L'augmentation de la fraude aux paiements push autorisés (APP) est devenue une préoccupation majeure pour les entreprises du Royaume-Uni et d'ailleurs. En fait, selon UK Finance Plus de 500 millions de livres sterling ont été volés aux entreprises par le biais de la fraude APP au cours de la seule année 2022.
Sean Moriarty, CFO,
AccessPay
Dans notre récent webinaire Comment se prémunir contre la fraude à l'APP : Parler de l'amélioration des contrôles de paiement avec un directeur financier, nous savec Sean Moriarty, directeur financier d'AccessPay, pour discuter de la fraude APP, de sa prévalence et des mesures efficaces que les entreprises peuvent prendre pour la prévenir.
Ce blog se penche sur leur conversation, en soulignant les principaux enseignements et les stratégies discutées.Visionner l'intégralité du webinaire à la demande
Qu'est-ce que la fraude APP ?
La fraude par paiement poussé autorisé est un stratagème sophistiqué dans lequel un fraudeur incite une entreprise à envoyer volontairement des fonds sur un compte frauduleux. Cette tromperie implique souvent que le fraudeur se fasse passer pour un fournisseur, un employé ou une institution financière authentique. L'un des aspects les plus inquiétants de ce type de fraude est qu'il opère sous le couvert de l'authenticité, en s'appuyant sur des tactiques d'ingénierie sociale et des outils technologiques avancés pour tromper des victimes sans méfiance, généralement au sein de l'équipe financière.
Pourquoi la fraude au PPA est-elle si répandue ?
La fraude par APP a pris de l'ampleur en raison d'une combinaison de facteurs. Les récompenses financières pour les fraudeurs sont alléchantes, car même quelques tentatives réussies peuvent conduire à des gains substantiels pour un individu. En outre, l'ère numérique a fourni aux fraudeurs de nombreux outils pour mettre en œuvre leurs stratagèmes, notamment la possibilité de pirater des comptes de courrier électronique, de créer de faux documents et même d'imiter le style de communication de cadres supérieurs. Le travail à distance et la communication électronique étant devenus la norme, les possibilités pour les fraudeurs d'exploiter ces vulnérabilités ne font qu'augmenter.
Un exemple concret de fraude au PPA
Au cours de sa carrière de directeur financier, Sean a vu de nombreux exemples de fraude à l'APP.
L'un de ses collègues directeurs financiers a récemment mis en lumière un exemple choquant dans lequel une équipe financière d'entreprise a été directement prise pour cible et a subi une perte financière substantielle.
Le scénario : Découverte d'une fraude à l'APP grâce au partage d'écran
- Entreprise : Anonyme
- Contact initial : La victime reçoit un appel semblant provenir de Barclays, signalant une activité suspecte sur son compte et des paiements sortants bloqués.
- Demande de transfert de fonds : L'appelant convainc la victime de transférer des fonds sur le compte de l'entreprise à partir d'un compte de dépôt, créant ainsi une situation d'urgence.
- Partage d'écran : L'escroc propose une session de partage d'écran pour résoudre le problème plus efficacement, ce que la victime accepte.
- Manipuler l'écran : Au cours de la session, le fraudeur prend le contrôle, affichant des transactions qui semblaient authentiques à la victime, mais qui ont été manipulées.
- Demande de code d'autorisation : L'escroc demande à la victime de saisir un code d'autorisation, dissimulant ainsi les transactions réellement approuvées.
- Transfert involontaire : La victime autorise involontairement différentes transactions, ce qui entraîne une perte de 200 000 livres sterling pour l'entreprise.
Cet incident nous rappelle brutalement qu'il est important de mettre en œuvre les contrôles de sécurité adéquats pour éviter de telles escroqueries à l'avenir, une leçon que nous approfondirons en partageant des exemples de mesures préventives.
3 façons de lutter contre la fraude APP
Repérer les signaux d'alarme et les tactiques courantes
Il existe plusieurs exemples de fraude par APP, allant d'attaques sophistiquées de spear phishing à la manipulation directe des processus de paiement. Ces scénarios réels soulignent l'importance de rester vigilant et de mettre en œuvre des mécanismes de défense à plusieurs niveaux au sein des organisations. Reconnaître les tactiques courantes employées par les fraudeurs - telles que la création d'un sentiment d'urgence, l'exploitation des données personnelles et la manipulation de la communication par courrier électronique - peut permettre aux équipes financières d'identifier les escroqueries potentielles avant qu'elles ne s'aggravent.
Dans le cas mentionné ci-dessus, il est évident que la victime aurait dû rappeler la banque en composant un numéro direct, mais l'urgence créée par l'escroc était suffisante pour que la victime se sente obligée de résoudre le problème rapidement.
Il est toujours préférable de s'adresser directement à un collègue plus expérimenté si une communication ou un paiement semble irrégulier. Dans ce cas, la tactique courante consistait à "paniquer" la victime, et malheureusement, dans ce cas, elle a porté ses fruits.
Sean donne un exemple concret de fraude à l'APP et explique comment il l'a surmontée.
Élaborer des stratégies de défense efficaces
Pour lutter efficacement contre la fraude au PPA, les entreprises doivent adopter une approche globale qui englobe à la fois la formation des employés et les solutions technologiques. Il est essentiel d'établir une collaboration étroite entre les équipes chargées des finances, de la sécurité, de l'informatique et de la gouvernance, du risque et de la conformité (GRC).
Des sessions de formation régulières peuvent améliorer la capacité des employés à identifier et à signaler les activités suspectes. En outre, l'intégration de technologies, telles que les services de confirmation des bénéficiaires, peut permettre de vérifier en temps réel les détails du compte, garantissant ainsi que les paiements sont adressés à des destinataires légitimes.
Cette formation permet aux individus et aux organisations d'acquérir les connaissances nécessaires pour identifier les tactiques de fraude les plus courantes, notamment les courriels d'hameçonnage et les communications manipulatrices. Elle souligne l'importance de vérifier les demandes de paiement et les informations sur les destinataires, en encourageant des pratiques telles que la confirmation du bénéficiaire (CoP) (nous y reviendrons) afin d'éviter les transactions frauduleuses. En outre, la formation inculque des habitudes numériques sûres, telles qu'une gestion rigoureuse des mots de passe et une vigilance à l'égard des attaques par hameçonnage.
Dans les entreprises, une formation spécialisée permet de sensibiliser les employés et de réduire le risque de menaces internes. Dans le cas mentionné par Sean, son personnel ayant reçu une formation adéquate, il était préparé et prêt à répondre aux tentatives d'hameçonnage de cette nature, mais il y a bien sûr des situations où les entreprises ne sont pas aussi chanceuses. Un Lituanien, Evaldas Rimasauskas, a orchestré un cas classique de compromission de messagerie électronique d'entreprise (BEC) dans lequel il a réussi, avec des co-conspirateurs, à voler plus de $100 millions d'euros à Facebook et Google. Ils se sont fait passer pour Quanta Computer, une société basée à Taiwan, et ont envoyé des courriels de phishing convaincants contenant de fausses factures et de faux contrats sur une période de deux ans, de 2013 à 2015.
Vous voulez en savoir plus sur la manière de mettre en œuvre des stratégies de défense efficaces ?
Téléchargez notre guide gratuit : Le guide pratique de la lutte contre la fraude par paiement automatique autorisé
Tirer parti de la technologie pour la prévention
La confirmation du bénéficiaire (CoP) joue un rôle essentiel dans la lutte contre les tentatives de fraude au PPA. Elle permet aux organisations de recouper les numéros de compte, les codes de tri et les noms de compte pour s'assurer qu'ils correspondent. En procédant à ces vérifications avant d'initier les paiements, les entreprises peuvent identifier les incohérences et empêcher les fonds d'atteindre des comptes frauduleux, ce qui constitue une couche d'authentification solide. Toute incohérence de nom déclenche une alerte, invitant le payeur à vérifier le nom du compte.
transaction. Le CoP contrecarre les tactiques d'ingénierie sociale utilisées par les fraudeurs et améliore la traçabilité en cas de violation.
Si l'équipe de cette victime avait décidé d'effectuer un paiement, la fonction CoP aurait joué un rôle crucial dans la protection de l'organisation. Elle aurait signalé les incohérences entre le nom du compte et la personne payée, empêchant le paiement d'être autorisé jusqu'à ce que ces détails soient examinés.
La fraude par APP présente des risques importants pour les entreprises de toutes tailles et de tous secteurs. Toutefois, grâce à une approche proactive combinant la formation des employés et des solutions technologiques, les entreprises peuvent réduire le risque d'être victimes de ces stratagèmes sophistiqués.
En maintenant une collaboration étroite entre les équipes financières et de sécurité et en exploitant des outils avancés tels que le CoP, les entreprises peuvent renforcer leurs défenses et protéger leurs actifs contre la menace constante de la fraude.
Pour en savoir plus sur la confirmation du bénéficiaire et sur les moyens de détecter les transactions suspectes avant qu'elles ne soient effectuées, consultez notre rubrique Fraud & Error Prevention Suite.