Qu’est-ce que la « fraude au CEO/PDG » ?
La fraude au PDG est un type de cyberattaque qui peut être commise à l’aide des méthodes évoquées jusqu’à présent, à savoir le phishing (courrier électronique), le vishing (appel téléphonique ou appel vidéo) et le smishing (message texte ou envoi d’un message vidéo ou audio).
Il consiste à usurper l’identité d’une personne ayant une fonction ou un poste d’autorité ou de responsabilité au sein d’une entreprise privée ou d’une entité publique. Bien qu’il s’agisse du PDG (directeur général ou exécutif), tous les managers, directeurs, coordinateurs ou même politiciens et personnalités publiques peuvent être remplacés.
L’objectif est que l’utilisateur ait pleinement confiance dans la communication reçue, car il est une personne digne de confiance dont la demande doit être traitée. En effet, il est aujourd’hui de plus en plus facile de créer de fausses communications en utilisant l’image et la voix réelles d’une personne (comme on peut le voir dans l’image d’exemple, avec des visages de célébrités) grâce à l’intelligence artificielle. En outre, afin d’éviter que les utilisateurs n’aient le temps de réfléchir à la réponse ou de détecter des fraudes, les demandes faites par ces moyens sont presque toujours extrêmement urgentes.
Qu’est-ce que cela implique ?
Si notre patron nous demande d’urgence de changer un mot de passe, de télécharger un fichier, d’effectuer un transfert ou de fournir des données ou des informations, nous sommes susceptibles de répondre le plus rapidement possible, sans trop réfléchir à la pertinence de ce qu’il nous demande.
Comment détecter ces attaques ?
- Contact par d’autres moyens : Un appel à la personne qui demande quelque chose en urgence nous permet de vérifier s’il s’agit d’une fraude ou d’une demande réelle. Il est très important de ne pas essayer de faire cette vérification en répondant au même message, car nous pourrions éveiller les soupçons du cybercriminel et ce serait pire.
- Appliquer la logique commune : prenez le temps de vous demander si ce qui est demandé est habituel ou même si les voies indiquées dans les politiques de l’entreprise ou les procédures de travail pour de telles demandes sont utilisées. Voyons quelques exemples :
-
- Si les procédures internes indiquent que les changements de mot de passe doivent être demandés par courrier à une adresse d’assistance spécifique ou via une plateforme spécifique, ne vous fiez pas aux appels ou aux messages textuels ou vocaux que vous pourriez recevoir, sans être sûr qu’il ne s’agit pas d’une escroquerie.
- S’il nous est interdit d’envoyer des informations par Whatsapp ou des services similaires, notre supérieur ne nous demandera jamais de documents ou de données confidentielles par ce moyen.
- Si une double approbation ou un contrôle interne est nécessaire pour les virements, ne modifiez pas les détails du paiement et n’effectuez pas ces transactions à la légère. Quelle que soit leur urgence.
-
NOUS VOUS LE RAPPELONS UNE FOIS DE PLUS : Si vous pensez avoir fourni des informations personnelles ou professionnelles que vous n’auriez pas dû divulguer à la suite de ce type de cyberattaque, signalez-le au service informatique, au RSSI ou au DPO du lieu de travail et signalez-le à la police .