Les fraudeurs expérimentent une nouvelle approche pour inciter les entreprises à payer de fausses factures : au lieu de détourner les fils de messagerie existants, ils en produisent eux-mêmes de persuasifs.
Une escroquerie de demande de paiement intelligente
L’effort de fraude commence par un e-mail contenant une demande de paiement pour une fausse facture.
Le destinataire (un employé du service financier de l’entreprise) lit l’e-mail et vérifie qui l’a envoyé.
L’adresse e-mail de l’expéditeur semble appartenir à l’un des fournisseurs de l’entreprise, et le vice-président des finances a en fait été mis en copie ! Peu de temps après, le vice-président des finances répond au fil de discussion et demande au travailleur (par son nom !) de « s’il vous plaît payer ceci le plus tôt possible ».
Les attaquants se font passer pour un dirigeant de confiance (Source : Armorblox)
En d’autres termes, l’ensemble semble suffisamment convaincant pour tromper de nombreuses cibles négligentes ou mal informées. Une apparition cruciale sur ces adresses e-mail révélera la vérité : elles sont toutes deux fausses (mais semblent extrêmement comparables aux authentiques).
Une défense en couches est essentielle
Cette authentification de facture VIP Une attaque frauduleuse – comme l’appellent les scientifiques d’Armorblox – pourrait s’avérer très destructrice pour les organisations.
« En se faisant passer pour le responsable de la victime dans le fil de discussion, l’agresseur ajoute un sentiment d’urgence à la situation, ce qui rend la victime moins susceptible de remettre en question la légitimité de la demande », ont-ils noté.
Bien que les options de sécurité des e-mails doivent intercepter et bloquer les e-mails frauduleux tels que ceux-ci, elles cessent parfois de fonctionner. Toutes les entreprises n’ont pas mis en place un tel service.
Les entreprises devraient également disposer de processus locaux pour confirmer sans aucun doute que les demandes de paiement reçues sont authentiques avant de les satisfaire, mais souvent ce n’est pas le cas.
Les travailleurs attentifs qui ont découvert qu’il fallait rechercher et repérer les adresses e-mail usurpées et qui en savent suffisamment pour ne pas être influencés par des appels urgents à l’action sont souvent la dernière ligne de défense contre les attaques par e-mail.
Toute l’actualité en temps réel, est sur L’Entrepreneur