Ingénierie sociale: Nouvelle méthode d’attaque ciblant les entreprises

Ces derniers jours, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) a été informée de plusieurs cas dans lesquels des escrocs se font passer pour des employés d’une banque et appellent des entreprises. Ils annoncent alors qu’une prétendue mise à jour concernant le e-banking devra être effectuée au cours d’un deuxième appel, qui aura lieu le lendemain. Ils requièrent la présence de plusieurs collaborateurs du service des finances lors de ce deuxième appel. L’objectif des escrocs est de s’assurer de la présence des personnes nécessaires afin de transmettre un paiement en signature collective.

Ces derniers jours de nombreuses entreprises ont reçu des appels lors desquels des escrocs tentent de se faire passer pour leur banque. Dans de nombreux cas, les criminels peuvent identifier la banque de l’entreprise grâce aux informations accessibles publiquement sur le site web de cette dernière. Cette information peut aussi être parfois obtenue par un appel téléphonique ou une demande d’information via e-mail à l’entreprise. 

L’attaque commence par un appel lors duquel l’interlocuteur se fait passer pour la banque et informe l’entreprise qu’une mise à jour de l’e-banking devra être effectuée puis testée. Afin d’effectuer ce test, l’escroc convient d’un deuxième rendez-vous téléphonique, pour lequel est requise la présence des collaborateurs du service des finances et en particulier de ceux ayant le droit de signature collective pour le e-banking. Pour mettre l’entreprise en confiance, l’interlocuteur évoquera les noms et prénoms de différents membres du service occupant réellement ces fonctions. 

Lors du deuxième appel, les escrocs tenteront de convaincre l’entreprise d’installer un programme qui leur donnera un accès à distance au système informatique. Une fois installé, ils chercheront à effectuer un virement, sous la justification d’un test visant à vérifier les fonctionnalités du système de paiement. Etant donné que les virements des entreprises sont généralement protégés par une procédure de signature collective, les escrocs demanderont aux membres autorisés d’entrer leurs données d’accès. Ce faisant, ils autoriseront en réalité un virement frauduleux. Dans certains cas annoncés, les criminels ont activé un voile noir sur l’écran afin que les victimes ne puissent pas remarquer la transaction frauduleuse. 

Ce nouveau mode opératoire démontre à nouveau que les attaques par social engineering (ingénierie sociale) sont très actuelles. La sensibilisation au sein des entreprises est la clé afin de se prémunir contre de telles fraudes.

Pour prévenir ce type d’attaque, MELANI recommande les mesures suivantes: 

  • Il est important de sensibiliser les collaborateurs quant à l’existence de ce type d’attaques, tout particulièrement les collaborateurs dans des positions clés.

  • Tous les processus relatifs à des virements devraient être clairement définis à l’interne et appliqués de manière rigoureuse par tous les employés, en toute situation. Les établissements financiers ne vous demanderont jamais de leur transmettre vos données d’accès que ce soit par écrit ou par oral.

  • Aucune banque sérieuse ne vous demandera de collaborer à des tests liés à des mises à jour de sécurité. Les banques, respectivement leurs fournisseurs IT, disposent d’environnements d’évaluation pour tester les mises à jour de sécurité avant de les mettre à disposition de leur clientèle.

  • N’installez jamais de logiciels lorsque l’on vous le demande de manière téléphonique ou par e-mail.

  • N’autorisez jamais un accès à distance à votre système informatique.

  • Réduisez l’information que vous publiez sur votre entreprise sur internet au minimum nécessaire. Evitez si possible de nommer vos collaborateurs ainsi que de donner des informations sur vos relations bancaires.

  • Lors de prises de contact suspectes ou inhabituelles, évitez de divulguer des informations internes à l’entreprise

  • Il est fortement recommandé de vérifier à l'interne la légitimité d'une demande ou d'une prise de contact, lorsque celle-ci paraît douteuse ou inhabituelle.

  • Si vous êtes victime d'une fraude, signalez-le à l’office fédéral de la police fedpol via le formulaire d’annonce (https://www.cybercrime.admin.ch/kobik/fr/home/meldeformular/meldeformular.html ), et déposez plainte auprès de votre police cantonale.

Pour la sécurité de l'informatique dans les PME, MELANI a publié un aide-mémoire pour les PME:

Contact spécialisé
Dernière modification 20.01.2017

Début de la page

https://www.melani.admin.ch/content/melani/fr/home/documentation/lettre-d-information/social-engineering--neue-angriffsmethode-richtet-sich-gegen-firmen.html