Écrit par Ruth Promislow et Suzie Suliman

Les entreprises sont de plus en plus victimes d’escroqueries courantes connues sous le nom d’escroqueries de compromission de courriels d’entreprise (ESCROQUERIES BEC) pour lesquelles elles n’ont pas d’assurance pour couvrir les pertes qui en résultent. Heureusement, il existe des stratégies faciles à mettre en œuvre pour minimiser le risque d’être victime de cette fraude avant qu’il ne soit trop tard.

Les escroqueries BEC se déroulent généralement de la manière suivante :

• Un fraudeur compromet le compte de courriel de l’une des deux parties impliquées dans une transaction commerciale (souvent par hameçonnage, bourrage d’identifiants ou logiciels malveillants). Grâce à ce compromis, ils apprennent qu’une partie doit payer à l’autre.
• Le fraudeur peut utiliser son accès au compte de courriel du bénéficiaire pour usurper l’identité du bénéficiaire, en fournissant des instructions de paiement frauduleuses au payeur (c.-à-d. en lui demandant d’envoyer le paiement à un autre compte bancaire).
• Le fraudeur peut également enregistrer un domaine falsifié du bénéficiaire et envoyer un courriel à partir de ce domaine falsifié qui ressemble presque à l’adresse électronique du bénéficiaire et fournir des instructions de paiement frauduleuses au payeur.
• Si le fraudeur a accès au compte de courriel du bénéficiaire, il crée généralement des règles dans le compte de courriel pour cacher l’échange de courriels contenant les instructions frauduleuses. Cela donne au fraudeur le temps de recevoir les fonds dans son compte et de les retirer avant que la fraude ne soit découverte.

Une autre version courante de cette escroquerie consiste à ce que le fraudeur se fasse passer pour le chef de la direction ou le chef de la direction financière (CFO) d’une entreprise et appelle le service de la comptabilité, invoquant l’urgence d’un virement télégraphique requis. Plusieurs entreprises ont été victimes de cette fraude, certaines impliquant un audio deepfake du PDG (y compris un incident en 2024 où un employé des finances a été amené à verser 25 millions de dollars à des criminels utilisant la technologie deepfake pour se faire passer pour le directeur financier).

Selon l’Internet Crime Complaint Center (IC3), une division du Federal Bureau of Investigation, les escroqueries BEC ont entraîné des pertes de plus de 55 milliards de dollars américains entre 2013 et 2023 aux États-Unis. D’autres sources estiment des pertes de l’ordre de 6,7 milliards de dollars américains à l’échelle mondiale en 2023 seulement. Ce qu’il faut retenir, c’est que cette fraude est incroyablement courante.

Voici quelques conseils pour minimiser le risque d’être escroqué par le biais d’escroqueries BEC :

• Toute demande de changement de renseignements sur le compte, qu’il s’agisse d’un changement de nom, de numéro ou de compte bancaire de la personne-ressource, doit être traitée avec méfiance.
• Toute suggestion d’urgence du paiement doit être considérée comme un signal d’alarme.
• Mettez en place un protocole approprié pour minimiser le risque de cette escroquerie. Par exemple, le protocole peut exiger que :
  • Toute demande de changement de compte doit être vérifiée en faisant un appel sortant à un représentant connu de la société bénéficiaire (ou au chef de la direction ou au chef des finances, selon le cas), en utilisant un numéro de téléphone déjà au dossier de cette personne
  • Une réunion virtuelle (en personne) est organisée pour vérifier les instructions
  • un mot de passe prédéterminé est échangé verbalement
  • Toute demande de changement de compte doit être signée par l’employé comptable qui a reçu la demande et par son superviseur (deux têtes valent mieux qu’une!)
  • Immédiatement après l’envoi du virement, vous devez appeler l’entreprise à un numéro coté en bourse pour vous assurer qu’elle a reçu les fonds dans son compte
• Ne laissez pas l’urgence suggérée par le bénéficiaire (ou le fraudeur qui se fait passer pour le bénéficiaire) vous forcer à sauter le protocole approprié.
• Formez votre service comptable sur le protocole et les signaux d’alarme (ex. : toute demande de changement, toute demande urgente, toute demande hors de l’ordinaire à laquelle ils ne s’attendaient pas). Les organisations sont régulièrement victimes de cette fraude malgré la mise en place d’un protocole approprié parce que le service comptable ne connaît pas suffisamment le processus requis.
• Dans vos conditions avec des tiers, mettez en œuvre une disposition selon laquelle toute demande de changement de compte qui provient soi-disant de vous doit être vérifiée d’une manière spécifique. Cela peut aider à éviter les différends sur le blâme si le payeur est dupé pour envoyer des fonds au fraudeur.

Enfin, si vous découvrez que vous avez été victime d’une fraude, signalez-la immédiatement à un avocat, car nous pourrons vous aider à faciliter le gel du compte du fraudeur dans lequel les fonds ont été versés. Si vous avez des questions sur la gestion des risques de cybersécurité, communiquez avec l’équipe de Bennett Jones équipe de protection de la gouvernance des données et de la cybersécurité .