C'est quoi la fraude à l'identité commerciale?
La fraude à l’identité est un délit dans le cadre duquel un individu utilise les données personnelles d’une autre personne, sans son consentement, dans le but d’abuser ou de tromper une tierce personne. Dans un contexte privé, ces données personnelles sont employées pour ouvrir un compte bancaire, conclure des contrats de location ou effectuer des commandes sur internet.
Désormais, les entreprises sont également la cible des bandes de malfaiteurs internationales. Un individu se fait passer pour le travailleur d’une entreprise particulière. Sous une fausse identité, il tente alors d’obtenir d’un employé d’une entreprise de procéder à un versement ou de lui livrer des marchandises par le biais d’une ruse. Il s’agit d’une fraude à l’identité commerciale. Jusqu’à présent, les usurpations ont principalement concerné les CEO (fraude au CEO) mais les escrocs s’intéressent aussi à d’autres profils au sein des entreprises, notamment les acheteurs. Votre entreprise est exposée à de grandes pertes financières car la plupart du temps, la fraude est découverte trop tardivement. Si la réaction n’est pas immédiate, la récupération des montants versés ou des marchandises expédiées est quasiment impossible. Seule la collaboration permet de lutter contre ce type de fraude!
Les escrocs appliquent 2 techniques afin d'usurper une identité
Social Engineering
Les escrocs mènent une enquête en ligne dans le but de récolter un maximum d’informations sur une entreprise et ses travailleurs (par exemple sur LinkedIn, Google, Facebook, le site de l’entreprise, etc.). Grâce à ces informations, ils sont alors en mesure de créer une fausse identité semblable à celle d’un travailleur de l’entreprise. Ensuite, ils enregistrent un nom de domaine similaire lié à des adresses électroniques. Si les enjeux sont importants, les fraudeurs peuvent même créer un nouveau site web pour l’entreprise et un nouveau profil LinkedIn afin que la fausse identité soit plus convaincante encore.
Business E-mail Compromise
Les fraudeurs ont recours à des techniques de piratage pour accéder à un compte e-mail réel de l’entreprise. Ces techniques comprennent le malware (logiciel malveillant), le phishing (hameçonnage) ou l’abus de failles dans les logiciels. À travers le compte piraté, les escrocs sont alors capables d’obtenir des informations internes de l’entreprise et de les utiliser pour envoyer des e-mails à des parties tierces dans le cadre d’un projet frauduleux.
3 Types de cibles
La plupart des fraudeurs usurpent l’identité de certains profils de travailleurs
Un travailleur haut placé
CEO fraud
Dans la majorité des escroqueries, l’individu malintentionné se fait passer pour le CEO, un actionnaire ou un conseiller financier et donne l’ordre à un membre du département financier de procéder à un versement. De faux e-mails et contacts téléphoniques rendent la fraude plus crédible. L’escroc vante les qualités suivantes de sa victime : loyauté, discrétion et rapidité.
Acheteur d'entreprise
FAUSSE COMMANDE : 3 TYPES DE VICTIME
Dans ce type de fraude, l’individu usurpe l’identité de l’acheteur d’une entreprise connue pour effectuer des commandes. L’escroc se sert de ce profil factice pour cibler le département des ventes d’un nouveau fournisseur ou d’un fournisseur travaillant déjà pour l’entreprise. Les marchandises livrées à ce « gros client » ne sont jamais payées. Une enquête révèlera par la suite que cette entreprise connue n’a pas connaissance de la commande fictive et refusera bien entendu de payer. Le transporteur qui a livré ou stocké les marchandises ne sera lui non plus jamais payé.
Fournisseur
FRAUDE AU FOURNISSEUR/FRAUDE À LA FACTURE
Ce type de fraude cible les entreprises qui travaillent avec des fournisseurs (étrangers). Le fraudeur tente de convaincre le service des achats, la comptabilité ou le service créditeurs de verser le montant dû (facture impayée) sur un nouveau compte en banque. L’individu précise aussi parfois que le fournisseur fait désormais appel aux services d’une société de facturation à l’étranger. Afin d’accréditer sa fraude, l’escroc envoie de faux contrats.
i-Force peut vous aider de 4 manières
Une plateforme centrale destinée au contrôle et au signalement de noms de domaine fictifs
ID Fraud Check offre aux entreprises un système à la fois simple et fiable de signalement et de consultation développé par et pour ses partenaires. Plus les entreprises signaleront les tentatives de fraude dont elles sont la cible, et plus l’information se diffusera. Les collaborateurs d’i-Force analysent les données et tentent d’identifier les tendances (noms de domaine ou adresses de livraison fréquemment employés). La plateforme fait également office de mécanisme d’alerte précoce pour ses partenaires.
Sur la base de son expérience, i-Force peut vous aider à gérer la situation.
Votre identité a été abusée
- ► Rapport de l’incident au Conseil d’administration et/ou Comité de direction ainsi que des mesures qui ont déjà été prises et des actions ultérieures
- ► Contacts avec vos partenaires (fournisseurs, clients, …)
- ► Blocage de tous les domaines fictifs avérés
- ► Les informations concernant la fraude sont documentées et complétées dans le but de déposer une plainte et d’étayer toute action judiciaire ultérieure
- ► Signalement d’autres types d’actions frauduleuses ciblant votre nom de domaine
Vous êtes victime
- ► En avertissant rapidement le maillon suivant de la chaîne de transport, les marchandises peuvent être localisées et récupérées
- ► Demandez à votre banque de geler les comptes afin d’empêcher des pertes supplémentaires
- ► Les informations concernant la fraude sont documentées et complétées dans le but de déposer une plainte et d’étayer toute action judiciaire ultérieure
- ► Les Digital Forensics inspectent les supports de données infectés et prennent toutes les mesures de sécurité nécessaires
- ► Contrôlez toute collusion interne éventuelle
- ► Rapport de l’incident au Conseil d’administration et/ou Comité de direction ainsi que des mesures qui ont déjà été prises et des actions ultérieures
Nous avons mis en place une formation de sensibilisation ciblée pour votre personnel susceptible d’être visé par ce type de fraude (comptabilité, service des achats, des créditeurs, des ventes, …). Cette formation est principalement axée sur :
- ► les directives pratiques
- ► les signaux d’alerte
- ► les principes de base en matière de sécurité informatique
- ► les mesures spécifiques de contrôle interne
-
Nous pouvons aussi organiser régulièrement des exercices de simulation de phishing (hameçonnage).
i-Force Digital Security Scan
Si un compte e-mail de votre entreprise a été « piraté », i-Force peut vous conseiller sur les mesures à appliquer directement et vous aider à empêcher que ce type d’incident ne se reproduise à l’avenir.
Les 5 atouts d'i-Force
Avertissements précoces
i-Force prévient ses partenaires à chaque fois qu’elle a connaissance de l’utilisation d’une variante du nom de domaine d’un partenaire dans le but de placer des commandes fictives.
Ce nom de domaine peut alors être bloqué au plus vite et vous pouvez prévenir vos fournisseurs de cette nouvelle variante.
Les partenaires peuvent aussi décider de renvoyer leurs fournisseurs vers ce site afin de les sensibiliser au contrôle de nouvelles adresses e-mail.
i-Force peut vous aider dans la mise en œuvre des bonnes pratiques
Les marchandises dérobées à travers une commande fictive ne sont presque jamais envoyées directement à l’escroc. Différentes adresses d’expédition successives sont indiquées dans le but de compliquer la tâche d’identification. La plupart du temps, elles arrivent après plusieurs étapes intermédiaires à l’étranger où elles sont finalement récupérées par le fraudeur.
C’est également à cet endroit que se trouve notre plus grande chance de récupération ! Une adresse de livraison temporaire identique est utilisée pour l’expédition d’autres commandes frauduleuses.
Grâce au suivi et au contrôle des marchandises, nous tentons de prévenir à temps les différents maillons de la chaîne de transport à pouvoir bloquer l’expédition avant qu’elle atteigne sa destination finale. Une réaction rapide assure l’efficacité d’une telle action. Plus le nombre de maillons prévenus est élevé, plus nous sommes en mesure d’identifier les envois frauduleux. Cela nous permet d’avertir les victimes qui n’ont pas encore pris conscience de la fraude.
Notre société d’audit indépendante belge en matière de fraude justifie de plus de 15 années d’expérience dans la lutte contre la fraude commerciale. Nous avons déjà traité plus de 1300 cas frauduleux à la fois pour nos clients du secteur privé et public.
Notre équipe pluridisciplinaire est composée d’auditeurs spécialisés dans la fraude, d’experts des enquêtes technologiques et de criminologues. Nous coordonnons aussi un groupe de détectives privés sous licence.
Signaler les cas de (tentatives de) fraudes à l’identité à i-Force nous permet d’étendre notre réseau d’entreprises concernées et d’accroître la possibilité de prévenir à temps un plus grand nombre de victimes potentielles.
REJOIGNEZ NOTRE RÉSEAU.
ENSEMBLE, NOUS POUVONS METTRE UN TERME À CETTE FORME DE FRAUDE.
Afin d’atteindre un niveau d’efficacité maximal, nous pouvons aussi compter sur un large réseau de détectives privés, de sociétés d’audit européennes spécialisées dans la fraude et de fournisseurs de matériel de sécurité spécialisé.