Les escrocs exigent qu’à cette date, plusieurs représentants du service financier soient présents. Ils veulent par cela déclencher un paiement frauduleux. Nous avons également reçu quelques appels d'entreprises membres à ce sujet. Des mesures de sensibilisation sont le meilleur moyen pour prévenir de telles tentatives d'escroqueries.
Les appels de personnes affirmant être des collaborateurs d’une banque augmentent auprès des entreprises potentiellement vulnérables. Dans de nombreux cas, les escrocs n’ont pas trop de difficultés à trouver la banque auprès de laquelle l’entreprise a son compte, étant donné que souvent cette dernière est mentionnée sur le site Internet de l’entreprise. Les escrocs peuvent également se procurer ces informations au moyen d’un appel téléphonique ou d’une demande par e-mail.
Les appelants prétendent devoir effectuer une mise à jour et un test au niveau de l’e-banking. Afin de pouvoir effectuer ce test, ils exigent la présence de tous les membres du service financier, en particulier des personnes possédant le droit de signature pour l’e-banking. Pour gagner leur confiance, les escrocs nomment les noms de collaborateurs de l'entreprise.
Un appel supplémentaire vise à installer un outil d'accès à distance permettant à l’appelant d'accéder à l’ordinateur. Ce dernier prétend vouloir tester la fonction du système en effectuant un paiement d’essai. Puisque le déclenchement d’un paiement dans une entreprise ne peut se faire qu’au moyen d’une signature collective, les escrocs demandent aux personnes compétentes d’introduire leurs données d’accès. Cependant, en réalité ils déclenchent ainsi le paiement. Dans certains cas, la victime se trouve même devant un écran noir pendant l’opération pour qu’il ne puisse pas remarquer le paiement frauduleux.
Pour se protéger de telles attaques, MELANI recommande les mesures suivantes:
- Sensibiliser les collaborateurs à de tels événements, en particulier les collaborateurs occupant des positions clés.
- Tous les processus, en particulier ceux concernant les transferts d'argent, devraient être clairement définis à l'intérieur de l'entreprise et suivis en toutes circonstances. Aucune société financière ne vous demandera, ni par téléphone ni par écrit, de communiquer vos données d'accès e-banking.
- Aucune banque sérieuse ne vous demandera de participer à des tests quelconques concernant des mises à jour de sécurité. Les banques ou leurs prestataires informatiques utilisent des environnements d'essai particulier pour effectuer des mises à jour de sécurité sans que leurs clients ne s’en aperçoivent.
- N’installez jamais un logiciel que l’on vous demande d’installer par téléphone ou par écrit.
- N’autorisez jamais l'accès à votre ordinateur à des tiers.
- Ne publiez sur Internet que les informations absolument nécessaires sur votre entreprise. Evitez le plus possible la publication des noms de collaborateurs ou des coordonnées bancaires.
- Ne communiquez aucune information interne en cas de prises de contact douteuses ou inhabituelles.
- Il est fortement recommandé de vérifier à l'interne la légitimité d'une demande ou d'une prise de contact, lorsque celle-ci paraît douteuse ou inhabituelle.
- Si vous êtes victime d’une escroquerie, veuillez vous adresser à l’Office fédéral de la police fedpol à l'aide du formulaire de contact et portez plainte auprès de votre police cantonale.
MELANI a publié un aide-mémoire pour les PME consacré à la sécurité informatique: Sécurité informatique: aide-mémoire pour les PME