Judy a failli perdre 315 000 $ en espèces appartenant à son employeur, une entreprise manufacturière de taille moyenne du nord-est de l’Ohio. Le patron de Judy lui avait envoyé un e-mail lui demandant de transférer l’argent en Chine pour payer certaines matières premières. Le patron, qui voyageait à l’étranger à l’époque, avait déjà demandé de tels transferts – pour des montants encore plus élevés à des fabricants en Chine et ailleurs – de sorte que la demande ne semblait pas inhabituelle ou suspecte.
Jusqu’à ce que ce soit le cas. Après que Judy ait envoyé les instructions télégraphiques au service des finances, quelque chose à propos de l’e-mail lui est resté en tête : le message était beaucoup plus formel que le ton de voix que son patron utilisait normalement pour s’exprimer par e-mail.
Au moment où elle est retournée pour examiner la missive et a découvert qu’elle avait été victime d’une arnaque par un imposteur, il était trop tard – l’employé chargé d’initier les virements dans son entreprise l’avait déjà envoyé à la banque. Heureusement, la banque n’avait pas encore traité le virement, et ils ont pu récupérer les fonds.
« Judy » est un pseudonyme ; elle a demandé à rester anonyme afin de ne pas embarrasser davantage son employeur ou elle-même. Mais pour chaque appel rapproché comme celui de Judy, il y a beaucoup plus de petites entreprises chaque semaine qui tombent dans le piège de ces escroqueries et perdent des millions dans le processus.
Connue sous les noms de « fraude au PDG » et de « compromis par courrier électronique professionnel », cette escroquerie est une escroquerie sophistiquée et de plus en plus courante qui cible les entreprises travaillant avec des fournisseurs étrangers et/ou les entreprises qui effectuent régulièrement des paiements par virement bancaire. En janvier 2015, le FBI a averti que des cybervoleurs avaient volé près de 215 millions de dollars à des entreprises au cours des 14 mois précédents par le biais de telles escroqueries, qui commencent lorsque des escrocs usurpent ou détournent les comptes de messagerie de dirigeants ou d’employés.
En février, des escrocs emporté avec un énorme 17,2 millions de dollars de l’une des plus anciennes entreprises d’Omaha, Nebraska — La société Scoular., un négociant en matières premières appartenant à ses employés. Selon Omaha.com, un dirigeant de l’entreprise de 800 employés a viré l’argent par versements l’été dernier à une banque en Chine après avoir reçu des courriels lui ordonnant de le faire.
L’e-mail frauduleux qui a failli coûter son travail à Judy semble provenir du directeur financier de son entreprise, qui, selon elle, n’est généralement pas au bureau. Le message a été fait pour apparaître comme s’il s’agissait d’une conversation entre le directeur financier et le PDG, dans laquelle le PDG a dit au directeur financier que l’argent devait être transféré en Chine.
« 315 000 dollars, c’est certainement un montant élevé, mais j’ai déjà effectué une transaction de 1,4 million de dollars et j’envoie de l’argent à la Chine pour les biens que nous achetons là-bas », a-t-elle déclaré. « Mais vraiment, l’e-mail m’a dérangé. Ça ne me semblait pas tout à fait correct quand c’est arrivé, mais à aucun moment je n’ai pensé, ‘c’est quelqu’un qui imite le patron.’
Après avoir envoyé à un collègue des instructions financières pour exécuter le virement bancaire, Judy a envoyé une note au directeur financier lui demandant si elle devait également informer le PDG que le virement avait été envoyé. Lorsque la réponse est revenue sous forme de libellé, elle ne pouvait pas imaginer que le directeur financier la mette par écrit, elle a étudié de plus près l’e-mail transmis. Effectivement, Judy a découvert que le message avait été envoyé à partir d’un nom de domaine qui ressemblait à une lettre différente du véritable nom de domaine de son employeur.
En collaboration avec des enquêteurs, la société a déterminé que les fraudeurs avaient enregistré le faux domaine et le compte de messagerie associé auprès de Vistaprintqui offre un essai gratuit d’un mois aux entreprises qui souhaitent créer rapidement un site Web.
« Il s’avère que les escrocs ont configuré le domaine et l’adresse e-mail ce matin-là, le même jour que la demande de transfert », a déclaré Judy. « Lorsque cet e-mail est arrivé, la différence ne m’a pas sauté aux yeux. Avec le recul, ça me souffle que ça ne me dérange pas plus que ça ne l’a fait. Mais dans l’agitation de la journée, je n’étais pas sur mes gardes pour quelque chose comme ça. Maintenant, je remets tout en question.”
L’employeur de Judy a désormais une politique obligatoire sur les virements électroniques :
« Tout d’abord, chaque fois qu’il y a un virement ou un paiement important à effectuer, nous devons parler en personne, que ce soit en face à face ou en personne au téléphone », a-t-elle déclaré.
En d’autres termes, plus besoin d’effectuer de gros virements parce que quelqu’un vous l’a demandé par e-mail. Il est remarquable de constater à quel point le commerce mondial se fait par courrier électronique et à quelle fréquence les deux parties à la transaction ignorent ou ignorent délibérément le fait que le courrier électronique est intrinsèquement non sécurisé. Plus remarquable encore, cette forme de fraude se produit dans un canal où la banque de la victime n’a pratiquement aucune visibilité.
L’avis du FBI sur ces escroqueries exhorte les entreprises à adopter authentification en deux étapes ou à deux facteurs pour les e-mails, le cas échéant, et/ou pour établir d’autres canaux de communication, tels que les appels téléphoniques, afin de vérifier les transactions importantes. Il est également conseillé aux entreprises de faire preuve de retenue lorsqu’elles publient des informations sur les activités des employés sur leurs sites Web ou via les médias sociaux, car les attaquants qui commettent ces stratagèmes essaieront souvent de découvrir des informations sur le moment où les dirigeants de l’organisation ciblée seront en voyage ou absents du bureau.