifraude du Canada a publié en mars un bulletin dans le cadre duquel il mettait en garde contre les fraudes liées à la COVID-19, par exemple celles où des fraudeurs se font passer pour des sociétés financières offrant des prêts, la consolidation de dettes ou d’autres formes d’aide ou pour des conseillers financiers offrant de l’aide durant le confinement³.

Sur le plan personnel, le besoin d’en savoir plus amène les gens à cliquer sur des liens non sécuritaires inclus dans des courriels et des messages texte. Les courriels peuvent sembler provenir du gouvernement, de sites de nouvelles de confiance, de sociétés du secteur de l’énergie ou même d’organismes mondiaux, comme l’Organisation Mondiale de la Santé. Les liens entraînent le téléchargement de logiciels malveillants sur l’appareil de l’utilisateur. Si ce dernier utilise son appareil pour le travail, il peut procurer aux fraudeurs un accès au réseau de l’entreprise.

La pandémie a aussi donné lieu à une recrudescence d’une ancienne forme d’hameçonnage où les fraudeurs communiquent avec des entreprises pour leur offrir un investissement. Avec ces courriels, les fraudeurs profitent encore une fois des craintes réelles des entreprises qui redoutent de ne pas survivre au ralentissement économique et espèrent que ces préoccupations vont l’emporter sur la diligence raisonnable. Lorsque vient le temps de payer, les fraudeurs prétendent qu’il y a des frais de transfert télégraphique ou qu’un autre paiement est requis pour la compensation des fonds, que l’entreprise ne reçoit jamais.

Protéger votre entreprise contre les fraudes

Même en ce qui a trait à l’arnaque la plus complexe il y a des signaux d’alerte :

• Demandes de paiement urgent
• Membres de la haute direction qui demandent de garder une opération secrète
• Premier paiement ou montant anormalement élevé
• Ton et langage utilisés dans le courriel

Pour assurer la sécurité de votre entreprise alors qu’on assiste à un nombre grandissant de cybercrimes, adoptez des politiques strictes en ce qui a trait aux paiements :

• Sensibilisez surtout les employés et invitez-les à surveiller les adresses de courriel falsifiées et les autres signaux d’alerte, en particulier ceux qui s’occupent des factures et qui travaillent au sein du service des finances.
• Envisagez de mettre en place un processus de vérification en deux étapes pour les transferts télégraphiques, par exemple appeler directement le membre de la direction de l’entreprise à un numéro vérifié et non pas à celui indiqué dans le courriel. (Par exemple, si vous avez reçu un courriel de Joan du service des finances que vous voulez vérifier, n’appelez pas sa «ligne directe» sous sa signature, appelez le service des finances et demandez à lui parler.)
• Vérifiez toujours l’expéditeur d’un courriel. Un courriel peut sembler légitime à première vue, mais quand on clique sur les renseignements de l’expéditeur, on peut constater que l’adresse est différente de celle de l’entreprise pour laquelle le fraudeur se fait passer.
• Créez une culture qui encourage les employés à signaler toute fraude éventuelle. Récompensez aussi les employés qui détectent ou soumettent à un palier supérieur une tentative de fraude potentielle, et ce, même en cas d’erreur. En créant une solide culture de signalement des problèmes, vous allez améliorer votre milieu de travail, renforcer la culture des employés et rendre votre entreprise plus forte.

Peu importe la fraude tentée par les pirates informatiques, de l’hameçonnage à la fraude financière, ces derniers ciblent les émotions fondamentales. Les circonstances difficiles actuelles suscitent des craintes, qu’elles soient liées aux problèmes de santé ou aux difficultés financières, que les fraudeurs essaient de manipuler. La meilleure défense pour les entreprises réside dans la formation et la sensibilisation des employés : la culture de vigilance et de vérification doit devenir une seconde nature.

Pour obtenir de l’aide, veuillez consulter les ressources suivantes :

Notre plateforme sur la cybercriminalité: https://www.business.hsbc.ca/fr-ca/cybercrime

Notre webinaire La COVID-19 et ses répercussions sur la fraude pour les entreprises : https://www.brighttalk.com/webcast/17590/410104

Sensibilisation des cibles commerciales à la fraude, Bureau de la concurrence, gouvernement du Canada : https://www.bureaudelaconcurrence.gc.ca/eic/site/cb-bc.nsf/fra/02600.html

Centre antifraude du Canada : https://www.antifraudcentre-centreantifraude.ca/report-signalez-fra.htm

Pensez cybersécurité : https://www.pensezcybersecurite.gc.ca/cnt/prtct-yrslf/prtct-smlbsn/prmt-dvc-scrty-fr.aspx

GRC : https://www.rcmp-grc.gc.ca/fr

Internet Crime Complaint Center (IC3) du FBI : https://www.ic3.gov/default.aspx

Association des banquiers canadiens (ABC) : https://cba.ca/?l=fr

Centre antifraude du Canada (CAFC) : https://www.antifraudcentre-centreantifraude.ca/index-fra.htm

Visionner le webinaire

¹https://www.fbi.gov/news/stories/2019-internet-crime-report-released-021120
²https://www.fbi.gov/news/pressrel/press-releases/fbi-anticipates-rise-in-business-email-compromise-schemes-related-to-the-covid-19-pandemic
³https://antifraudcentre-centreantifraude.ca/features-vedette/2020/covid-19-fra.htm