La fraude aux factures existe depuis longtemps. Mais même si un e-mail provient d’une adresse légitime ou d’une personne de contact connue, il peut s’agir d’une escroquerie.
Bien qu’il ne soit pas nouveau, le phénomène prend une nouvelle tournure. Depuis peu, CERT.be, le service opérationnel du Centre pour la Cybersécurité Belgique (CCB), reçoit davantage de signalements de cette pratique.
Dans le passé, une fausse facture provenait souvent d’une adresse e-mail imitée, ou d’une autre adresse électronique, où figurait le nom d’une entreprise ou d’une personne spécifique. Désormais, ce type d’e-mail peut parfaitement provenir du fournisseur en question, parfois même en réponse à une conversation existante.
Vol d’identité
Dans la pratique, les criminels piratent la messagerie, puis envoient un e-mail aux clients de l’entreprise en joignant une facture dont le numéro de compte a été modifié. Il peut s’agir soit d’une fausse facture existante, soit d’une facture qui semble tomber du ciel. Dans les deux cas, l’escroc tente de convaincre la victime que l’entreprise a un numéro de compte différent, sur lequel le paiement doit être effectué.
Le CCB met en garde contre cette pratique, car il y a davantage de personnes en congé en été et les procédures de paiement risquent d’être suivies moins attentivement.
S’informer et contrôler
Le CCB donne une série de conseils pour aider les entreprises et leurs employés à s’armer contre la fraude. En effet, il s’agit d’une situation dans laquelle un fournisseur de leur entreprise est piraté, et où l’e-mail semble parfaitement légitime.
Dans le cas d’une demande de paiement, par exemple, il est conseillé de prendre contact avec l’entreprise. Pas en répondant à l’adresse e-mail existante ou au numéro de téléphone figurant dans l’e-mail, car la réponse aboutirait chez les escrocs, mais en transférant l’e-mail à une autre personne de contact de cette entreprise ou en appelant un autre numéro de téléphone de l’entreprise.
En outre, le CCB recommande que les procédures en matière de paiements ou de demandes d’informations soient clairement définies, mais sans les partager avec le monde extérieur. Veillez aussi à ce que vos collaborateurs soient suffisamment formés pour repérer les escroqueries, surtout lorsqu’il s’agit de demandes de paiement prétendument urgentes, qui tentent de contourner les procédures normales.
Si une facture provient d’un fournisseur connu, il est conseillé de la vérifier en la comparant à une facture plus ancienne.
Pour éviter qu’une boîte e-mail soit piratée pour permettre l’envoi de fausses factures, le CCB conseille, entre autres, d’utiliser des mots de passe sûrs, de procéder si possible à une vérification en deux étapes (2FA), et de veiller à ce que les collaborateurs soient formés pour reconnaître le phishing.