Sous des fausses identités, les fraudeurs tenteront de manipuler les individus avec des promesses extraordinaires pour du nouveau financement, par l’urgence d’accéder à leur site pour débloquer leur compte bancaire ou par des réclamations agressives de paiement de factures par des agences inconnues.
Les fraudeurs peuvent cibler par hasard un employé travaillant pour votre organisation. Dans le cadre de leurs fonctions, certains de vos employés sont fréquemment sollicités à communiquer, par téléphone ou par courriel, des informations sur votre organisation avec des clients, des fournisseurs et pour certains employés, avec des institutions gouvernementales et financières et des collègues.
Les fraudeurs pourraient prétendre être l’un de ces intervenants. Et en ayant recours à des moyens de pression comme l’urgence d’agir ou des menaces de sanctions ou tout simplement en exploitant la naïveté, la peur ou en utilisant leur charme, les fraudeurs peuvent inciter les employés à leur fournir des informations, souvent confidentielles, ou les inciter à commettre des gestes afin de faciliter l’accès à cette information.
TECHNIQUES DE FRAUDE BASÉES SUR L’INGÉNIERIE SOCIALE COURAMMENT UTILISÉES DANS LES ORGANISATIONS
Prétexte
Le fraudeur élabore un scénario visant à générer un sentiment de pression ou d’urgence afin d’inviter la victime potentielle à lui partager de l’information confidentielle. Par exemple, on vous informe que les informations du compte bancaire de l’organisation ont été compromises. Pour continuer à accéder au compte en ligne, vous devez mettre à jour les informations rapidement.
L’employé pourrait craindre de perdre cet accès en ligne alors qu’il a des paiements urgents à effectuer.
Hameçonnage et SMIshing (par texto)
Des courriels sont envoyés, au hasard, à différents employés afin de les inciter à fournir de l’information confidentielle sur votre organisation. Par exemple, l’employé pourrait recevoir un courriel provenant, en apparence, de l’un des intervenants de l’organisation, lui demandant de cliquer sur le lien contenu dans le courriel pour mettre à jour des informations.
L’employé pourrait ne pas s’apercevoir que ce lien l’a redirigé vers une page internet similaire à celle de l’intervenant avec qui fait affaire l’organisation et pourrait, sans se méfier, y saisir les informations demandées.
Fraude du président
Par l’utilisation d’un courriel dont l’aspect semble légitime, le fraudeur prétend être le président ou bien une personne de la haute direction de l’organisation. Il demande à un employé d’effectuer un virement bancaire afin de compléter une transaction hautement confidentielle et urgente. Le courriel peut, pour faciliter la collaboration de cet employé, porter la mention qu’il a été choisi pour sa discrétion et la confiance que l’organisation lui porte.
L’employé pourrait, avec cette demande urgente et provenant directement de la part du président, ne pas appliquer les procédures de contrôle et effectuer le paiement.
OUTILS POUR PRÉMUNIR LES EMPLOYÉS DE VOTRE ORGANISATION
Voici quelques outils essentiels pour se prémunir contre l’ingénierie sociale :
- Vérifier l’adresse courriel du destinataire afin de s’assurer qu’il provient d’une source légitime. En cas de doute, appelez directement le destinataire par téléphone.
Dans le cas de la fraude du président, l’adresse courriel comportera une lettre ou un chiffre de plus ou différent. - Examiner le lien contenu dans un courriel en plaçant le curseur de la souris sur celui-ci avant de cliquer.
L’extension de ce lien doit être cohérente avec le fournisseur de services ou autres intervenants de l’organisation. - Surveiller les indices de manipulation tel que l’urgence d’agir, les menaces de sanctions, les fautes d’orthographes et la langue de communication.
Ceci peut vous aider à distinguer le vrai du faux. - S’assurer de la véracité de l’information avant de cliquer sur le lien d’accès contenu dans le courriel qu’une institution financière vous a fait parvenir pour indiquer que le relevé bancaire est disponible.
Ce lien pourrait vous diriger vers un site frauduleux. Il est recommandé de vous rendre directement sur le site internet de l’institution. - Informer votre interlocuteur que vous le rappellerez plus tard s’il vous demande des renseignements confidentiels sur l’organisation. Composez le numéro que vous retrouverez directement sur le site légitime de l’institution ou de l’entreprise.
Les fraudeurs peuvent modifier le numéro de téléphone inscrit sur l’afficheur.
L’ingénierie sociale peut coûter cher à une organisation et peut aller jusqu’à atteindre la réputation. La formation auprès de vos employés restera toujours l’outil essentiel pour se prémunir contre ce genre de manipulations.
Pour d’autres outils de prévention ou si vous avez des questions, nous sommes là pour vous guider! Écrivez-nous!