Comprendre la fraude au fournisseur

Bien que les entreprises prennent de plus en plus conscience des dangers du piratage psychologique, il est important de faire constamment preuve de vigilance parce que les tactiques continuent d’évoluer. Par exemple, l’hameçonnage demeure une menace qui peut sans aucun doute avoir des répercussions importantes, mais celles-ci se limitent généralement à une entreprise. En revanche, la fraude au fournisseur est une tactique émergente de piratage psychologique qui porte atteinte non seulement à une entreprise, mais aussi à l’ensemble de la chaîne d’approvisionnement. 

Ces types de fraudes sont de plus en plus fréquentes, car elles sont potentiellement plus payantes pour les fraudeurs.

Selon Armen Najarian, responsable de la protection contre le vol d’identité au groupe Agari Cyber Intelligence Division (ACID), « en moyenne, une fraude au président génère habituellement entre 50 000 $ et 55 000 $, mais une fraude au fournisseur bien orchestrée rapporte plus du double, soit environ 125 000 $ ».¹  Agari affirme que « la fraude au fournisseur est susceptible de devancer la fraude au président et de devenir la plus importante fraude financière durant l’année 2020 ».²

C’est pourquoi il est très important de surveiller la fraude au fournisseur et de sensibiliser adéquatement les employés à ce sujet, surtout ceux qui reçoivent et traitent des factures. 
Voici ce que vous devez savoir pour prévenir la fraude au fournisseur dans votre entreprise.

Qu’est-ce qu’une fraude au fournisseur?

Une fraude au fournisseur consiste à prendre le contrôle du compte de courrier électronique d’un fournisseur. Le fraudeur produit une facture ou un document de facturation quasi identique à celui du fournisseur et l’envoie aux sociétés clientes de celui-ci, souvent plus grandes, en y intégrant de nouvelles données bancaires dans l’espoir de détourner les paiements vers lui. Les comptes de destination appartiennent souvent au fraudeur, qui les utilise pour rassembler des fonds provenant de plusieurs cibles sans laisser de trace écrite pouvant conduire à lui. 

Comment les fraudeurs s’y prennent-ils?

• Le groupe de fraudeurs envoie aux employés du fournisseur des courriels d’hameçonnage contenant un lien malveillant.
• Lorsqu’un employé du fournisseur clique sur ce lien, il est redirigé vers une page-appât qui l’invite à ouvrir une session au moyen de ses authentifiants.
• Le fraudeur se sert de ces données pour créer une règle qui acheminera vers son compte de courrier électronique tous les courriels reçus par l’employé en question
• Le fraudeur surveille alors sa boîte de réception, à la recherche de courriels concernant une facture ou un paiement.
• S’il remarque un courriel qui contient une facture ou un paiement, il reproduit le document en y intégrant de nouvelles données bancaires pointant vers un compte qui lui appartient (souvent un compte de passeur/mule).
• Le client ciblé n’est jamais hameçonné ni directement contacté.
• Le client du fournisseur effectue un paiement dans le compte bancaire du fraudeur en croyant que la facture reçue par courriel provient de son fournisseur.

Quelques indices :

• Demande urgente de modification des données bancaires ou des directives de paiement.
• Mise à jour des données bancaires ou de paiement juste avant le cycle de paiement habituel.
• Demande d’un seul virement ou transfert électronique de fonds vers une banque ou un compte différent.
• Facture reçue d’une adresse courriel pouvant être fausse ou d’apparence suspecte.
• Facture reçue d’un représentant du fournisseur qui n’a pas l’habitude d’envoyer des factures ou que vous ne reconnaissez pas.

Techniques de prévention : 

• Demandez la confirmation des nouvelles données bancaires ou de paiement par un autre moyen :
• Numéro de téléphone inscrit sur le formulaire original d’admission du contrat ou publié sur le site Web de l’entreprise (et non celui qui figure dans le courriel potentiellement compromis). 
• Adresse courriel du même domaine (@entrepriseXYZ.com) qui n’est pas fournie dans le courriel frauduleux. 
• Pensez à faire vérifier les nouvelles données de paiement par un autre membre de l’équipe afin d’accroître les probabilités de reconnaître des renseignements inhabituels ou suspects.
• Recommandez à vos fournisseurs ces mesures de prévention : 
• Refuser toute règle de réexpédition automatique des courriels.
• Vérifier que tout le personnel a suivi une formation sur l’hameçonnage ou les courriels suspects.
  
  

¹Townsend, K. (4 novembre 2019). Vendor Email Compromise is Latest Identity Deception Attack.  [consulté le 11 mars 2020]
²Townsend, K. (4 novembre 2019). Vendor Email Compromise is Latest Identity Deception Attack.[consulté le 11 mars 2020]