Particulièrement utilisée ces dernières années, la technique du spoofing, qui consiste à usurper une adresse mail à des fins malveillantes, est une arnaque qui cible de plus en plus d’entreprises. En quoi consiste-t-elle exactement, et quelles bonnes pratiques mettre en place pour éviter d’en être la victime ? Voici tout ce que vous devez savoir.
Trustpair vous protège des effets néfastes du spoofing en contrôlant en continu vos tiers et en bloquant les paiements suspects. Contactez un expert pour en savoir plus !
Usurpation d’adresse e-mail : comment fonctionne le spoofing ?
Appelée “spoofing” (de l’anglais “to spoof”, qui signifie “parodier”), l’usurpation d’identité via e-mail est de plus en plus utilisée par les hackers. Il s’agit d’une technique de piratage visant à induire en erreur le destinataire d’un message électronique, grâce à une adresse mail ressemblant comme deux goûtes d’eau à celle d’un expéditeur connu. Dans le cas du spoofing, une personne bien précise est visée, contrairement à d’autres techniques de piratage qui ciblent des groupes de personnes au hasard telles que le phishing ou le ransomware.
Les entreprises se trouvent de plus en plus victimes de ces attaques ciblées. Ainsi, selon une enquête menée en 2018 par Sapio Research, 49% des entreprises frfançaises ont subi des attaques d’hameçonnage ces dernières années.
Prenons un exemple classique
La victime va recevoir un email de l’adresse aude.monet@trsutpair.fr, au lieu de aude.monet@trustpair.fr. La victime ne le sait pas encore, mais elle fait bien l’objet d’une usurpation d’adresse mail. En effet, en lisant vite, la personne ne se rend pas compte que cet email est frauduleux – dans ce cas là, une inversion de deux lettres – et ouvre le message, pouvant par exemple contenir un virus visant à extraire des données personnelles.
Les hackers peuvent également usurper des noms de domaine. Par exemple, ils vont créer une fausse adresse mail qui se termine par “trustpair.com” (au lieu de trustpair.fr), en vue de tromper leurs destinataires et de les inciter à croire qu’ils traitent véritablement avec une personne de l’entreprise Trustpair.
Lorsqu’elle est bien réalisée, cette méthode de piratage est difficile à détecter. En effet, les salariés reçoivent de nombreux emails dans la journée, et n’ont pas forcément le temps d’en vérifier l’expéditeur à chaque fois. Et lorsque les solutions anti-spam des boîtes ne fonctionnent pas, c’est bien sur cet effet de confusion que jouent les pirates informatiques.
Le spoofing : une méthode redoutable de fraude en entreprise
On l’a vu, le spoofing désigne les techniques de piratage visant à usurper une adresse mail, une adresse IP ou encore un nom de domaine.
Mais dans les cas les plus graves, les pirates informatiques peuvent également usurper l’identité d’un fournisseur ou d’une personne de l’entreprise, et envoyer des emails aux collaborateurs pour leur demander d’effectuer une transaction financière “urgente”. C’est ce qu’on appelle la fraude au faux fournisseur, qui concerne 48% des tentatives de fraudes selon une étude Euler Hermès.
Un autre type de fraude en lien avec le spoofing concerne la fraude au faux président. Elle consiste à convaincre un collaborateur de l’entreprise d’effectuer en urgence une transaction financière à l’égard d’un tiers. Le prétexte utilisé peut être un retard de paiement, un contrat à honorer, une dette à régler, etc. L’expéditeur se fait passer pour une personne haut placée, comme le dirigeant d’une société. Cela incite le destinataire de l’email à répondre à l’ordre donné sans se poser de questions.
La fraude au président ou fraude par faux ordre de virement (FOVI) est l’une des arnaques les plus répandues. En effet, si cette technique paraît facilement évitable, la réalité en est tout autre. En 2020, toujours selon l’étude Euler Hermès, 38% des tentatives de fraude concernaient la fraude au président. Elle concerne donc toutes les entreprises, quelle que soit leur taille et leur secteur d’activité. Entre 2010 et 2016, le préjudice total pour les entreprises victimes de cette escroquerie basée sur l’usurpation d’adresse mail s’élevait à 485 millions d’euros.
Pour les hackers, l’intérêt est double :
- ce type de fraude n’est pas difficile à mettre en place (il suffit, en substance, d’une fausse adresse mail),
- elle paraît crédible à première vue ce qui la rend très efficace.
En effet, les échanges par mail avec des fournisseurs et/ou des tiers à l’entreprise font partie de l’activité quotidienne, et les collaborateurs n’ont a priori pas de raison de se méfier des courriers électroniques qu’ils reçoivent.
Pour en apprendre plus sur la fraude en entreprise, téléchargez notre dernier baromètre de la fraude !
Quelles bonnes pratiques mettre en place pour éviter d’être victime de spoofing ?
La vigilance et la sensibilisation des collaborateurs
Ces deux mesures sont efficaces pour lutter contre la fraude, et ont l’avantage d’être mise en place assez facilement. Apprendre à reconnaître les emails potentiellement malveillants doit devenir un réflexe, et peut éviter de nombreuses catastrophes. Dans votre entreprise, n’hésitez pas également à installer un filtre antispam : s’il ne suffira pas à lui seul à vous protéger contre le spoofing, il pourra constituer une première barrière.
Ne sous-estimez pas le pouvoir de la communication entre les équipes
Plus elles communiqueront entre elles, plus elles seront en mesure de repérer rapidement des tentatives de hameçonnage.
Sécuriser les adresses email, ainsi que les adresses IP
A cet effet, on peut installer un serveur proxy qui permet de masquer les adresses IP de toutes les machines, de limiter les accès à certains sites Internet, et de surveiller les flux grâce à une traçabilité précise. C’est l’une des bonnes pratiques de sécurité informatique.
Instaurer un double contrôle en cas d’email impliquant une transaction financière
Cette pratique peut également être une manière de se protéger du spoofing. Par exemple, il est possible de mettre en place une vérification systématique des communications par email et de l’identité des interlocuteurs. Idéalement, cette vérification doit être automatisée.
Mettre en place un contrôle permanent des coordonnées bancaires des tiers
Cette pratique se révèle particulièrement utile lorsque plusieurs tiers demandent aux équipes comptables de procéder à la modification de leurs coordonnées bancaires. C’est via la modification de ces coordonnées que des fraudes et virements suspects vont s’opérer par la suite.
La plateforme Trustpair automatise le contrôle des coordonnées bancaires des fournisseurs, et vérifie l’identité des tiers grâce à l’association automatique de l’entreprise et de son compte bancaire. La sécurité de vos processus de contrôle est renforcée et la visibilité sur les contrôles effectués est accrue, pour une lutte optimale contre la fraude. Contactez un expert pour en savoir plus !
Pour conclure…
- Le spoofing, ou usurpation d’adresse mail, désigne les techniques de piratage visant à usurper une adresse mail, une adresse IP ou encore un nom de domaine. Les hackers ciblent une personne bien définie de l’entreprise, contrairement aux autres techniques type phishing ou ransomware, qui s’adressent à un large nombre de personnes.
- C’est aussi une technique de fraude redoutable. Les entreprises ciblées peuvent être alors victime de fraude au faux fournisseur, ou de fraude au président. Cette dernière consiste à se faire passer pour le dirigeant d’une entreprise et à demander, par email, le versement d’une importante somme d’argent.
- Pour éviter d’être victime d’usurpation d’adresse mail, des techniques existent, telles que la sensibilisation des collaborateurs et la sécurisation des adresses mail et IP.
- L’entreprise peut aussi effectuer des doubles vérifications lorsque l’objet du mail concerne la réalisation d’une transaction financière, et s’assurer que les coordonnées bancaires partagées correspondent à celles présentes dans son référentiel tiers.
- Sur ce dernier point, le contrôle automatique des data fournisseurs et la sécurisation des paiements en entreprise peuvent être assurées par une solution dédiée. Trustpair accompagne les directions financières des ETI et Grands Comptes dans la digitalisation de leurs processus, afin de sécuriser leurs paiements et de toujours payer le bon fournisseur sur le bon compte bancaire.
