Exemple :
Imaginons que nous fassions partie des services administratifs, RH ou financiers et que nous recevions une demande d’un soi-disant employé ou de son supérieur hiérarchique visant à modifier le numéro de compte personnel sur lequel il perçoit son salaire.
Une demande que nous pouvons comprendre comme habituelle ou même inoffensive peut causer de graves dommages au niveau du travail si nous ne suivons pas les procédures et ne procédons pas à un contrôle correct.
Situation actuelle :
Selon des études récentes, bien que cette cyber-attaque ne soit pas encore l’une des plus courantes, elle a touché environ 70 % des entreprises et entités au cours des 12 derniers mois. Et ce, quel que soit leur secteur d’activité, qu’elles soient publiques ou privées.
Qu’est-ce que cela implique ?
Il s’agit, là encore, d’usurper l’identité d’une personne au sein de notre entreprise. La demande peut être reçue par différents moyens (e-mail, SMS, téléphone, etc.). Et ce ne sont pas seulement les responsables du personnel qui la reçoivent, mais le cybercriminel peut également s’attendre à ce que la demande soit transmise en interne au service concerné.
En cas de succès, les travailleurs dont l’identité a été supprimée cesseront de recevoir, d’un mois à l’autre, leur salaire. Parce qu’il aura été détourné vers le compte d’un cybercriminel.
Comment éviter cela ?
Appliquer la logique commune : prenons le temps d’examiner la pétition.
- Si les procédures internes indiquent que vous devez postuler par courrier ou via une plateforme spécifique, ne vous fiez pas aux appels ou aux messages textuels ou vocaux que vous pourriez recevoir, sans être sûr qu’il ne s’agit pas d’une escroquerie.
- Même si la demande a été faite par le moyen de communication approprié, faisons une deuxième vérification en appelant la personne qui demande le changement. Cela nous permettra de vérifier s’il s’agit d’une fraude ou d’une demande réelle. Il est très important de ne pas essayer de faire cette vérification en répondant au même message ou en utilisant les coordonnées indiquées dans le message, car nous pourrions éveiller les soupçons du cybercriminel et ce serait pire.
- Si une double approbation ou un contrôle interne est nécessaire pour les virements, ne modifiez pas les détails du paiement et n’effectuez pas ces transactions à la légère. Aussi banales qu’elles puissent paraître. Idéalement, dans de tels cas, une preuve de la propriété du compte bancaire devrait être demandée, afin de prouver la légitimité du changement.
NOUS VOUS LE RAPPELONS UNE FOIS DE PLUS : Si vous pensez avoir été victime de ce type de cyberattaque, signalez-le au service informatique, au RSSI ou au DPO du lieu de travail et signalez-le à la police .