Votre entreprise a commandé de nouveaux meubles de bureau et vous recevez une facture du fournisseur. Vous virez le montant sur son numéro de compte, lequel est mentionné sur la facture, mais quelques semaines plus tard, vous recevez un avertissement dans votre boîte de réception que le fournisseur n’a reçu aucun paiement de votre part.  Si c’est le cas, c’est que votre entreprise est peut-être victime d’une facture falsifiée. Des pirates informatiques ont probablement intercepté la facture et en ont modifié le numéro de compte. En fait, en payant la facture, vous payez les escrocs.

En fait, on parle de « CEO Fraud » lorsque des cybercriminels usurpent les comptes e-mail d’une entreprise et l’identité de ses dirigeants pour tenter d’ordonner à un employé de la comptabilité ou des finances d’autoriser des virements électroniques ou d’envoyer des informations fiscales confidentielles.

On parle donc d’une attaque sophistiquée, appelée « Executive Whaling » qui cible les cadres supérieurs. Elle est surtout basée sur la recherche approfondie d’informations concernant ces dirigeants d’entreprises, réalisée par des gens malintentionnés.

Selon le FBI, ces escroqueries à la compromission d’e-mails d’affaires ont impliqué une perte de plus de 5 milliards de dollars entre octobre 2013 et décembre 2016, avec plus de 24 000 victimes dans le monde entier.

Vous ne voulez pas prendre le risque de payer une facture sans en vérifier la validité, non ?

Les fausses factures par email

Le terme « spam » est trop générique pour qu’un employé puisse comprendre correctement la menace qu’il représente. Bien qu’il définisse des emails indésirables, c’est-à-dire les messages que vous ne souhaitez pas recevoir. Il en existe de nombreux types de spams que vous devrez correctement différencier, comme les emails d’usurpation d’identité, les messages du type BEC (fraude au directeur), les email contenant des pièces jointes malveillantes, les emails avec des liens (URL) malveillants, les e-mails de phishing, de spear phishing, de whaling, etc.

L’une des attaques par email les plus efficaces est celle des fausses factures, où le pirate informatique envoie un message contenant une facture liée à son compte bancaire en pièce jointe. Dans la majorité des cas, les cybercriminels réussissent à acquérir un accès aux comptes email de leurs victimes ; ils attendent qu’il y ait une conversation au sujet d’un transfert financier pour pouvoir envoyer son compte IBAN personnel. Ils utilisent souvent le prétexte d’un problème avec le compte bancaire habituel de vos employés.

Ces attaques sont tout aussi efficaces contre les particuliers que pour les PME qui n’ont que peu de processus internes pour valider les transactions. Mais elles ciblent également les grands groupes qui ont de grandes équipes et de nombreux décideurs qui ne disposent pas d’une vision globale de l’activité financière de l’entreprise.

A quoi ressemble une attaque de phishing. En voici quelques exemples !

Vous recevez un e-mail dans lequel on vous demande de cliquer sur un lien qui semble d’une grande importance.

En effet, ce genre d’e-mail est envoyé à des milliers de comptes quotidiennement. En cliquant sur le lien, vous risquez de télécharger un logiciel malveillant qui pourra enregistrer les informations que vous saisissez sur votre PC, y compris les noms d’utilisateur et les mots de passe que vous utilisez sur les sites web et sur vos applications d’entreprise.

Vous pouvez aussi recevoir un e-mail qui semble être un communiqué officiel de votre banque. Il peut inclure votre nom personnel ou professionnel et vous demande de cliquer sur un lien pour accomplir une tâche urgente.

Ce lien fait apparaître un faux site web qui ressemble beaucoup à celui de la banque. Lorsque vous entrez votre nom d’utilisateur et votre mot de passe, ces informations sont sauvegardées par des cybercriminels. Ces derniers pourront ensuite les utiliser pour transférer de l’argent qui se trouve dans votre compte bancaire.

Autre exemple : vous pouvez recevoir un e-mail de votre patron vous demandant d’effectuer un virement télégraphique à une entreprise de bonne réputation. Est-ce que vous devriez vous méfier de cet e-mail de votre patron ?

La réponse est « Oui ». Réfléchissez toujours à deux fois avant de payer une quelconque facture ou de transférer des fonds.

Comment les escrocs procèdent-ils ?

Les cybercriminels utilisent les escroqueries par e-mail pour infiltrer des entreprises avec des malwares et les attaquer de l’intérieur. Tout ce dont les pirates informatiques ont besoin pour s’introduire dans votre entreprise est un message électronique intelligemment formulé. S’ils peuvent tromper un employé de votre entreprise et que celui-ci clique sur un lien malveillant, ils peuvent accéder à vos données sensibles.

Les pirates envoient des factures par e-mail pour amener les destinataires – qui sont généralement des entreprises – à partager des informations personnelles qui sont ensuite utilisées pour l’usurpation d’identité ou la fraude. Ils se font passer pour une enseigne (entreprise, fournisseur, etc.,) de bonne réputation en envoyant une facture pour des produits ou des services que vous n’avez jamais commandés.

Le phishing est l’une des techniques les plus utilisées par les pirates  pour récupérer des données ou informations (souvent bancaires). Ils utilisent pour cela l’identité d’une enseigne de confiance comme les mutuelles, les  banques, ou les sites e-commerce pour envoyer des e-mails en leur nom. Les pirates réclament généralement l’envoi de données ou le paiement d’une somme via un lien hypertexte intégré au message électronique ou via un formulaire en ligne. Ils peuvent ainsi récupérer les coordonnées bancaires, ou les identifiants de connexion et mots de passe de vos employés, pour les voler ensuite en se servant de leur compte en banque.

Le plus grand risque lié aux e-mails de phishing se trouve généralement dans les pièces jointes. Une fois que vous téléchargez une pièce jointe envoyée dans un message frauduleux, vous installez en fait un malware. Les escrocs peuvent ainsi détourner les ordinateurs de vos employés et les empêcher d’accéder aux fichiers essentiels.

Pourquoi les pirates préferent-ils utiliser les fausses factures et les e-mails non sollicités ?

Certaines des attaques en ligne sont simplement envoyées sous forme de spam à de nombreux employés ou entreprises. D’autres menaces peuvent cibler directement votre entreprise lorsque l’enregistrement en tant qu’entreprise devient public.

Les entreprises qui envoient de fausses factures les fouillent ce type de données pour identifier de nouveaux objectifs. Ce type de courrier est souvent personnalisé et peut inclure les coordonnées de votre entreprise, ce qui rend souvent difficile de reconnaître si le message est légitime ou non.

Les e-mails reçus peuvent également indiquer des informations bancaires ressemblant à celles des coordonnées bancaires légitimes utilisées par l’entreprise. Sans double contrôle, vous pouvez donc finir par transférer de l’argent sur un compte bancaire frauduleux.

Récentes arnaques sur les fausses factures

Pas plus tard que l’année dernière, l’entreprise française Etna Industrie, qui emploie 50 personnes, a été victime d’une attaque de type « CEO Fraud ».

Lors d’une interview sur BBC, Carole Gratzmullter, PDG de l’entreprise Etna Industrie, a déclaré : « Mon comptable a été appelé vendredi matin et l’appelant a dit : vous allez recevoir un e-mail de la PDG qui contient des instructions pour effectuer une transaction très confidentielle et que vous devrez exécuter ».

Le comptable a ensuite reçu un e-mail d’une adresse avec le nom de Mme Carole Gratzmullter, mentionnant qu’Etna Industrie était en train d’acheter une entreprise à Chypre. Le comptable devait donc recevoir un appel téléphonique d’un consultant qui travaille avec un avocat.

Ce dernier lui donnerait les instructions quant à l’endroit où l’argent devrait être transféré. Mme Gratzmuller a souligné que tout ceci s’était passé entre 9 et 10 heures et, pendant cette période, le comptable a probablement reçu une dizaine d’e-mails et trois ou quatre appels téléphoniques différents.

Les fraudeurs ont donc forcé le comptable à agir rapidement – c’est l’une des caractéristiques courantes d’une attaque par phishing – de sorte qu’il ne puisse pas avoir le temps de réfléchir et de penser qu’il s’agit d’une situation inhabituelle.

Avant midi, le comptable avait donc autorisé des virements bancaires d’un montant total de 542 000 $ sur des comptes bancaires étrangers. Heureusement pour Etna Industrie, trois de ces virements ont été bloqués par les banques, mais une transaction d’un montant d’environ 115 000 $ a tout de même pu être réalisée.

5 milliards de dollars perdus à cause du phishing et des BEC (Business Email Compromise)

Dans un article publié plus tôt cette année, nous avons mis l’accent sur l’affaire Scoular, qui a été aussi victime d’une attaque de phishing hautement ciblée. À cause de cette attaque cybercriminelle, Scoular a perdu 17,2 millions de dollars au mois de juin 2014.

Les détails de l’affaire mettent en lumière certains des signes avant-coureurs d’une éventuelle attaque de phishing.

D’une part, Scoular a des intérêts commerciaux internationaux et réalise fréquemment des virements à l’étranger. Il ne semblait donc pas inhabituel que le comptable de Scoular reçoive un email pour faire un virement de 780 000 $ sur le compte d’une banque chinoise. À ce moment, le contrôleur n’avait pas reçu d’alerte et a donc transféré l’argent, alors que celui-ci aurait dû être viré sur le compte d’une vraie banque, la Shanghai Pudong Development Bank.

Le lendemain, il a reçu un deuxième e-mail qui lui demandait de virer 7 millions de dollars et de communiquer avec son cabinet de vérification pour obtenir des détails sur l’envoi de l’argent. Il a ensuite reçu ces détails (non sollicités) par e-mail pour donner l’impression qu’ils provenaient réellement des vrais vérificateurs de la SEC (Securities and Exchange Commission).

L’un des e-mails disait : « J’aurai besoin que vous vous occupiez de ceci : au cours des derniers mois, nous avons travaillé en coordination et sous la supervision de la SEC en vue de l’acquisition d’une société chinoise … C’est très sensible, donc ne communiquez avec moi que par cet email, afin que nous n’enfreignions pas les règles de la SEC. »

Trois jours plus tard, le contrôleur a encore reçu un troisième et dernier e-mail, lui demandant de virer 9,4 millions de dollars supplémentaires. Au cours de l’enquête sur l’affaire, le contrôleur a dit au FBI qu’il « ne se méfiait pas des trois demandes de virements » parce qu’il y avait un élément de vérité dans tout cela ». Suite à cet incident, le contrôleur a été remercié par Scoular.

Que s’est-il passé exactement ?

De nos jours, les professionnels du phishing s’attaquent à la nature humaine. Ils recueillent des renseignements sur votre entreprise via de nombreuses sources.

  • Ils consultent par exemple les sources publiques comme Google pour trouver votre nom d’entreprise et d’autres informations qui y sont disponibles
  • Ils recherchent les personnes qui travaillent ou ont travaillé tant pour votre entreprise que pour vos fournisseurs ou clients
  • Ils peuvent également accéder par effraction dans votre réseau informatique pour recueillir des renseignements confidentiels.

Pour le cas de Scoular, les cybercriminels connaissaient parfaitement le nom du contrôleur et des vérificateurs du SEC. Il savait également que l’entreprise cherchait de nouvelles opportunités commerciales en Chine.

Lorsqu’ils ont opéré, ils ont commencé modestement, puis augmenté leurs demandes à chaque fois qu’ils réussissent. Leur première demande dans l’affaire Scoular s’élevait à 780 000 $, alors que pour la dernière demande, la somme s’élevait à 9,7 millions de dollars.

Même les plateformes de renom comme Google et Facebook ont également été victimes de fausses factures. Le pirate, sous le nom d’Evaldas Rimasauskas, a facturé aux deux géants de l’internet plus de 100 millions de dollars. Pour ce faire, il prétendait être leur fournisseur de matériel Quanta Computer basé à Taiwan. Evaldas a fait croire à Google et Facebook qu’une compagnie porte le même nom en Europe, et créée une fausse succursale de la compagnie taiwanaise. Bien que ces deux entreprises disposent de nombreux outils qui permettent d’empêcher ce genre d’attaque, le pirate d’Evaldas avait suffisamment de connaissances sur leurs processus de commande et de paiements pour émettre des fausses factures et pour soustraire de l’argent pendant deux ans.

Éviter le piège de la fraude à la facture

Il existe également un autre type de fraude à la facture en dehors du phishing. Aujourd’hui, nous envoyons de plus en plus de factures sous la forme électronique. Cette situation entraine une augmentation du risque de fraude. L’une des techniques les plus courantes : le pirate envoie une fausse facture qui porte pourtant son propre numéro de compte.

Dans ce type de cas, un collaborateur du département financier d’une société est invité à verser de l’argent sur le compte du fraudeur de manière insidieuse. Généralement, le hors-la-loi utilise de fausses factures.

Prenons l’exemple d’une entreprise de construction : le comptable de la société reçoit un mail venant de l’entreprise Iwi, qui est un fournisseur habituel. Dans le message électronique, le fournisseur demande au comptable de payer la facture en pièce jointe, mais sur un autre numéro de compte, car la société Iwi a changé de banque.

Tout parait en ordre sur la facture et le comptable ne s’inquiète pas. Il vire donc les fonds sur le nouveau numéro de compte indiqué.

En réalité, le fraudeur a juste falsifié la facture et a changé le numéro de compte habituel par son propre compte en banque. L’argent disparait et l’entreprise de construction s’aperçoit du vol plus tard.

Comment reconnaitre une fraude à la facture ?

Généralement, on peut très vite reconnaitre les cas de fraude à la facture en faisant preuve de vigilance.

En effet, chaque requête de paiement dont le numéro de compte indiqué est différent de celui qui est enregistré dans votre base de données doit être considérée comme une demande suspecte. Il faut donc mener des vérifications avant de donner une suite à la requête. Cela vaut aussi bien pour les PME que pour les entreprises de grande taille et quel que soit le montant.

Pour soutirer de l’argent, certains pirates informatiques n’hésitent pas à utiliser votre manque de connaissance. Ils se font passer pour un service public fiscal ou administratif. Ils utilisent également des logos qui se rapprochent étrangement de ceux utilisés par les administrations françaises ou un logo qui fait penser qu’il s’agit du registre du commerce ou du service des immatriculations. En fait, vous retrouverez rarement un numéro de téléphone, le SIREN, ou encore le numéro d’identification complète du soi-disant fournisseur. La présentation de l’e-mail peut pousser l’employé à régler rapidement la fausse facture sous peine de poursuite.

Pour réduire considérablement le risque de ce type de fraude, il existe quelques précautions élémentaires qui peuvent être suivies facilement. Le meilleur moyen pour se défendre contre ce type d’arnaques et de suivre rigoureusement une procédure bien définie pour le traitement et le paiement des factures. Bien entendu, il ne faut pas oublier la vigilance.

L’entreprise et le collaborateur doivent prendre quelques mesures pour éviter ce genre de situations.

Mesures à prendre par l’entreprise

L’entreprise doit veiller à sensibiliser ses équipes de ces types de fraudes et leur apprendre à les reconnaitre facilement. Elle doit demander à ses collaborateurs de toujours faire preuve de prudence face à des requêtes de paiement et de procéder à une vérification systématique pour s’assurer qu’elles ne comportent aucune irrégularité.

Veillez à établir des procédures internes pour le paiement des factures. Ainsi, vous pouvez convenir avec votre service financier par exemple que si une requête de paiement est envoyée par mail, elle doit impérativement faire l’objet d’un contrôle afin de vérifier qu’elle est authentique. Ou alors, si les montants sont importants, elles doivent faire l’objet d’une autorisation supplémentaire.

Vérifiez également l’information sur votre site internet. Il est vrai que la transparence a son charme, mais donner trop d’informations peut s’avérer dangereux.

Tout le monde ne doit pas savoir qui sont vos fournisseurs par exemple. Par ailleurs, apprenez à vos collaborateurs à ne pas donner des informations sensibles sur votre entreprise sur les réseaux sociaux.

Précautions à prendre en tant que collaborateur

Lorsque vous recevez une demande de paiement, ne vous fiez pas seulement à l’adresse mail qui s’affiche, car il est très facile aujourd’hui de faire une contrefaçon. Aujourd’hui, les fraudeurs arrivent à  imiter à la perfection la présentation et le logo du fournisseur dans leurs messages électroniques.

Lorsque vous avez un doute, demandez automatiquement l’avis d’un collègue compétent. Pensez à élaborer une procédure qui exige la confirmation du compte et du bénéficiaire pour toutes les factures dont le montant dépasse un seuil bien défini.

Lorsque vous recevez une requête de paiement et que vous constatez un changement des données, demandez d’abord une confirmation à la société concernée. Alors, ne faites pas l’erreur d’utiliser les informations qui figurent sur la lettre, le mail ou le fax que vous recevez. Obtenez les données d’une personne compétente dans les entreprises vers lesquelles vous réalisez généralement des paiements.

Veillez à ne pas partager les données concernant votre employeur, les supérieurs hiérarchiques de la société, les procédures de confiance ou les règles de sécurité mises en place. En outre, soyez très vigilant sur les médias sociaux.

Ne répondez pas à l’e-mail, ne cliquez sur aucun lien qui y est intégré, même celui qui est censé permettre de vous désabonner. Dans tous les cas, n’ouvrez pas de pièce jointe et ne remplissez jamais aucun formulaire si vous n’êtes pas certain de la source d’où elle provient.

Faites également preuve de bon sens. Aucun organisme ou fournisseur ne vous demandera par e-mail de lui fournir des informations personnelles ou sensibles.

En cas de doute, il est recommandé de contacter l’organisme censé vous avoir envoyé l’e-mail par téléphone. Vous pouvez aussi consulter la page d’accueil de son site Internet, sans utiliser le lien proposé dans l’e-mail. Et surtout, n’oubliez pas de signaler l’e-mail à votre administrateur système.

De temps en temps, vous devriez supprimer les messages indésirables et vider la corbeille de votre compte de messagerie électronique.

Pour plus de protection, certains éditeurs d’antivirus proposent des logiciels qui comprennent diverses fonctions protectrices, notamment contre le phishing et les malwares.

Comment éviter une attaque de phishing ?

Selon Krebs Security, une employée d’une autre entreprise, qui a souhaité rester anonyme, a reçu un e-mail qui lui demandait de réaliser un virement bancaire de 315 000 $.

Elle pensait que le montant était plus élevé que d’habitude, et l’email semblait plus formel que ce à quoi elle s’attendait de la part de son directeur financier. Elle a fait une petite vérification et a constaté que le message avait été envoyé à partir d’un nom de domaine qui ne ressemble pas à celui de son employeur.

Le compte utilisé pour envoyer l’email n’était pas non plus celui du directeur financier. Elle a donc décidé de ne pas virer l’argent, et a pu conserver son poste après cet incident.

Alors, comment se protéger contre le phishing ?

Faites confiance à vos premières impressions sur l’email, tout en considérant les points suivants :

  • Le ton, la grammaire et le langage sont-ils appropriés pour l’expéditeur ?
  • Est-ce que l’email a l’air d’avoir été traduit d’une langue étrangère ?
  • Demande-t-il une action « urgente » ou « immédiate », notamment en matière de transactions financières ?
  • Est-ce que cela semble trop beau pour être vrai ? Parce qu’un e-mail de phishing l’est souvent.
  • Détaille-t-il une demande « confidentielle » ou « privée » ?
  • A-t-il été envoyé à partir d’une adresse électronique que l’expéditeur n’utilise habituellement pas ? Sachez toutefois que l’adresse e-mail de l’un de vos collaborateurs peut être falsifiée. Ne présumez donc pas que si elle provient d’une adresse connue, elle est légitime.
  • L’e-mail concerne-t-il des entreprises ou des particuliers étrangers ?
  • L’e-mail demande-t-il des renseignements commerciaux ou personnels confidentiels comme des numéros de sécurité sociale, des coordonnées bancaires ou des noms d’utilisateur et des mots de passe ?

En cas de doute, vous pouvez prendre les mesures suivantes :

Ne cliquez sur aucun lien qui se trouve dans l’e-mail.

  • Passez votre souris sur n’importe quel lien dans l’e-mail. Si vous savez quels devraient être les liens réels, par exemple pour un client ou un fournisseur qui vous envoient fréquemment des liens, alors comparez-les avec le lien que vous venez de recevoir.
  • Cherchez sur Google les entreprises, les particuliers, les adresses et les numéros de téléphone figurant dans le message.
  • Si vous recevez un message électronique d’une entité connue, n’utilisez pas le bouton « répondre » pour donner suite à cet e-mail si vous le trouvez suspect. Créez plutôt un nouveau message et utilisez l’adresse déjà enregistrée dans votre carnet d’adresses.
  • Parlez à d’autres personnes de votre entreprise de l’e-mail de phishing que vous avez reçu.

Voici maintenant quelques astuces plus simples pour vérifier si un e-mail représente un risque de phishing. Le premier conseil est d’utiliser un autre moyen de communication comme le téléphone ou le courrier physique pour vérifier la véracité des informations.

Par ailleurs, n’utilisez jamais l’adresse ou les numéros de téléphone indiqués dans l’e-mail suspect. Recherchez également le site Web réel de l’entreprise qui l’envoie ainsi que leur vrai numéro de téléphone sur Google, dans les pages blanches ou les pages jaunes en ligne.

Que devez-vous faire si vous avez payé une fausse facture ?

Au cas où vous auriez reçu une sommation ou un rappel de paiement, prenez d’abord contact avec votre fournisseur. ou votre client peut-être qu’il s’agit simplement d’une erreur de sa part.

Si ce n’est pas le cas, vous devriez contacter immédiatement votre banque. Il peut s’agir de votre organisation ou celle où vous avez transféré des fonds, pour leur signaler la fraude. Votre banque demandera à la banque du numéro de compte des pirates informatiques de rembourser le montant en question. Cette banque essaiera aussi de bloquer le virement ou le compte sera bloqué de façon à ce que les cybercriminels ne puissent plus y retirer d’argent.

Signalez également l’incident sur votre factcture (facture falsifiée). :Vous recevrez, des conseils, la procédure, et des informations sur les démarches à mettre en place  et les personnes pouvant vous aider.

Comment se protéger des attaques de phishing ?

Les attaques de phishing ne font pas qu’augmenter en nombre, elles évoluent aussi. Et sachez que le courrier électronique est le principal moyen de diffusion de la plupart de logiciels malveillants, même ceux qui ne sont pas des ransomwares.

Vous aurez donc intérêt à utiliser une protection avancée contre le spam et contre ces logiciels malveillants. Une solution comme SpamTitan peut par exemple bloquer les e-mails de phishing avant qu’ils n’atteignent votre réseau.

En outre, le FBI recommande aux entreprises :

  • D’adopter l’authentification à deux étapes ou à deux facteurs pour l’accès à leur courrier électronique.
  • D’être prudent lorsque vous affichez des informations concernant les activités de vos employés sur votre site web ou sur les réseaux sociaux. Les cybercriminels peuvent passer ces sites au peigne fin pour obtenir des renseignements afin de rendre leurs e-mails encore plus réels.
  • De mettre en place un processus nécessitant plusieurs approbations lors des virements télégraphiques à l’étranger.

La capacité des employés à reconnaître les tentatives de phishing est d’une importance vitale. Cependant, grâce à la sophistication croissante des attaques ciblées, la sensibilisation et la formation ne suffisent pas à elles seules. Les entreprises doivent également investir dans des technologies de sécurité antispam et antiphishing, dédiées à protéger davantage leurs employés des menaces sur internet.

Même si votre service de messagerie électronique dispose de filtres qui envoient les e-mails suspects dans le dossier spam, ils ne fonctionnent pas toujours. De plus, les cybercriminels sont devenus plus habiles et savent comment tromper les filtres de spam. C’est pourquoi les courriels frauduleux peuvent se retrouver dans votre boîte de réception prioritaire. Il faut mettre en place une solution tièrce de filtrage du spam comme SpamTitan.

Utilisez SpamTitan pour éviter d’être victime d’une arnaque à la fausse facture

Essayez SpamTitan pour bloquer ces e-mails des spams et des attaques de phishing afin qu’ils n’atteignent jamais les boîtes de réception de vos collaborateurs. Inscrivez-vous pour un essai gratuit de SpamTitan dès aujourd’hui.

Conclusion

La technologie et les paiements ne vont pas continuer à évoluer, mais certaines entreprises sont restées stagnantes. Elles privilégient les anciens processus manuels aux solutions de cloud computing plus sûres et plus efficaces. Les cybercriminels et les arnaqueurs ont pris conscience de la situation. Alors que les grandes et les petites entreprises ont fermé les yeux sur les progrès réalisés dans les méthodes de paiement B2B, l’infrastructure informatique, les solutions d’automatisation des paiements, l’automatisation des factures et le renforcement de la sécurité, les pirates informatiques ont consacré toute leur énergie à tirer parti de l’apathie apparente du monde de la finance d’entreprise.

Si les entreprises et les professionnels de la finance ne trouvent pas rapidement un moyen d’atténuer le risque de fraude par courrier électronique et par facture, nous pourrions assister à des pertes à douze chiffres dans un avenir pas très lointain. C’est pourquoi TitanHQ  a créé un guide complet pour vous aider à réduire le risque de fraude sur les factures et les e-mails en 2021 et au-delà. Il est plus que temps que les entreprises prennent au sérieux la prévention des dommages graves causés par les fraudes sur les factures et les e-mails.

Chez TitanHQ, nous nous sommes engagés à sensibiliser à la fraude et à veiller à ce que le plus grand nombre possible d’entreprises soient protégées. C’est l’une des raisons pour lesquelles nous sommes si passionnés par l’automatisation. Nous ne sommes pas seuls non plus. L’amélioration de la sécurité et de l’efficacité opérationnelle sont deux de ses objectifs. Nous savons que les progrès technologiques entraînent également un risque d’exposition plus élevé pour les entreprises qui adoptent lentement la technologie. C’est le cas depuis des années. C’est pourquoi nous sommes là pour vous aider.

FAQs

Qui lutte contre la fraude à la facture ?

Dès qu’une notification apparait, la police va mener une enquête et tenter d’arrêter les escrocs. Les escrocs utilisent souvent des mules, c’est-à-dire des individus, souvent jeunes, qui mettent leurs comptes en banque à disposition dans le but de récupérer les virements. Ainsi, ils grignotent quelques parts du gâteau. Lorsque la police est en mesure d’identifier les escrocs ou les mules, le dossier est alors remis entre les mains de la justice. Cette procédure, entre autres, a déjà abouti à plusieurs arrestations.

Dois-je encore payer le fournisseur/vendeur si je suis victime d’une attaque à la fausse facture ?

Tout comme le fournisseur/vendeur, vous avez agi de bonne foi. Mais, même si vous avez été victime d’une arnaque, d’un point de vue légal, vous êtes encore tenu de payer votre créancier, c’est-à-dire le vendeur ou votre fournisseur. Cela signifie que votre dette continue d’exister même si vous avez payé la facture falsifiée aux escrocs. Bien entendu, le vendeur est libre de faire un geste de bonne foi. Si vous refusez de le payer, il incombera alors à un juge de statuer.

Puis-je récupérer mon argent ?

Si vous avez payé une facture falsifiée, le mieux serait de contacter votre banque le plus tôt que possible. Celle-ci demandera ensuite à la banque du numéro de compte des pirates de rembourser votre argent. Cette banque va également bloquer le virement et le compte sera bloqué de façon à ce que les pirates ne puissent plus y retirer d’argent. Par contre, si l’arnaque est découverte trop tard et si les escrocs ont déjà retiré l’argent, ou viré le montant en question vers un compte étranger, alors vous ne pourrez plus récupérer votre argent.

Lors des virements, les banques ne sont-elles pas tenues de vérifier l’adéquation entre les numéros de compte ?

Non, les banques n’y sont pas obligées. Les réglementations en vigueur stipulent qu’un ordre de paiement est considéré comme dûment exécuté du moment qu’il est exécuté conformément à un identifiant unique, c’est-à-dire un numéro de compte en banque. Les banques ne sont donc pas obligées de vérifier si ce numéro de compte correspond exactement au nom du bénéficiaire du paiement.

Est-il possible d’assurer mon entreprise contre la fraude à la facture ?

Cela existe, mais le nombre d’assureurs proposant des assurances qui couvre les attaques cybercriminelles auxquelles les entreprises peuvent être confrontées est très limité. Dans certains cas, vous pouvez aussi faire appel à l’assistance juridique de votre assurance. Pour en savoir plus à ce sujet, consultez les assureurs.