Comment déjouer une arnaque au président ? – Etude de cas

Aujourd’hui, nous vous expliquons en détail comment déjouer une arnaque au président à l’aide d’une étude de cas client réel. Vous découvrirez comment se déroule une telle cyberattaque, les méthodes employées par les pirates pour vous pousser à agir, ainsi que les réflexes et outils à adopter pour vous en protéger.

Pour des questions de confidentialité, tous les noms (entreprises, personnes) ont été anonymisés.

Déjouer une arnaque au président : étude d’un cas client

Prise de contact avec la société Lovimo

Il est 14h30 un Vendredi de Juin 2024, lorsqu’un individu contacte le standard de l’entreprise Lovimo et demande le service comptabilité. L’appel est alors transféré à Madame Dupont. L’homme au bout du fil se présente comme un employé du cabinet d’avocat de Lovimo, situé dans le même quartier que la société.

Notre analyse

On voit que le cybercriminel a minutieusement préparé son attaque contre la société Lovimo.

Tout d’abord il choisit d’appeler un vendredi après-midi. C’est la fin de semaine, certains sont déjà en week-end, notre attention se relâche en le voyant approcher et on est globalement moins vigilant qu’un Lundi à 08h30. C’est donc le moment idéal pour tenter de tromper sa victime.

Surtout qu’il se fait passer pour un fournisseur réel de l’entreprise (usurpation d’identité). Et qui plus est, géographiquement proche de cette dernière ! En jouant sur ces notions de proximité (géographique / relationnelle) il essaye de dissiper, dès le départ, tout doute potentiel chez Madame Dupont. C’est un bel exemple d’ingénierie sociale qui s’appuie sur le fait que nous avons tendance à moins nous méfier de ce que nous connaissons déjà.

Début de l’arnaque au président

Ensuite, il explique à Madame Dupont avoir déjà contacté Monsieur Martin, le président du groupe dont fait partie la société Lovimo, pour une facture d’honoraires impayée. Ce dernier lui aurait alors demandé d’appeler directement Madame Dupont pour gérer la situation.

Madame Dupont trouve un peu étrange que cette facture d’honoraires soit adressée au groupe, car c’est assez inhabituel, mais elle s’exécute. Elle cherche donc la facture dans ses dossiers, mais celle-ci reste introuvable. Et son interlocuteur n’est pas d’une grande aide… Puisqu’il se contente de lui répéter que la facture est adressée « au groupe », mais sans jamais prononcer son nom complet.

Cependant, à côté de ça, il se montre très sympathique et serviable. Lui proposant même de lui faire parvenir cette facture par email.

Notre analyse

Hormis le fait que le pirate essaye de masquer les lacunes de son argumentaire, on voit surtout qu’il utilise à nouveau l’ingénierie sociale pour parvenir à ses fins :

• en amont, il a recherché des informations publiques sur le web, à propos de la société Lovimo, pour crédibiliser au maximum son discours (mention de Monsieur Martin, le fait qu’il sache que Lovimo fait partie d’un groupe, etc…)
• il sous-entend que le supérieur hiérarchique de Madame Dupont (Monsieur Martin) lui a confié une tâche, qu’elle est donc censée exécuter (exploitant ainsi le biais cognitif d’autorité, afin d’éliminer toute question de Madame Dupont sur la légitimité de cette demande)
• dans le même temps il tente de gagner la confiance de Madame Dupont en se montrant agréable avec elle, en pratiquant l’humour et en faisant mine de l’aider à retrouver la facture
• et au passage il tente de la pousser à donner son email (besoin pour la suite du scénario, prévision d’une prochaine campagne de phishing….)

Le doute s’installe progressivement

A ce stade, Madame Dupont ne se méfie pas encore totalement. Car malgré quelques incohérences dans son récit, l’escroc entretient la conversation sur un ton cordial pour ne pas trop éveiller ses soupçons. Au fil de leurs échanges sur cette soi-disant facture impayée, il arrive ainsi à lui soutirer son prénom et son email.

Il pousse même le vice jusqu’à prétendre se souvenir d’une phrase que Monsieur Martin lui aurait dit en parlant de sa collaboratrice ; « Marie ne me fait passer aucune facture ». C’est ce qui met la puce à l’oreille de Madame Dupont : elle sait que Monsieur Martin ne parlerait jamais d’elle de cette manière. Elle fait alors le lien entre les différents éléments suspects de cette histoire :

• les factures d’honoraires sont généralement adressées aux entités du groupe dont fait partie Lovimo
• son interlocuteur semble visiblement incapable de prononcer le nom complet du groupe
• cette manière de parler ne correspond pas à celle de Monsieur Martin

Elle partage donc ses interrogations à son interlocuteur : « C’est bizarre quand même, Monsieur Martin ne travaille pas pour nous (comprendre l’entité Lovimo) et surtout il ne parlerait pas de moi comme ça ».

Notre analyse

Toujours en utilisant l’ingénierie sociale (sympathie affichée, volonté d’aider…) le pirate arrive à soutirer certaines informations confidentielles à Madame Dupont. Mais il finit par se trahir tout seul lorsqu’il utilise son prénom pour tenter de donner du crédit à son discours.

Avec cette manœuvre il pensait probablement pouvoir s’appuyer sur une familiarité existante entre Madame Dupont et Monsieur Martin. Ce qui aurait pu la pousser à lui obéir plus facilement. Mais pas de chance pour lui, comme ce n’est pas le cas, Madame Dupont ne s’est pas laissée avoir.

Elle a ensuite parfaitement réagi en écoutant son instinct qui lui disait que « cette histoire était louche ». Et surtout en confrontant directement l’escroc pour le mettre face à ses incohérences.

Fuite du pirate & gestion de l’après-crise

Face à la remise en question de son argumentaire, l’escroc panique et raccroche précipitamment. Madame Dupont, se jette alors sur son téléphone pour relever le numéro. Mais dommage, c’est un numéro privé…

Alors, elle décide d’envoyer immédiatement un email d’alerte à tous ses collaborateurs pour leur expliquer la situation et quelles informations le pirate a pu récupérer (sans oublier d’ajouter Axis Solutions en copie).

De son côté, son responsable, Monsieur Bernard, s’empresse de déposer une plainte en ligne et de prévenir le commissariat.

Notre analyse

Nous ne pouvons que féliciter à nouveau Madame Dupont et Monsieur Bernard pour leurs réactions, c’est exactement ce qu’il fallait faire pour gérer l’après-coup :

• prévenir leurs collaborateurs pour qu’ils sachent reconnaître le pirate, au cas où il tenterait une nouvelle approche
• nous prévenir pour avoir un point de vue cybersécurité sur l’incident : est-ce une cyberattaque ? quels sont les risques avec les informations qu’a obtenu le pirate ?
• avertir les autorités et porter plainte

Les réflexes à adopter pour contrer une arnaque au président

Reconnaître le scénario d’une arnaque au président

Pour mener ce que l’on nomme une « attaque au président », les pirates déroulent souvent l’un des scénarios suivants. Notez toutefois, qu’il peuvent ajouter ou supprimer des étapes pour brouiller les pistes.

L’arnaque au président « classique »

L’escroc contacte le service comptabilité de la société cible, se fait passer pour le président de cette dernière et demande de réaliser un virement urgent, confidentiel et souvent vers un compte international.

Comme dans cet exemple datant de Mai 2024.

L’arnaque au « changement de RIB » ou « fraude au fournisseur »

Le pirate s’adresse au service comptabilité de la société cible en se faisant passer pour un fournisseur ou une agence de recouvrement. Il demande ensuite sous un faux prétexte (changement de RIB, cabinet mandaté par votre fournisseur…), le règlement de « factures impayées » sur un compte bancaire autre que l’habituel.

C’est le scénario présenté dans cette étude de cas et auquel Madame Dupont a été confrontée.

L’arnaque au faux technicien

Le cybercriminel se fait passer pour un technicien du support informatique de votre banque ou de la solution que vous utilisez pour gérer vos règlements. Sous un faux prétexte (virement bloqué, en doublon…) il cherche à vous pousser à réaliser des opérations en suivant ses instructions, ou à prendre la main sur votre poste. Il peut même vous demander d’effectuer un « virement test ».

Pour aller plus loin sur ce sujet, nous vous invitons à consulter notre article vous détaillant comment, depuis Mai 2024, les pirates ont détourné Quick Assist (la fonctionnalité d’aide à distance de Microsoft), afin d’infecter vos machines avec des ransomwares.

La fraude au faux ministre

Malgré son caractère improbable, cette arnaque existe bel et bien et a déjà fait des dégâts.

Dans ce cas de figure l’imposteur se fait passer pour un ministre et cherche à convaincre la victime (une organisation ou une personnalité fortunée) de transférer des fonds pour lutter contre le terrorisme ou œuvrer à libération d’otages.

Se protéger d’une arnaque au président

Les outils pour s’en prémunir

Vous connaissez le dicton : « mieux vaut prévenir que guérir ». Alors pour vous protéger face à ce type de cyberattaque voici les principaux outils sur lesquels vous appuyer :

• sensibilisez vos collaborateurs, à tous les niveaux de hiérarchie, aux différentes cybermenaces existantes
• utilisez un antispam efficace pour diriger les spams et tentatives de phishing directement vers la poubelle
• configurez des protocoles de messagerie sécurisés (SPF, DKIM, DMARC) pour éviter les emails usurpant l’identité d’organisations légitimes
• maintenez votre système informatique à jour et protégé
• partout où vous le pouvez, activez l’authentification à double facteur
• si un email/appel vous semble suspect ou inhabituel, contactez nous pour avoir un avis de professionnel sur la situation

Les comportements préventifs à adopter en amont

Vous pouvez également limiter les risques d’être victime d’une « arnaque au président », en adoptant ces comportements « garde-fous » :

• Ne dévoilez pas trop d’informations sensibles publiquement : soyez vigilant à propos des informations que vous, ou vos collaborateurs, partagez à propos de votre société sur le web et les réseaux sociaux (notamment Linkedin). N’en dîtes pas trop sur le fonctionnement interne de votre structure, restreignez l’accès à vos profils, etc… Veillez aussi à ce que les coordonnées de vos collaborateurs les plus vulnérables à ce type d’attaque (services comptabilité, financier, administratif) ne soient pas accessibles à tous.
• Sécurisez vos procédures de paiement : définissez une politique comprenant plusieurs étapes de vérification / validation des transferts de fonds, spécifiez les personnes habilités à réaliser ce type d’opérations…
• Redoublez de vigilance à l’approche des week-ends, jours fériés, congés scolaires, etc…

Les gestes qui sauvent au moment de l’attaque

Malgré toutes ces barrières, les pirates peuvent quand même vous choisir comme cible. L’important c’est d’en prendre conscience rapidement et de réagir en conséquence :

• Faîtes confiance à votre bon sens : au moindre doute posez des questions à votre interlocuteur pour l’obliger à vous fournir plus de détails. Par exemple, demandez lui son nom, sa fonction, pointez du doigt les incohérences de son discours… Si malgré ses réponses vous doutez encore, stoppez la conversation.
• Faîtes barrage : ne donnez au pirate aucune information sensible (nom, prénom, email, fonction, codes d’accès…) vous concernant, concernant vos collaborateurs ou votre entreprise. Ne le laissez pas non plus prendre la main sur votre PC s’il vous le demande.
• Temporisez la demande : certains escrocs se montrent très insistants voire menaçants pour vous stresser et vous empêcher de réfléchir. Trouvez un prétexte pour ne pas y répondre immédiatement et partagez vos doutes avec vos collaborateurs.
• Respectez toujours les procédures encadrant les virement de votre entreprise : peu importe les arguments du cybercriminel, tenez bon et respectez les règles en vigueur, si elles existent. N’effectuez jamais de virement de votre propre chef, demandez toujours une validation de votre supérieur.

Ce retour d’expérience, devrait désormais vous permettre de déjouer une arnaque au président si jamais vous y êtes confronté. Dans tous les cas, restez vigilants et surtout ; protégez votre structure de manière adaptée. Car les pirates ciblent toutes les sociétés, sans distinction de taille ou de secteur d’activité.

.

Vous pourriez lire aussi :

• Qu’est-ce qu’un hacker ?
• Le spoofing email : qu’est-ce que c’est et comment l’éviter ?
• Cybersécurité & Réseaux Sociaux : attention aux pirates !