Female dummy head
25 mars 2021 / Approfondissement

Fraude du PDG : hameçonnage au niveau de la direction

Le PDG de votre entreprise est-il le maillon faible de la cyber sécurité ? Les tendances récentes semblent le suggérer. Pourquoi en est-il ainsi et que peut-on faire de 'CEO Fraud'?


Quand les gens cliquent-ils le plus souvent sur un lien malveillant ? Lorsqu'ils croient que l'expéditeur est fiable, lorsqu'un problème semble se poser et lorsqu'ils sont pressés par le temps. Un courriel du patron, prétendant avoir besoin d’aide immédiatement, n'est pas quelque chose que l'on met de côté à la légère. Se protéger contre la fraude du PDG commence par...

...Reconnaître la menace

La "fraude au PDG" (CEO Fraude) est une nouvelle menace de phishing. Les cybercriminels se font passer pour une personne occupant un poste de direction dans votre entreprise et tentent de convaincre les collègues qu'une action urgente est nécessaire. Pour y parvenir, ils utilisent de fausses adresses électroniques, partagent des détails que "seul le vrai PDG pourrait connaître" ou sont en possession de l’élément-clé : le compte de messagerie électronique piraté d'un supérieur.

En réalité, seule cette dernière partie peut constituer un obstacle pour les pirates. Il est facile de falsifier une adresse électronique, il suffit de créer un domaine qui ressemble quelque peu à l'original. Gagner la confiance de quelqu'un est également simple, en raison des informations partagées sur les médias sociaux. Il est facile de savoir avec qui les dirigeants correspondent ou quels sont leurs intérêts. Grâce à l'"usurpation de domaine" ('CEO spoofing'), il est parfois même possible de se faire passer pour quelqu'un en utilisant son véritable domaine de messagerie, sans avoir besoin d'enregistrer un sosie, grâce à un serveur de messagerie mal sécurisé.

C'est pourquoi la fraude aux PDG est difficile à reconnaître. Ce n'est qu'en prêtant attention aux moindres détails que vous pouvez découvrir une tentative malveillante. Quelques conseils généraux qui peuvent vous aider : si quelqu'un fait de son mieux pour vous convaincre de son identité, c'est souvent un signe qu'il faut être vigilant. Lorsque l'expéditeur tente de vous persuader de déroger à la procédure standard pour certaines demandes, il faut tirer la sonnette d'alarme.

Les noms des PDG, et ceux d'autres personnes occupant des postes de direction, font l'objet d'abus de plus en plus fréquents parce qu'ils possèdent un sentiment d'autorité.

Comment cela fonctionne-t-il ?

Lorsque nous examinons de plus près la CEO phishing fraude, nous constatons que quelques pratiques de phishing bien connues entrent en jeu. Tout d'abord, il y a l'élément de spear phishing : un membre d'une organisation est isolé pour être spécifiquement ciblé pour exécuter une action spécifique. Au lieu d'un message de hameçonnage général (provenant par exemple d'un service de cloud), ce message a été envoyé par une personne que le destinataire est censé connaître.

Deuxièmement, les criminels utilisent souvent la fraude au PDF ou à la macro, où vous recevez une pièce jointe malveillante par courriel. Lorsque vous ouvrez le document PDF ou que vous activez les fonctions macro dans un fichier Word ou Excel, il devient possible pour les criminels d'infecter votre appareil de manière externe. Si la présence d'un fichier PDF, Word ou Excel donne immédiatement un air d'autorité et de fiabilité, elle doit automatiquement vous inciter à vous méfier de son contenu. Ce n'est pas parce qu'il a l'air professionnel qu'il est digne de confiance.

Comment prévenir la fraude des PDG ?

La meilleure façon de prévenir la fraude à la PDG est de prendre en compte un grand nombre des mêmes mesures contre les campagnes de phishing ordinaires : prenez du recul pour analyser tout message que vous recevez et posez-vous quelques questions essentielles. Qui m'envoie ce message ? Pourquoi ? Cette personne me demanderait-elle d'effectuer cette action dans d'autres circonstances, normales ? S'agit-il d'une demande qui sort du cadre de mes fonctions habituelles ? Une pression est-elle exercée sur moi, par exemple en déclarant qu'il s'agit d'une tâche urgente ?

Ensuite, vous devez vérifier l'adresse électronique de l'expéditeur : y a-t-il des fautes de frappe dans l'adresse ou le message provient-il d'un endroit qui ne respecte pas la politique de l'entreprise ? Enfin, vous pouvez vérifier la destination des liens hypertextes contenus dans le message en passant le curseur de votre souris sur un lien donné. Si la destination semble erronée, ne cliquez pas dessus. Comme cela n'est pas possible sur les appareils mobiles, vous ne devez jamais ouvrir un lien sur un smartphone ou une tablette !

Les noms des PDG, et ceux d'autres personnes occupant des postes de direction, font l'objet d'abus de plus en plus fréquents parce qu'ils possèdent un sentiment d'autorité. Les gens sont moins susceptibles de remettre en question une demande étrange émanant de leur patron. Il est cependant toujours bon d'être vigilant, de poser la bonne question et, surtout, de réfléchir avant de cliquer !