Le FOVI est une arnaque aux faux ordres de virement qui consiste à amener la victime à virer des fonds sur un compte bancaire frauduleux.

Aussi appelée fraude au président cette arnaque vise les entreprises de toutes tailles et de tous secteurs sans distinction. Le fraudeur tente de convaincre un employé de l’entreprise visée, de réaliser un transfert d’argent urgent à un tiers. Pour y parvenir, il fait croire que la demande provient de la direction et qu’elle est donc légitime (PDG, DAF, membre du comité de direction…).

L’arnaqueur peut par exemple prétendre qu’il s’agit de payer une dette ou d’honorer un contrat avec un nouveau partenaire. Le caractère urgent de la demande revient à chaque fois. Parfois, le cybercriminel peut se faire passer pour un fournisseur et demander à l’employé du service de trésorerie d’envoyer le paiement sur un autre compte bancaire, prétendant avoir changé le RIB.

En règle générale, l’auteur de l’attaque se renseigne en amont sur l’entreprise, ce qui lui permet d’affiner son discours et d’adopter un ton convaincant et persuasif, clé de voûte de la réussite de son escroquerie. Cela est d’autant plus dangereux que les conséquences sont souvent désastreuses pour l’entreprise victime.

Le mode opératoire des fraudeurs 

  1. L’attaquant analyse l’environnement de l’entreprise en récupérant des informations publiées sur internet (secteur, organigramme, clients et fournisseurs)

Les informations disponibles sur internet sont nombreuses et permettent, avec un peu de recherche, de trouver assez précisément des informations sur le secteur de m’entreprise, son environnement professionnel, ses clients ou ses fournisseurs.

Les informations de recrutement ou les organismes, souvent disponible en ligne, peuvent permettent d’obtenir une connaissance précise du fonctionnement de l’entreprise et de son organisation.

Ces informations permettent à l’attaquant de légitimer une demande, en se faisant passer pour un membre de la société concernée.

  1. L’attaquant créer un faux nom de domaine proche de celui de l’entreprise ou usurpe l’identité d’un employé (suite à une fuite de données par exemple)
  • Le typosquattage, qui consiste à déposer un nom de domaine approchant du nom de l’entreprise en modifiant un caractère, comme s’il s’agissait d’une erreur de frappe.
  • Le cybersquattage, qui consiste à changer l’extension du site (.fr en .com ou en .eu)

En déployant des techniques d’ingénieries sociale, l’attaquant envoie ensuite un courriel très spécifique et urgent à un employé, en se faisant souvent passer pour un dirigeant et demandant d’effecteur un règlement.

Plusieurs cas de figure sont possibles

L’attaquant peut se faire passer pour une personne de l’entreprise visée, ou d’un organisme légitime par exemple l’administration fiscale, afin de soutirer des renseignements de contexte. Le but est ici de rendre crédibles, auprès de la personne visée, les demande d’informations concernant des client de cette entreprise : factures en cours ou non réglées, personnes en charges de règlements et des achats, processus de validation mis en place…

L’attaquant peut également chercher à compléter les informations de contexte déjà récupérées par ailleurs (sur le site web, les réseaux sociaux, la presse…), pour crédibiliser la fraude qui sera ensuite lancée auprès de l’entreprise en se faisant passer, par exemple pour un fournisseur. Ainsi, l’attaquant peut faire valoir des informations précises et contemporaines d’un règlement ou d’une commande en cours afin de rendre crédible un faux ordre de virement.

L’attaque peut prendre plusieurs formes distinctes 

La fraude au président 

L’attaque peut prendre la forme d’une fraude au président donc elle tire son nom original. Il s’agira d’une demande urgente. Prétendument validée en haut lieu (PDG lui-même) et incitant dans l’urgence, un employé, à faire un règlement sans délai. L’urgence mentionnée et la crédibilité de la demande pourront amener un salarié à exécuter ce paiement. L’attaque usurpera, dans ce cas, l’identité d’une personne interne à l’entreprise cible, par l’intermédiaire d’un mail (faux nom de domaine ou accès frauduleux à une boîte mail interne à l’entreprise) ou d’un appel téléphonique.

La demande de modification des coordonnées bancaires 

L’attaque peut également prendre la forme d’une demande de modification des coordonnées bancaires d’un fournisseur. Le but est ici de faire que le prochain règlement d’un ou de plusieurs clients vienne alimenter le compte bancaire des cybercriminels à la place du compte de l’entreprise visée par l’attaque.

La création de fausses factures 

L’attaque peut enfin consister en la création de fausses factures invitant l’entreprise ciblée à régler ces factures sur le compte des cybercriminels. Ici encore, le contexte de cette demande, par le travail préparatoire des criminels, peut s’avérer tout à fait légitime

 

Comment se protéger contre la fraude au virement bancaire ? 

Sensibilisez vos collaborateurs et cadres aux risques : notamment réception de messages frauduleux d’hameçonnage (phishing) visant à leur dérober leurs mots de passe en particulier si vos services de messageries sont hébergés ou accessible en externe.

Diffusez des procédures claires aux collaborateurs mandatés sur les règles d’authentification des émetteurs et de confirmation des demandes de virement imprévues ou de validation des changements de coordonnées bancaires.

Mettez en place une procédure de vérification et de validation hiérarchique interne non dérogeable des demandes de virement imprévues ou d’acceptation de changements de coordonnées bancaires.

Veillez à limiter la publication d’informations (site Internet, réseaux sociaux…) permettant d’identifier et de contacter vos collaborateurs habilités à réaliser des demandes de virement ou des modifications de coordonnées bancaires.

Généralisez l’utilisation de mots de passe solides pour les comptes de messagerie et activez la double authentification pour limiter les risques de piratage.