WardCom For Account

Fraude par hameçonnage - Une nouvelle réalité




Source: Karen Gordon, CPA, CA

«Cher ami, vous êtes peut-être surpris de recevoir ce courriel parce que vous ne me connaissez pas en personne [sic], mais permettez-moi de me présenter, je suis Monsieur…»

J’aurais du mal à trouver, parmi mes connaissances, quelqu’un qui n’a jamais reçu un message de cet acabit.

Si certains d’entre nous réagissent à ces désagréments électroniques en cliquant tout simplement sur le bouton «supprimer», il est renversant de voir combien de particuliers et d’organisations sont victimes de ces courriels d’apparence légitime.

«Veuillez virer 100 000 $ sur le compte bancaire ci-dessous. C’est une demande urgente, à laquelle vous devez répondre immédiatement.»

Les fraudeurs les plus rusés envoient de telles demandes en se faisant passer pour le directeur financier (ou un autre cadre supérieur) de l’organisation où travaille le destinataire. La plupart du temps, le message porte la mention «urgent», ce qui laisse peu de temps à l’employé pour poser des questions. Il finira par découvrir, après avoir viré les fonds à l’étranger en croyant obéir aux instructions de son patron, que le courriel ne venait pas de ce dernier… Hélas, une fois l’argent déboursé, il y a très peu de chances de le récupérer.

Après un tel événement fâcheux, une question s’impose : qui est vraiment responsable? Est-il normal que l’employé ait pu virer les fonds sans autre pièce justificative? Un courriel de son directeur financier, même légitime, devrait-il suffire comme attestation pour qu’une telle somme soit envoyée, que le nom du bénéficiaire figure ou non sur une liste de fournisseurs approuvés?

L’hameçonnage et les fraudes par virement électronique se multiplient dans un monde dominé par la technologie. Si le courriel provient d’une fausse adresse qui ressemble à celle d’un cadre supérieur, un employé habitué à recevoir de telles demandes spéciales — en l’absence de tout processus ou contrôle — pourrait ne pas remarquer la divergence; c’est du moins ce qu’espèrent les escrocs.

Dans bien des cas, les fraudeurs ajoutent une lettre au nom du domaine, ou en suppriment une — un «i» en trop ou un «l» en moins peut passer inaperçu. Comme ces demandes sont souvent tout à fait semblables à des communications légitimes, le destinataire n’aura pas forcément la puce à l’oreille.

Voici des conseils qui vous aideront à déjouer les escrocs :

Mieux vaut prévenir que guérir : posez des questions pour éviter les pots cassés. 

À propos de l’auteur

Karen Gordon, CPA, CA


Karen Gordon est associée chez nagel + associates, un cabinet de Toronto spécialisé en juricomptabilité et en comptabilité d’enquête.