PAPEETE, 31 mars 2019 - Une vague d'escroqueries de type "Arnaque au Président" ou "Arnaque aux faux ordres de virement" touche actuellement le monde de l'entreprise en Polynésie française. Les préjudices sont à chaque fois de plusieurs dizaines de millions de francs. Mode opératoire des escrocs et règles de bonne conduite pour se préserver.
Ce type d'escroquerie plus connu sous le nom d'Escroquerie aux faux ordres de virement ou escroquerie "au Président". Il existe depuis de nombreuses années. Les attaques connaissent une forte recrudescence depuis plus d'un an en Polynésie française où plusieurs sociétés victimes ont subi d'importants préjudices financiers.
>> Lire aussi : La société Jus de fruits de Moorea victime d'une arnaque à 150 millions
Comme nous l’indique le Directeur de la sécurité publique, le commissaire Mario Banner, contacté vendredi, quatre sociétés polynésiennes ont porté plainte "au cours des derniers mois" après avoir été victimes de ce type d’actes de cybercriminalité. A chaque fois, des préjudices de plusieurs dizaines de millions de francs. La dernière entreprise à avoir fait les frais de ce type d’arnaque est la société Jus de fruits de Moorea.
La technique des fraudeurs est basée sur l'ingénierie sociale ou "social engineering". Cette méthode a pour but d'extirper des informations à des personnes sans qu'elles ne s'en rendent compte. Habilement utilisées, ces données participent ensuite à la crédibilité de l'arnaque et à la force de persuasion des fraudeurs.
Ce type d'escroquerie plus connu sous le nom d'Escroquerie aux faux ordres de virement ou escroquerie "au Président". Il existe depuis de nombreuses années. Les attaques connaissent une forte recrudescence depuis plus d'un an en Polynésie française où plusieurs sociétés victimes ont subi d'importants préjudices financiers.
>> Lire aussi : La société Jus de fruits de Moorea victime d'une arnaque à 150 millions
Comme nous l’indique le Directeur de la sécurité publique, le commissaire Mario Banner, contacté vendredi, quatre sociétés polynésiennes ont porté plainte "au cours des derniers mois" après avoir été victimes de ce type d’actes de cybercriminalité. A chaque fois, des préjudices de plusieurs dizaines de millions de francs. La dernière entreprise à avoir fait les frais de ce type d’arnaque est la société Jus de fruits de Moorea.
La technique des fraudeurs est basée sur l'ingénierie sociale ou "social engineering". Cette méthode a pour but d'extirper des informations à des personnes sans qu'elles ne s'en rendent compte. Habilement utilisées, ces données participent ensuite à la crédibilité de l'arnaque et à la force de persuasion des fraudeurs.
Le mode opératoire
• Le fraudeur contacte le service comptable de la société cible en se faisant passer pour le Président ou le directeur de la société ou de sa société-mère. Il peut parfois se faire passer pour un cabinet d’avocat supposé agir au nom du dirigeant de l'entreprise. Du crédit est apporté à ce "scénario" par l'intervention, peu de temps après, de personnes se faisant passer pour des prestataires de confiance : avocats, notaires, commissaires aux comptes, experts comptables, etc.
• Le contact peut se faire par mail (y compris en imitant techniquement l'adresse du dirigeant) ou par téléphone, via le standard.
• Après quelques échanges d'"environnement" avec son correspondant, le fraudeur va demander que soit réalisé en urgence un virement à destination d'un pays étranger.
• Devant l'urgence, il sera parfois invoqué une opération d'acquisition très confidentielle. Une clause "contrat de confidentialité" à remplir par le salarié est même parfois demandée pour renforcer la crédibilité de l'arnaque.
• Les coordonnées téléphoniques figurant sur les mails des faux comptables ou avocats laissent à penser qu'il s'agit de numéros français, mais il s'agit en réalité de série de numéros de téléphone acquis par des hébergeurs bien souvent à l'étranger, depuis l'ouverture du marché de la téléphonie.
• Face au pouvoir de persuasion de son interlocuteur, le comptable sollicité va s'exécuter après avoir reçu les références bancaires du compte étranger à créditer.
• Il arrive que la demande de virement adressée au salarié supporte la fausse signature du dirigeant de l'entreprise.
• Plusieurs demandes de cette nature peuvent se succéder sur plusieurs jours.
Si le comptable hésite ou devient réticent après une ou plusieurs opérations, une variante observée récemment consiste pour les fraudeurs à se faire passer pour des Policiers. En effet, ils n'hésitent pas à demander que le virement soit réalisé pour piéger à l'étranger les malfaiteurs. Le salarié étant contacté par les enquêteurs puisque les escrocs se trouvent alors "sur écoutes". Les noms de "BRDA Paris", "Brigade Financière Paris" reviennent souvent, Capitaine ou Commandant "Elie"...
Ce type d'escroquerie est l'œuvre d'organisations criminelles particulièrement bien structurées qui préparent minutieusement leur approche auprès des entreprises. Les fraudeurs connaissent bien la société ciblée, son activité, ses projets grâce aux informations ouvertes qui sont disponibles sur internet (informations légales et statuts de sociétés, sur les sites comme ispf.pf, site internet de l'entreprise, page Facebook, presse économique, etc.
Jusque très récemment, les demandes de virements concernaient la Chine, mais une tendance se dessine à destination de banques européennes, évitant d'éveiller trop tôt les soupçons des victimes. Les fraudeurs manifestent une adaptabilité rapide et remarquable en la matière.
• Le contact peut se faire par mail (y compris en imitant techniquement l'adresse du dirigeant) ou par téléphone, via le standard.
• Après quelques échanges d'"environnement" avec son correspondant, le fraudeur va demander que soit réalisé en urgence un virement à destination d'un pays étranger.
• Devant l'urgence, il sera parfois invoqué une opération d'acquisition très confidentielle. Une clause "contrat de confidentialité" à remplir par le salarié est même parfois demandée pour renforcer la crédibilité de l'arnaque.
• Les coordonnées téléphoniques figurant sur les mails des faux comptables ou avocats laissent à penser qu'il s'agit de numéros français, mais il s'agit en réalité de série de numéros de téléphone acquis par des hébergeurs bien souvent à l'étranger, depuis l'ouverture du marché de la téléphonie.
• Face au pouvoir de persuasion de son interlocuteur, le comptable sollicité va s'exécuter après avoir reçu les références bancaires du compte étranger à créditer.
• Il arrive que la demande de virement adressée au salarié supporte la fausse signature du dirigeant de l'entreprise.
• Plusieurs demandes de cette nature peuvent se succéder sur plusieurs jours.
Si le comptable hésite ou devient réticent après une ou plusieurs opérations, une variante observée récemment consiste pour les fraudeurs à se faire passer pour des Policiers. En effet, ils n'hésitent pas à demander que le virement soit réalisé pour piéger à l'étranger les malfaiteurs. Le salarié étant contacté par les enquêteurs puisque les escrocs se trouvent alors "sur écoutes". Les noms de "BRDA Paris", "Brigade Financière Paris" reviennent souvent, Capitaine ou Commandant "Elie"...
Ce type d'escroquerie est l'œuvre d'organisations criminelles particulièrement bien structurées qui préparent minutieusement leur approche auprès des entreprises. Les fraudeurs connaissent bien la société ciblée, son activité, ses projets grâce aux informations ouvertes qui sont disponibles sur internet (informations légales et statuts de sociétés, sur les sites comme ispf.pf, site internet de l'entreprise, page Facebook, presse économique, etc.
Jusque très récemment, les demandes de virements concernaient la Chine, mais une tendance se dessine à destination de banques européennes, évitant d'éveiller trop tôt les soupçons des victimes. Les fraudeurs manifestent une adaptabilité rapide et remarquable en la matière.
Parades et précautions utiles
• Vérifier l'adresse du correspondant en vérifiant les propriétés du courriel reçu du "dirigeant" ou de son conseil. A ce titre, il est utile de savoir que les adresses en gmail sont rarement utilisées par les sociétés et les intervenants dans leurs échanges professionnels.
• Se méfier des demandes visant à inciter le salarié à correspondre avec son "patron" ou le conseil de celui-ci sur une adresse mail autre que l'adresse professionnelle ou avec son téléphone portable. Ne pas communiquer ses coordonnées personnelles. Toujours faire état à son supérieur de ce type de demandes "particulière".
• Malgré la communication de coordonnées téléphoniques, le correspondant est très rarement joignable directement. Bien souvent c'est lui qui rappelle l'entreprise et le salarié chargé de l'exécution du virement.
• Faire de la sensibilisation aux personnels concernés à l’intelligence économique et aux règles de sécurité afférente. Etre très vigilant sur la nature confidentielle des informations publiées sur les réseaux sociaux en lien avec l’activité professionnelle.
• Enfin, rappeler aux personnels des services comptables et financiers de s'en tenir strictement aux procédures habituellement appliquées en matière de règlement fournisseur ou de financement particulier, même si l'ordre émane apparemment de la Direction Générale.
• Vérifier que les procédures de contrôle interne liées aux virements sont suffisamment sécurisées et contrôlées. Les cabinets comptables peuvent utilement participer à cette veille.
• Se méfier des demandes visant à inciter le salarié à correspondre avec son "patron" ou le conseil de celui-ci sur une adresse mail autre que l'adresse professionnelle ou avec son téléphone portable. Ne pas communiquer ses coordonnées personnelles. Toujours faire état à son supérieur de ce type de demandes "particulière".
• Malgré la communication de coordonnées téléphoniques, le correspondant est très rarement joignable directement. Bien souvent c'est lui qui rappelle l'entreprise et le salarié chargé de l'exécution du virement.
• Faire de la sensibilisation aux personnels concernés à l’intelligence économique et aux règles de sécurité afférente. Etre très vigilant sur la nature confidentielle des informations publiées sur les réseaux sociaux en lien avec l’activité professionnelle.
• Enfin, rappeler aux personnels des services comptables et financiers de s'en tenir strictement aux procédures habituellement appliquées en matière de règlement fournisseur ou de financement particulier, même si l'ordre émane apparemment de la Direction Générale.
• Vérifier que les procédures de contrôle interne liées aux virements sont suffisamment sécurisées et contrôlées. Les cabinets comptables peuvent utilement participer à cette veille.
En cas de réussite des opérations de virement
• Une fois que l'entreprise et ses services se sont assurés du caractère frauduleux de l'opération, informer immédiatement l'établissement bancaire émetteur afin qu'il signale par message SWIFT la fraude en cours ou déjà réalisé. Le réseau interbancaire chargé des opérations internationales peut ralentir l'exécution du virement. Demander à ce que la banque créditrice soit rapidement informée des faits.
• User de l'influence et du "poids" du dirigeant vis à vis de sa banque
• Aviser les services de police et déposer plainte auprès du service de police ou de gendarmerie compétent, avec le maximum d'éléments concernant les ordres de virements, les mails échangés, etc.
• Solliciter le service informatique propre à chaque entreprise afin de conserver les échanges de mails et tenter de remonter et identifier les adresses IP. L'enquête judiciaire pouvant s'attacher ensuite à identifier les utilisateurs de ces adresses. Une société prestataire mandatée pour cette mission peut également intervenir à la demande du dirigeant. Ses conclusions pourront ainsi être transmises par la suite au service enquêteur.
• User de l'influence et du "poids" du dirigeant vis à vis de sa banque
• Aviser les services de police et déposer plainte auprès du service de police ou de gendarmerie compétent, avec le maximum d'éléments concernant les ordres de virements, les mails échangés, etc.
• Solliciter le service informatique propre à chaque entreprise afin de conserver les échanges de mails et tenter de remonter et identifier les adresses IP. L'enquête judiciaire pouvant s'attacher ensuite à identifier les utilisateurs de ces adresses. Une société prestataire mandatée pour cette mission peut également intervenir à la demande du dirigeant. Ses conclusions pourront ainsi être transmises par la suite au service enquêteur.
