fraude bancaire - Sogecash Web

SEPTEMBRE 2015
PAYMENT & CASH MANAGEMENT
FRAUDE BANCAIRE
COMMENT LA DETECTER ET S'EN PROTEGER
Chaque année, de nombreuses entreprises sont victimes de fraudes.
Vous trouverez ci-dessous les techniques de fraude les plus répandues ainsi que nos conseils pour les identifier et
vous en protéger.
LE PHISHING
POURQUOI VOTRE « BANQUE » VOUS DEMANDERAIT DES INFORMATIONS QU’ELLE POSSEDE DEJA ?
Par exemple : “Urgent ! Merci de confirmer vos coordonnées bancaires immédiatement, sous peine de clôture de
votre compte !”
LE PRINCIPE
Soutirer des informations confidentielles en se faisant passer pour un organisme de confiance : banque,
administration, opérateur téléphonique... Le plus souvent, l’escroc envoie un courrier électronique à un très
grand nombre d’entreprises. Le caractère alarmiste de son message va en inciter certaines à se connecter sur un
faux site web pour y fournir des informations.
LE SCENARIO TYPE
1.
Envoi massif d'e-mails
2.
Message anxiogène
3.
Saisie de données confidentielles
4.
Utilisation des données soutirées
QUE FAIRE FACE A UN E-MAIL SUSPECT ?
Restez vigilant sur les signes pouvant vous alerter : adresse mail de l’expéditeur incohérente, erreurs de
syntaxe ou fautes d’orthographe, lien ou site avec une adresse URL quasi-similaire, absence de la mention ‘https’
dans l’adresse internet du site visité ou du cadenas indiquant une connexion sécurisée ;
Ne cliquez pas sur les liens ;
N’ouvrez pas les pièces jointes ;
Ne répondez pas ;
Si vous avez le moindre doute sur le fait que cet e-mail vous ait été transmis par Société Générale, transférez-le à
l’adresse mail suivante : [email protected]
LA FRAUDE PAR TROYEN BANCAIRE
Un fraudeur diffuse au travers d’un mail piégé un virus caché dans un document en pièce joint
Par exemple : “Veuillez trouver ci-joint votre facture…”
LE PRINCIPE
A l’ouverture de la pièce jointe, le virus est installé sur le poste de travail et commence à enregistrer tout ce
qui est fait sur le poste. Il peut aussi tenter de se propager sur le réseau interne de l’entreprise et infecter d’autres
ordinateurs.
En plus de communiquer des informations confidentielles au fraudeur, le virus permet également de prendre la
main à distance sur le ou les ordinateurs et de réaliser des opérations frauduleuses.
SEPTEMBRE 2015
PAYMENT & CASH MANAGEMENT
LE SCENARIO TYPE
1.
Réception d’un mail avec une pièce jointe
2.
Clic sur la pièce jointe
3.
Installation du virus sur le poste avec
propagation éventuelle sur le réseau interne
de l’entreprise
4.
Prise de contrôle à distance de l’ordinateur
5.
Saisie et validation d’opérations frauduleuses
COMMENT DECELER LA FRAUDE ?
Restez vigilant quant à l’origine et au contenu des mails que vous recevez (cf paragraphe sur les méthodes
de Phishing). Restez également vigilant sur les comportements inhabituels que vous pourriez observer sur
Sogecash Web : apparition de messages d’attente inhabituels, fenêtre de demande d’informations, etc.
INGENIERIE SOCIALE
LA FRAUDE AU PRESIDENT
Attention votre interlocuteur téléphonique n'est peut-être pas celui qu'il prétend être
Exemple : “C’est votre PDG qui vous parle... Je vous fais confiance pour cette opération urgente... Gardez le
secret jusqu’à l’annonce officielle !”
LE PRINCIPE
Usurper l’identité d’un donneur d’ordres pour exiger d’un collaborateur qu’il effectue un virement
frauduleux, en prétextant l’urgence et la confidentialité. En se faisant passer pour un haut responsable de
l’entreprise, l’escroc dispose de puissants ressorts pour manipuler sa victime. Il fait alors usage de l’autorité qu’on
lui suppose « c’est un ordre que je vous donne là » tout en valorisant le collaborateur « je vous fais confiance ».
LE SCENARIO TYPE
1.
Prise de contact
2.
Demande exceptionnelle et urgente
3.
Force de persuasion
4.
Ordre de virement
QUE FAIRE FACE A UNE DEMANDE INHABITUELLE ?
Respectez les procédures internes : elles ont justement été établies afin d'empêcher les fraudes.
Résistez à la pression et faites preuve d'esprit critique face à un interlocuteur trop pressant, si besoin en
faisant appel à un collègue ou à un responsable.
Ecoutez votre intuition : si une demande vous paraît suspecte, c'est probablement qu'elle l'est !
Vérifiez la légitimité de la demande, par exemple en effectuant un contre-appel vers un numéro déjà référencé
LE FAUX TEST DE VIREMENT SEPA
Et si ce soi-disant « test » était finalement un virement frauduleux ?
Par exemple : “Nous devons effectuer un test... Les opérations réalisées seront fictives... Nous sommes là pour
vous aider !”
LE PRINCIPE
Se faire passer pour le service télématique d’une banque ou d’un éditeur et prétexter des tests de
compatibilité avec l’entreprise cliente pour demander à la victime d’effectuer un virement bancaire. Pour
2
SEPTEMBRE 2015
PAYMENT & CASH MANAGEMENT
faciliter la fraude, l’escroc peut suggérer à la victime de lui laisser prendre la main sur son ordinateur. Il prend alors
le contrôle du poste à distance et voit tout ce qui s’y passe.
LE SCENARIO TYPE
1.
Prise de contact
2.
Demande de test de virement
3.
Prise de contrôle de l'ordinateur
4.
Fausse confirmation
QUE FAIRE FACE A UNE DEMANDE INHABITUELLE ?
Gardez à l’esprit que votre banque ou votre éditeur ne vous sollicitera jamais pour :
 réaliser des virements tests. Les demandes de test sont toujours à l'initiative du client, qui en choisit lui-même
les caractéristiques. Leurs montants ne dépassent jamais quelques euros (penny test) ;
 communiquer des informations confidentielles par téléphone ou e-mail, en particulier un identifiant, un code
d’activation ou un code secret ;
 prendre le contrôle de votre ordinateur.
Vérifiez la légitimité de la demande en effectuant un contre-appel vers un numéro déjà référencé ou mettant en
œuvre la procédure prévue en interne.
N’adressez pas de confirmation d'ordres d'exécution vers un numéro inhabituel sans vous être assuré de la
véracité de la demande.
Résistez à la pression et faites preuve d’esprit critique face à un interlocuteur trop pressant, si besoin en
faisant appel à un collègue ou à un responsable.
Ecoutez votre intuition : si une demande vous paraît suspecte, c’est probablement qu’elle l’est !
LE DETOURNEMENT DE VOTRE LIGNE TELEPHONIQUE
Un inconnu répond à votre place quand on vous appelle !
Par exemple : “Nous avons eu une inondation... Pourriez-vous renvoyer les appels vers notre site de secours ?”
LE PRINCIPE
Détourner la ligne téléphonique d’une entreprise vers une fausse ligne de secours, afin de pouvoir
confirmer à la banque un ordre de virement frauduleux. Au préalable, l’escroc se sera renseigné sur le plan de
continuité d'activité et sur les procédures de sécurité de l'entreprise grâce à l’envoi d’un e-mail piégé contenant
un logiciel espion.
LE SCENARIO TYPE
1.
Envoi d'un e-mail piégé
2.
Récupération d'informations
3.
Détournement de la ligne
4.
Demande de virement
5.
Fausse confirmation
COMMENT DECELER LA FRAUDE ?
Il est possible qu'une fraude soit en cours si :
 un site ou un service de votre entreprise ne reçoit plus aucun appel téléphonique pendant une période
anormalement longue ;
 une de vos connaissances vous contacte sur votre portable et vous indique qu’un inconnu répond aux appels
sur votre ligne fixe.
3
SEPTEMBRE 2015
PAYMENT & CASH MANAGEMENT
QUE FAIRE DANS CE CAS ?
Contactez immédiatement votre opérateur téléphonique ainsi que votre interlocuteur Société Générale habituel ou
la hot line Sogecash Web.
LES MESURES DE PREVENTION ET LES BONS REFLEXES
POUR LIMITER LES RISQUES DE FRAUDES
Les bonnes pratiques rappelées ici vous aideront à protéger votre société de l’ingénierie sociale.
SECURISEZ VOS CODES D’ACCES
 Choisissez avec soin votre code secret Sogecash Web et changez-en très régulièrement. Evitez les codes secret
trop faciles (date de naissance…) ou déjà utilisés (accès téléphone…)
 Ne divulguez à personne votre identifiant et votre code secret Sogecash Web (ni à vos collègues, ni à la police,
ni à votre banque…)
 Conservez ces codes en sécurité, hors de portée de quiconque et ne les stockez pas au même endroit
(par exemple, pas de stockage sur le terminal, ni dans un fichier, ni sur un espace communautaire, ni sur le
cloud).
SECURISEZ LE TELECHARGEMENT DE L’APPLI SOGECASH WEB MOBILE
 Cliquez sur le lien mis à votre disposition depuis notre site www.sogecashweb.com. (Lorsque vous vous
connectez sur www.sogecashweb.com depuis un Smartphone ou une tablette iOS ou Android, nous affichons un
écran dédié permettant un accès direct au téléchargement de notre application depuis l’App Store ou Google
Play).
N’UTILISEZ PAS SOGECASH WEB MOBILE SUR UN APPAREIL DEBLOQUE
 N’utilisez pas Sogecash Web Mobile sur un appareil « rooté » ou « jailbreaké », qui autorise le
téléchargement d’applications non vérifiées par Apple ou Google. En effet, cette pratique rend votre appareil
vulnérable.
SECURISEZ VOS CONNEXIONS
 Choisissez un fournisseur d’accès internet reconnu et suivez ses conseils de sécurité.
 Vérifiez la présence de https (« s » pour secure) devant l’adresse du site.
 N’utilisez pas un moteur de recherche pour accéder à Sogecash Web.
 N’accédez pas à Sogecash Web depuis un ordinateur public ou connecté à un réseau WI-FI non sécurisé.
 Vérifiez la date et l’heure de dernière connexion à Sogecash Web, affichée sur le tableau de bord. Le canal de
dernière connexion est également indiqué sur Sogecash Web Mobile.
 Dès que vous avez terminé votre navigation, déconnectez-vous grâce au bouton « déconnexion ».
 Nous vous conseillons de paramétrer votre navigateur pour qu’il supprime systématiquement les traces de votre
navigation à la fin de chaque connexion.
CONTROLEZ LA DIFFUSION D’INFORMATIONS SUR VOTRE L’ENTREPRISE.
 Limitez la diffusion d’informations sur votre organisation (réseaux sociaux, sites internet, modèles type de
courrier, signature...) et contrôlez les informations restituées sur le site internet de votre entreprise.
 Recommandez aux collaborateurs de ne pas diffuser d’informations sensibles sur les réseaux sociaux
professionnels et personnels.
 Veillez à limiter l’accès à des documents sensibles, tels que le modèle de fax de l’entreprise.
 Conservez la confidentialité des signatures manuscrites des dirigeants autorisés à valider des opérations.
 Ne donnez pas trop de détails sur l’organigramme de votre société dans votre message d’absence de
messagerie. En effet, les fraudeurs utilisent souvent les périodes de congés pour envoyer des mails et au travers
des messages d’absence, recueillir le plus d’informations possible sur l’organigramme des sociétés qu’ils ciblent.
4
SEPTEMBRE 2015
PAYMENT & CASH MANAGEMENT
METTEZ EN PLACE DES PROCEDURES INTERNES SECURISEES
 Définissez des processus clairs et formalisés.
Sécurisez l’accès aux applications et données sensibles.
Limitez les droits des utilisateurs au strict nécessaire.
Dotez les fonctions sensibles de dispositifs d'authentification forte.
 Mettez en place une ségrégation des rôles.
Privilégiez si possible la double administration et la double validation des ordres.
 Réalisez des contrôles réguliers.
Respectez les procédures, la vérification des comptes...
 Votre interlocuteur habituel Société Générale se tient à votre disposition pour vous accompagner.
 N’oubliez pas, également, de supprimer un utilisateur lorsque votre collaborateur change de poste et ne travaille
plus sur Sogecash Web ou quitte la société
SENSIBILISEZ VOS COLLABORATEURS
 Collaborateurs les plus exposés à une tentative de fraudes :
Trésoriers - Comptables - Personnes agissant sur les moyens de paiement.
 Respectez les procédures opérationnelles et réalisez les contrôles prévus.
 Restez vigilant en cas de contact par un interlocuteur inhabituel (clients, fournisseurs, partenaires...)
 Gardez l’esprit critique et exercez votre droit d’alerte.
 Ne vous contentez pas des informations affichées : les fraudeurs peuvent facilement modifier l’adresse mail
apparente de l’expéditeur ou le numéro de téléphone appelant qui s’affiche sur le téléphone de leur cible.
 Valorisez, en tant que managers, les tentatives de fraudes stoppées grâce à la vigilance des collaborateurs.
SECURISEZ LES ECHANGES AVEC LA BANQUE
 Limitez les virements papier ou fax qui sont plus faciles à contrefaire que les autres moyens de paiement.
 Privilégiez les canaux automatisés comme Sogecash Web, Sogecash Net, Ebics, SWIFTNet...
 Respectez les consignes de sécurité afférentes à votre outil : authentification forte avec 3SKey ou Secure
Access, droits des utilisateurs pour Sogecash Web...
 Déconnectez votre clé 3SKey quand vous n’en faites pas usage. Elle doit être rangée dans un endroit sûr. Ainsi
si un fraudeur parvient à installer un logiciel pour prendre la main à distance sur votre ordinateur, il ne pourra pas
agir si la clé n’est plus connectée.
 Vérifiez les informations fournies par Secure Access lors d’une signature sur Sogecash Web Mobile.
 Communiquez à votre banque, lors d’un rendez-vous, les contacts à joindre en cas de doute sur des opérations
bancaires.
SECURISEZ LE SYSTEME D’INFORMATION DE L’ENTREPRISE
 Antivirus, correctifs sécurité, pare-feu personnel et d'entreprise, etc…
QUE FAIRE EN CAS DE FRAUDE AVEREE OU SUPPOSEE ?
Prévenez votre responsable.
Alertez votre banque : Votre interlocuteur Société Générale habituel ou la hot line Sogecash Web disponible au
+33 (0)1 42 14 13 12. Vous pouvez également cliquer sur « contact » sur notre page d’accueil et remplir le
bordereau que notre service d’assistance traitera immédiatement.
N’hésitez pas à nous contacter si vous avez le moindre doute (accès suspect, opération suspecte, fonctionnement
suspect par exemple).
5