Sommaire
- Arnaque au président, fraude au président qu’est-ce que c’est ?
- Cibler pour mieux toucher, la stratégie de l’arnaque au président
- Le passage à l’acte : l’attaque et ses dégâts
- Le facteur temps, élément majeur d’une attaque dévastatrice
- Les biais psychologiques, le couteau suisse des arnaqueurs dans le cadre de l’arnaque au président
- L’engagement, les prémisses de l’attaque.
- L’attaque, phase deux, la manipulation
- L’hameçonnage, cheval de Troie des canaux de communication
- L’IA au service du deepfake, l’arme de conviction massive
- Manipuler pour extorquer
- Comment se protéger d’une arnaque au président ?
- Sensibiliser le personnel pour se protéger d’une arnaque au président
- Sécuriser les procédures critiques (paiements etc.)
- Rester vigilant avant toute divulgation d’information
- Détecter les redflags / évènements douteux
- Nommez un responsable, référent anti-fraude
- Comment réagir en cas de fraude ?
- Réduire au maximum la portée de l’arnaque au Président en alertant tout le monde
- Faire une déclaration et un dépôt de plainte
- Mettre en cause les prestataires en cas de faille
- Se faire accompagner par des professionnels : Broker Defense votre partenaire de confiance
Arnaque au président, fraude au président qu’est-ce que c’est ?
Au sens strict, il s’agit d’une fraude dans laquelle l’identité du président d’une société est usurpée dans le but de donner des instructions de paiement à des subalternes.
Au sens large, cela concerne toute usurpation d’un dirigeant dans le but de faire exécuter une transaction.
Cibler pour mieux toucher, la stratégie de l’arnaque au président
L’importance du ciblage, la face cachée de l’ingénierie sociale
Cette arnaque au président repose sur un duo, une double cible. La première est celui dont l’identité est usurpée. Elle sera la victime en fournissant de manière involontaire son identité. La seconde est une victime directe. Elle sera abusée et fera des actes contraires à son intérêt et à celui de son employeur.
La phase de préparation de ce duo improbable repose donc sur une analyse poussée. Tel des entomologistes de la vie sociale et entrepreneuriale, toutes les ressources du renseignement d’origine source ouverte (OSINT, Open Source INTelligence) vont y passer afin de collecter des informations disponibles publiquement (sites internet, réseaux sociaux, mais surtout les sites d’informations sur les entreprises …). La première étape consiste à décortiquer une organisation, groupe, entreprise, établissement public et autre association. Le but est de comprendre son fonctionnement afin d’élaborer un scénario crédible.
Toute société peut faire l’objet d’une attaque, et pas uniquement les plus grandes. Les grands groupes restent des cibles de choix, car les montants détournés peuvent être importants. Mais nous parlons de cibles qui sont souvent bien défendues. Elles ont mis en place des procédures et protocoles pour se prémunir de ce type d’attaque. Alors, dans un calcul simple de rentabilité entre le coût et les bénéfices, les PME sont des proies intéressantes pour les arnaqueurs. Déjà elles sont plus nombreuses que les grands groupes et ensuite leur niveau de protection est variable. Facteur aggravant, dans une ambiance à l’atmosphère plus familiale et humaine que de grandes structures, il n’est pas rare que le dirigeant ait le contact facile, ce qui en fait une cible de choix dans le cas où les escrocs privilégient l’approche familière. Inversement, dans une attaque reposant sur une approche beaucoup plus formelle, ils vont mettre en avant le rapport hiérarchique et la position de force.
Arnaque au président : Identification des cibles, la plus haute autorité.
Il est donc nécessaire de déterminer qui a le pouvoir, qui détient la plus haute autorité de l’organisation et ceci de manière incontestable. A ce stade, il va faire l’objet d’une analyse poussée. Tout va y passer et en premier lieu, les sites d’information sur les entreprises. Ils permettent d’identifier clairement les responsables. Ensuite, les réseaux sociaux permettent d’affiner, et notamment Linkedin qui se lit comme une compilation détaillée du CV de chaque professionnel. Que va-t-on pouvoir trouver ? Des éléments de personnalité, des habitudes, des passions… Est-il possible de retracer ses mouvements ? Il n’est pas inhabituel d’annoncer sa présence à l’avance à tel ou tel congrès, à une rencontre internationale. Ou bien sa présence dans une délégation importante. Ces éléments sont une moisson incroyable pour qui a un objectif malveillant.
Identification des cibles, la clef du coffre
Ensuite, un second travail commence. Déterminer qui dans l’organisation est une personne détenant les accès aux comptes bancaires. Autrement dit, qui a la clef du coffre. Les profils du service financier sont passés à la loupe. Là encore, leur vie numérique sera épluchée avec un soin encore plus grand. Les habitudes vont donner de précieux éléments. Les données personnelles seront étudiées avec le plus grand soin.
A ce titre les réseaux sociaux doivent être considérés comme le trousseau de clefs de son domicile. Imagineriez vous le distribuer à toute personne, avec votre adresse marquée sur le porte clef et la fiche de vos présences et absences du domicile ? C’est pourtant ce qui est fait quotidiennement sur internet au travers de multiples publications qui sont autant d’atteintes volontaires à sa propre vie privée.
Les réseaux sociaux mode d’emploi
C’est l’occasion pour tout un chacun de se poser la question de sa communication personnelle sur internet. De définir ses raisons profondes et ses objectifs à s’exposer. Une fois ceux-ci parfaitement définis, il faut définir ses lignes rouges et les publications que l’on doit s’interdire de diffuser sous peine de se mettre en danger.
Si cette démarche est salutaire pour tout un chacun, elle est vitale pour les cibles à haut risque que sont les dirigeants d’entreprise et les responsables des comptes bancaires.
Le joker du crime, l’obtention d’information sensibles
Jusqu’à présent nous n’avons vu que l’utilisation de techniques tout à fait simples, et dont l’accès ne nécessite d’enfreindre aucune loi ni règle. Pour autant, elles ne sont pas les seules à être utilisées et des moyens totalement illégaux viennent appuyer ces démarches.
Une petite campagne d’hameçonnage ciblée sur les cibles identifiées ou leurs proches peut permettre de s’introduire dans leur intimité numérique. Le but est d’accéder aux comptes de messagerie en volant un mot de passe ou de voler des données sensibles.
Mais plutôt que le vol de données, il est parfois plus simple aux escrocs de les acheter. Nombre de fuites de données, de piratages de mots de passe se revendent sous le manteau du darkweb. A titre d’exemple une fuite de données récente a touché 33 millions de français. Cette fuite est plus spectaculaire par le nombre de victimes que l’importance des données dérobées.
Disposer des mots de passe de messagerie, accéder aux messageries instantanées, surveiller les échanges voilà autant de méthodes qui permettront d’en savoir plus sur les cibles inconscientes du danger qui les menaces. Le but est surtout de ne toucher à rien, de rester d’une discrétion absolue. Tapie dans l’ombre, la menace veille, et elle n’a rien de bienveillant.
Le passage à l’acte : l’attaque et ses dégâts
Le facteur temps, élément majeur d’une attaque dévastatrice
Chaque attaque réussie repose sur une conjonction de facteurs et une longue et minutieuse préparation. Un des facteurs essentiels est le timing de l’opération. La cible usurpée, le Président doit être dans une rupture de normalité mineure. Un déplacement à l’étranger, un week-end, une situation de léger imprévu le mettant dans un contexte de capacité d’action dégradé.
Dans un souci de cohérence, l’écart avec la normalité ne doit pas être trop grand pour que le scénario reste crédible et surtout pour que la cible subalterne ne cherche pas à vérifier l’état de la situation.
En effet, personne n’ira vérifier si le président est parti en week-end un vendredi soir, ou s’il est en déplacement à Londres si l’information a été annoncée des semaines à l’avance sur le compte Facebook de l’entreprise. Les jours de semaine sont quand même privilégiés, car ils correspondent aux heures d’ouverture des banques permettant de faire des virements.
Il va s’ouvrir une fenêtre de tir de quelques heures maximum pendant laquelle les escrocs vont jouer leurs cartes.
Les biais psychologiques, le couteau suisse des arnaqueurs dans le cadre de l’arnaque au président
D’un coup l’employé ciblé, celui qui a accès au compte va supporter seul l’attaque. Lui aussi devra se retrouver dans un contexte de rupture de normalité mineure. Par exemple, on se retrouve après la fermeture des bureaux, lorsque tous ses collègues sont rentrés chez eux. Il sera en week-end, ou bien en congés. Et de plus en plus, il sera en télétravail. Tout ce qui fera qu’il ne pourra pas disposer aisément des ressources normales et habituelles. Il sera seul. Il faut noter que l’explosion du télétravail a eu un facteur aggravant majeur en isolant les salariés. Sous pression, ils auront peur d’appeler pour effectuer les vérifications. Seul face à lui-même, face à ses doutes. Seul face à sa conscience. Et il devra faire un choix, un choix important, rapidement, dans l’urgence.
L’engagement, les prémisses de l’attaque.
Comme toute grande bataille épique, la première escarmouche va fixer le résultat final. L’engagement est la première prise de contact, elle permet aux escrocs de planter le décor. Elle repose sur le biais d’autorité. Dans une relation d’autorité, l’usurpateur cherche à jouer de l’urgence sans écraser sa victime. Il peut jouer deux cartes, soit celle de l’autorité maximale, soit mettre en avant l’urgence dans un cadre familier. Dans tous les cas, le but est de contrôler psychologiquement sa cible. Dans un jeu malsain de carotte et de bâton, l’employé sera à la fois flatté et considéré et mis en situation de gène et de stress. Il est nécessaire de le sortir de sa zone de confort pour troubler son discernement.
L’attaque, phase deux, la manipulation
C’est là où les deux ruptures mineures de normalité se rencontrent. Le président, bloqué temporairement ne peut que demander l’aide de son subalterne pour effectuer une action habituellement hors de son périmètre. Flatté par la mise en confidence, l’importance du secret et l’urgence de l’action créent une situation détonante. Elle est également appuyée par la menace hiérarchique.
Il peut y avoir une rotation des supports avec l’engagement. Quand ce dernier a été fait par mail, la phase de manipulation est réalisée par audio ou visio et inversement, ce qui renforce la dangerosité de l’attaque. Pourtant bien souvent, l’attaque en lui même est réalisée entièrement par mail, pour des raisons de coût et de temps principalement.
L’hameçonnage, cheval de Troie des canaux de communication
Si lors de la phase de préparation des fuites de mots de passe, ciblées ou anciennes ont permis de récupérer l’accès à des outils de communication, la crédibilité de l’action criminelle va monter d’un niveau. Le mail émanera réellement de la boite mail professionnelle ou personnelle du dirigeant, de son compte WhatsApp ou de tout autre moyen de communication. Mais pour autant, tous les canaux ne se valent pas. Certains, d’utilisation très amicale ou familiale seront perçus comme trop inhabituels et viendront détruire d’un coup la crédibilité qu’ils étaient censés construire.
Il ne faut pas non plus imaginer que les mails sont la voie unique de ces échanges. Les SMS et visio sont aussi des points d’entrée importants à ne pas négliger car une démarche de méfiance.
L’IA au service du deepfake, l’arme de conviction massive
Dans un tel contexte, l’utilisation de l’IA et ses incroyables possibilités de deepfake va apporter un soutien de poids à l’arnaque. Comment ne pas croire à la prise de contact lorsque la voix est identique ? Comment se méfier avec une visio où l’image est jointe à la voix, dans une symbiose parfaite ? Evidemment, il est important pour les arnaqueurs de ne pas trop s’exposer. Il faut être direct et aller droit au but. Toute information périphérique donne autant de possibilité à la cible de ne plus adhérer au discours.
Maintenant le recours au deepfake reste coûteux et complexe à mettre en œuvre. Sa qualité va dépendre d’une part de la quantité de données à disposition et de la qualité de l’IA utilisée. De même l’usurpation pourra être déclinée en version vocale uniquement avec du deepvoice ou avec une composante visuelle en deepface. La diffusion d’un audio ou d’une vidéo enregistrée et présentée comme tel évitera les difficultés de gestion du direct et de la spontanéité des échanges, mêmes directifs et autoritaires.
Manipuler pour extorquer
Evidemment, le but premier des arnaqueurs n’est pas la beauté du geste, mais bel et bien de prendre de l’argent et le plus possible. Dans le scénario d’attaque, le motif, ainsi que le montant sont soigneusement étudiés pour rester crédible et en cohérence avec la société ciblée. L’objectif est que la victime trompée fasse ce pourquoi toute l’opération a été montée. C’est-à-dire qu’elle se connecte aux comptes bancaires et effectue une opération de paiement selon les instructions fournies frauduleusement par le faux dirigeant. Le cas d’une opération secrète d’achat de société est un grand classique qui allie nécessité du secret à impératif de contourner les procédures existantes, dans un faux but d’efficacité.
Comment se protéger d’une arnaque au président ?
Si ce type d’arnaque peut faire des ravages, l’on comprend au travers des explications précédentes qu’il y a de nombreux biais et des points d’entrées qui permettent de faire échouer l’attaque.
Sensibiliser le personnel pour se protéger d’une arnaque au président
Si l’on analyse les ressorts de l’attaque, on perçoit immédiatement le caractère psychologique de l’ensemble. Une bonne information des employés et en particulier de ceux qui sont les cibles critiques est indispensable. Dès lors que tous ceux qui ont accès aux comptes bancaires savent qu’ils peuvent faire l’objet de ce type d’attaques, ils seront mieux préparés psychologiquement pour y faire face. Dès que chaque employé est en mesure de résister à l’urgence ou de gérer sereinement la situation de stress, l’essentiel de l’attaque sera déjoué.
La lutte contre le phishing doit avoir une bonne place à cet endroit. La mise en place d’outil technologiques de protection des mails et des profils est un moyen simple mais efficace pour réduire la menace de manière significative.
Sécuriser les procédures critiques (paiements etc.)
Pour autant, il ne faut pas faire reposer l’intégralité du système de défense sur la capacité humaine à résister à une tentative et à un discours frauduleux. En effet, il est tout à fait possible qu’une tentative plus élaborée que les autres puisse y arriver. Les usages des deepfakes en sont un bon exemple et nous ne pouvons que considérer que leur qualité sera de plus en plus indiscernable à l’avenir.
La mise en place de procédures efficaces et résilientes à ce type d’attaque évitera non seulement des détournements, mais en plus va contribuer à apaiser les personnes en charge. En ayant des schémas clairs en tête, et sachant que tout ne repose pas sur leurs épaules, chaque personne en charge des paiements sera en mesure de résister au stress. La mise en place de procédures en cas de situation anormale ou dégradée entre dans ce cas de figure.
En la matière, plus qu’un guide générique à appliquer de manière automatique, chaque société doit construire la procédure qui lui convient.
Rester vigilant avant toute divulgation d’information
Il faut aussi être conscient que derrière chaque tentative d’arnaque au Président, il y a eu une opération de renseignement réussie. C’est pourquoi la divulgation d’information doit être totalement contrôlée, en particulier pour les personnes cibles de ce type d’arnaques : dirigeants et détenteurs des accès aux comptes. De même, l’annonce à l’avance de déplacements ou d’évènements est un facteur de risque à prendre en compte.
Détecter les redflags / évènements douteux
Le déroulé d’une arnaque au président repose sur plusieurs étapes. La première, l’engagement permet de poser le contexte de la manipulation. Quelque soit la sophistication de scénario, le nombre de phases, cela reste l’étape indispensable. Sans elle, l’arnaque au Président n’a aucune chance de fonctionner. Mais c’est aussi l’occasion de reconnaitre une situation anormale aux personnes averties. Dans un contexte de prévention réussie et de procédures claires, la tentative va échouer.
Nommez un responsable, référent anti-fraude
Une des méthodes efficaces pour se prémunir d’une telle situation reste la désignation d’un responsable référent anti-fraude. C’est lui qui sera contacté par l’employé dans le doute et qui interviendra pour porter la responsabilité en cas de situation anormale. Evidemment ce référent devra être une référence et porter la dernière connaissance en la matière. Formé correctement, il devra être en mesure de rassurer ses collègues et de les protéger efficacement de toute dérive.
Pour le désigner, tout va dépendre de l’organisation et de la taille de l’entreprise. Dans la plupart des cas, il s’agit soit du service informatique ou bien du service sécurité. Ils sont les interlocuteurs naturellement désignés de fait de la proximité de leurs fonctions avec la problématique de l’arnaque au Président. Egalement, il est fréquent de voir désigné un collaborateur d’encadrement ou de direction qui sera dédié à ce sujet.
Comment réagir en cas de fraude ?
Premier point, il est important de reconnaitre la situation pour pouvoir engager le plus rapidement possible un plan de réaction à l’incident.
Il s’agit bien souvent d’une course contre la montre et il est crucial de ne pas perdre de temps. Or malheureusement, très peu d’entreprises ont un plan prévu si la situation se présente. Dès lors des minutes ou des heures précieuses sont perdues dans la précipitation et le stress de l’instant.
Réduire au maximum la portée de l’arnaque au Président en alertant tout le monde
La première étape est de prévenir immédiatement tout le monde. Cela permet de réduire la portée de l’attaque et d’éviter qu’elle ne porte en elle des variantes avec des cibles secondaires non encore exploitées par les escrocs. L’urgence est de limiter le sinistre et d’éviter qu’il continue à s’étendre.
Faire une déclaration et un dépôt de plainte
Second point, il faut procéder rapidement aux déclarations et dépôt de plainte. La mise en place de modèles en amont, rédigés au calme par le service juridique ou un avocat permet de gagner du temps au moment critique.
Certaines activités impliquent des déclarations spécifiques (ACPR, CNIL ou organismes de contrôle ou de régulation professionnelles). Il est nécessaire d’avoir prévu à l’avance soit une pré rédaction de ces déclarations, soit un recueil simple et clair des adresses et correspondants à informer et contacter.
Idéalement, l’implication d’un professionnel de la recherche ou du droit à ce stade avancé permet aussi de gagner des minutes précieuses, elle peut permettre de récupérer des informations précieuses ou de remonter une piste encore fraiche.
Idéalement, l’implication des intermédiaires bancaires doit être immédiatement envisagée au travers d’une demande de retour de fonds. La rapidité peut permettre de bloquer les fonds avant leur récupération par les escrocs. De même, s’agissant d’une course contre la montre, la préparation d’un modèle de demande permet de gagner un temps précieux. Toutefois, cette étape doit être réalisée de manière réfléchie. En effet, une maladresse dans la rédaction peut avoir des conséquences fâcheuses et devenir un argument se retournant contre l’entreprise.
Mettre en cause les prestataires en cas de faille
Une fois les mesures d’urgence engagées, il faut réfléchir sereinement à l’avenir du dossier. La définition d’une stratégie efficace passe par l’analyse des responsabilités de chaque intermédiaire, comme de prestataires extérieurs.
De même l’implication des banques ou assurances doit s’envisager. En effet, s’agissant de transactions importantes, il n’est pas rare que des procédures spécifiques soient mises en place pour justement éviter de telles situations. Une arnaque au président peut aussi être déjouée par la banque qui va soit temporiser soit demander des confirmations pour exécuter les ordres demandés.
Se faire accompagner par des professionnels : Broker Defense votre partenaire de confiance
Dans tous les cas, il ne faut pas hésiter à se faire accompagner par des professionnels aguerris. Broker Defense, dispose de 10 années d’expérience dans la lutte contre la fraude et les arnaques. Notre réseau de professionnels, avocats, spécialistes cyber est à votre disposition quelle que soit votre situation. Nous travaillons notamment avec les experts aguerris de dappwork. Nous intervenons depuis le calme de l’anticipation jusqu’à l’urgence de la réaction à l’incident.
Si vous avez été victime d’un phishing, n’hésitez pas à nous contacter pour plus d’informations. Nous sommes là pour vous informer et vous accompagner dans la défense de vos droits.
2 Comments
[…] Arnaque au président et deepfake, voici le cocktail perdant de bien des situations tragiques. Dans le monde de la finance, la vigilance est de mise, mais même les plus méfiants peuvent être dupés par les avancées technologiques. C’est ce qu’a douloureusement expérimenté un employé d’une multinationale basée à Hong Kong. L’arnaque, digne d’un scénario de film, a impliqué des deepfakes. Ces imitations hyper-réalistes générées par intelligence artificielle ont trompé la victime lors d’une visioconférence soigneusement orchestrée. […]
[…] des cibles ne laisse aucun doute sur les intentions criminelles. Il en est de même sur les risques d’arnaques au Président qui en […]