Lorsqu’il s’agit de criminalité en ligne, celle-ci se manifeste sous de nombreuses formes.
Dans le monde de l’entreprise, le plus grand risque perçu à l’heure actuelle pourrait bien être une violation de données, en raison de la publicité accordée à ces derniers temps, ainsi que des coûts et de l’atteinte à la réputation liés à un tel événement.
Mais, en réalité, le crime bien plus susceptible d’être subi par une entreprise à l’heure actuelle est l’ingénierie sociale, un crime dans lequel l’objectif est d’acquérir quelque chose de valeur d’une victime, généralement des informations, de l’argent, ou les deux.
Et récemment, un type spécifique d’ingénierie sociale a énormément gagné en popularité ; et c’est ce que nous allons examiner aujourd’hui.
Connu sous le nom de fraude au PDG, ce type de crime s’est déjà avéré extrêmement coûteux pour les entreprises qui y ont succombé.
Fraude de PDG
La fraude au PDG est une affaire de tromperie – la personne derrière ce type particulier d’escroquerie cherche à convaincre un employé de l’entreprise qu’il est un personnage haut placé et faisant autorité au sein de l’organisation, tel qu’un directeur financier ou un cadre de niveau C, dans l’espoir qu’il puisse ensuite le duper pour qu’il envoie une vaste somme d’argent à sa place.
La fraude au PDG est une affaire de tromperie.
Pour réussir, l’attaquant devra être convaincant, ce qui signifie qu’il devra arriver pré-armé d’une foule d’informations sur l’entreprise qu’il cible.
Pour la plupart, ces informations seront basées autour de la structure de l’organisation, comme la structure hiérarchique et les postes et relations de direction et d’encadrement.
Une fois les chiffres clés identifiés, l’étape suivante consistera à en savoir plus sur ces chiffres , noms, adresses électroniques. horaires, quand ils seront en voyage ou en vacances et, plus important encore, qui, le cas échéant, a récemment rejoint l’entreprise.
L’attaquant devra également obtenir des informations sur la structure de l’entreprise.
L’attaquant devra également découvrir qui, au sein de l’organisation, est responsable de la signature des transferts d’argent, qu’il s’agisse d’un comptable ou d’une personne du département financier.
À ce stade, vous serez peut-être surpris d’apprendre qu’une grande partie de ces informations est incroyablement facile à trouver , les sites Web des entreprises publient souvent les noms, les fonctions et les coordonnées de leurs employés clés.
Les réseaux sociaux constituent souvent une bonne source secondaire d’informations , les sites de réseautage professionnel regorgent d’informations juteuses sur les personnes de tous niveaux au sein d’une organisation donnée.
De même, les sites sociaux peuvent également être un excellent endroit vers lequel se tourner pour un attaquant qui tente de déterminer les mouvements de quelqu’un – les gens sont beaucoup trop enthousiastes dans la publication de leurs plans de vacances et de leurs voyages d’affaires, étant donné que n’importe qui peut lire ce qu’ils ont écrit.
Une fois qu’un attaquant a acquis ces informations, cependant, il peut commencer son attaque.
Typiquement, cela implique d’envoyer un courriel à un employé des finances approprié, de préférence quelqu’un d’assez nouveau dans le rôle si possible, et de se faire passer pour le PDG ou un autre membre de haut rang au sein de l’entreprise, et de demander un transfert d’argent urgent vers un compte qu’il contrôle.
La légitimité de l’attaquant est un élément clé de la réussite de l’attaque.
La légitimité sera ajoutée par l’utilisation d’une adresse e-mail usurpée qui ressemblera à la véritable adresse e-mail du prétendu expéditeur.
Le courriel dira que la demande de transfert est urgente, ce qui incitera la victime à répondre rapidement et sans réfléchir, ou du moins ce sera l’intention de l’attaquant.
Et de telles tactiques fonctionnent , une vaste quantité d’argent a trouvé son chemin dans l’underground criminel de cette façon récemment.
Les entreprises et les particuliers peuvent utiliser ces tactiques.
Comment les entreprises, notamment les plus petites, peuvent-elles éviter d’être victimes de la fraude au PDG ?
La défense contre les cybercriminels n’est pas une affaire simple dans le meilleur des cas, mais il existe un certain nombre de contrôles techniques qui peuvent atténuer les risques posés par de nombreuses attaques auxquelles les entreprises sont confrontées aujourd’hui.
La fraude au PDG est un problème de taille.
Puis il y a les politiques, les procédures et les processus mis en place pour guider les gens vers un travail sécurisé.
Mais bien sûr, les gens sont des gens et, comme je le dis souvent, ils sont la partie la plus faible de toute stratégie défensive, car ils n’ont pas l’absence de logique que l’on trouve dans les machines.