Les cyberattaques s’appuient parfois sur des moyens complexes et sophistiqués. Mais souvent, une simple escroquerie peut faire l’affaire : c’est notamment le cas des arnaques dites de « fraude au président » ou au faux ordres de virement bancaire , qui visent simplement à tromper la vigilance d’un employé d’une entreprise en se faisant passer pour un fournisseur ou pour un dirigeant. Une arnaque d’ingénierie sociale qui reste terriblement efficace : selon le Parisien, une société d’immobilier parisienne, Sefri-Cime, s’est ainsi fait voler un total de 33 millions d’euros suite à une arnaque de ce type ayant visé ses employés.
Dans ce cas précis, les escrocs ont opérés à partir d’adresses mails contrefaites : les auteurs de l’attaque se sont fait passer pour le directeur de la société et ont contacté au début du mois de décembre une comptable en lui faisant croire que la société préparait une introduction en bourse et que celle ci avait besoin de réaliser certaines opérations devant rester secrètes. Un second escroc se faisant passer pour un avocat du cabinet d’audit KPMG est alors ajouté à la conversation : celui ci demande à la comptable de réaliser plusieurs virement vers des comptes situés en Hongrie, en Croatie et en Grèce. Au cours du mois de décembre, celle ci s’exécute sans se rendre compte de la supercherie, mais à la fin du mois les escrocs tentent un mail similaire à l’adresse d’un autre comptable de l’entreprise qui donne cette fois l’alerte.
Au total, la société a versé 33 millions d’euros sur des comptes contrôlés par les attaquants. Un record pour une entreprise française, mais la facture aurait pu être encore plus salée si les employés avaient laissé passer la deuxième tentative des escrocs.
La société a déposé plainte dès qu’elle s’est aperçue de l’escroquerie, le 29 décembre. Une enquête a été ouverte le lendemain, confiée à la brigade des fraudes aux moyens de paiement. Les forces de l’ordre sont parvenues à récupérer 3 millions d’euros qui avaient été envoyées via l’un des virements.
Les arnaques de ce type sont une forme de cybercriminalité courante, même si les entreprises victimes rechignent parfois à communiquer sur le sujet. Pour les victimes, les recours sont limités mais les forces de l’ordre recommandent de déposer plainte le plus vite possible afin de permettre aux policiers de bloquer les virements effectués et de récupérer au mois une partie de l’argent.
