Avez-vous récemment reçu un e-mail de votre "PDG" vous demandant de transférer de l'argent à un "fournisseur" ? Ne le faites pas ! C'est une fraude au PDG que je vais vous expliquer en détail.
Commençons par une petite histoire de fond.
La fraude au PDG m'est arrivée près de deux mois après avoir rejoint Geekflare en tant qu'écrivain à plein temps.

Ce n'était pas évident tout de suite, car l'escroc utilisait un nom de domaine réputé Virgin Media (caneae@virginmedia.com), et je pensais que mon PDG était en quelque sorte lié à cette société de télécommunications puisque les deux sont situées au Royaume-Uni.
Alors, j'ai répondu à l'initiale 'Je voudrais t'assigner une tâche, es-tu libre ?' positivement. Ensuite, l'expéditeur a détaillé une tâche englobant le transfert de 24,610 300 INR (~ XNUMX $) à un fournisseur, dont les détails auraient été partagés si j'avais accepté.
Mais cela m'a rendu un peu méfiant et j'ai demandé à l'expéditeur de prouver son identité avant de pouvoir transférer quoi que ce soit. Quelques e-mails plus tard, le fraudeur a appelé et j'ai envoyé la conversation à mon PDG actuel et à la cellule informatique de Virgin Media.
Même si je n'avais aucune formation préalable pour gérer ce genre de fraude, j'ai eu la chance de ne pas tomber dans ce piège.
Mais nous ne devrions pas compter sur la pure chance ; au lieu de cela, sachez-le dès le départ et éduquez les autres.
CEO Fraud, aka Executive Phishing
Cela relève hameçonnage, une attaque visant une organisation particulière ou certains de ses employés. Il sera connu comme un attaque de phishing à la baleine si la cible est un employé de haut niveau (comme un c-suite) de n'importe quelle institution.
Le Federal Bureau of Investigation, États-Unis, classe ces escroqueries sous le Compromis d'e-mails professionnels (BEC) or Compromis de compte de messagerie (EAC), qui a représenté près de 2.4 milliards de dollars de pertes en 2021, selon ce Rapport sur la criminalité sur Internet.
Géographiquement, le Nigeria est le pays numéro un hébergeant 46% des fraudes aux PDG, suivis des États-Unis (27 %) et du Royaume-Uni (15 %).
How does this work?

Notamment, la fraude au PDG ne nécessite aucune compétence technique ou savoir-faire criminel. Tout ce que vous recevrez est un e-mail aléatoire et ingénierie sociale pour vous inciter à envoyer des fonds ou à révéler des détails sensibles en vue d'une action illicite ultérieure.
Voyons quelques façons dont les mauvais acteurs le font "actuellement".
Tapez 1
Un hasard adresse e-mail imposer que le PDG demande de l'argent est la forme la plus simple d'une telle supercherie. Et celui-ci est facile à repérer. Tout ce que vous avez à rechercher est l'adresse e-mail (et non le nom).
Généralement, le nom de domaine (xyz@nomentreprise.com) trahit la fraude. Cependant, l'adresse e-mail peut indiquer une organisation renommée (comme ce fut le cas dans mon cas).
Ces récompenses ont ajouté de la légitimité à l'escroquerie, qui peut victimiser un professionnel non averti. De plus, l'adresse e-mail peut sembler authentique mais avec de légers changements imperceptibles, comme @gmial.com à la place de @gmail.com.
Enfin, il peut provenir d'une adresse e-mail légitime mais compromise, ce qui rend extrêmement difficile la détection de l'escroquerie.
Tapez 2
Une autre technique plus sophistiquée utilise les appels vidéo. Cela inclut une adresse e-mail "gérée" d'un haut fonctionnaire qui envoie des demandes de réunion en ligne "urgentes" à ses employés, principalement au sein du service financier.
Ensuite, les participants voient une image sans audio (ou avec un son deepfake) avec une affirmation selon laquelle la connexion ne fonctionne pas comme prévu.
Par la suite, le «dirigeant d'entreprise» demande d'initier un virement bancaire vers des comptes bancaires inconnus, d'où l'argent est détourné via d'autres canaux (lire les crypto-monnaies) après une fraude réussie.
Tapez 3
Celui-ci est une variante du type 1 mais cible les partenaires commerciaux et non les employés, obtenant un nom – fraude à la facture – plus adapté à son mode opératoire.
Dans ce cas, le client d'une organisation reçoit un e-mail pour payer de toute urgence une facture sur des comptes bancaires spécifiques.

Celui-ci a le taux de réussite le plus élevé car il est normalement réalisé à l'aide d'une adresse e-mail d'entreprise piratée. Et comme le courrier électronique est le mode de communication, parfois exclusif, des professionnels, il en résulte d'énormes pertes financières et de réputation pour l'organisation cible.
How to Check CEO Fraud?

En tant qu'employé, il est difficile de rejeter une demande de votre propre PDG. Cette psyché est la principale cause du succès des auteurs avec juste un e-mail aléatoire.
En plus de remettre en question les demandes financières, il est préférable de demander une réunion vidéo avant de « coopérer ».
De plus, dans la plupart des cas, il vous suffit de vérifier attentivement l'adresse e-mail. Cela peut ne pas appartenir à votre organisation ou peut avoir des versions mal orthographiées du nom de l'entreprise.
De plus, une institution ne peut pas enregistrer toutes les extensions de domaine. Donc, vous devez vous méfier de recevoir un e-mail de xyz@entreprise.net quand l'adresse officielle devrait être xyz@entreprise.com.
Enfin, vous recevez peut-être des e-mails d'une adresse d'entreprise exploitée "de l'extérieur" ou d'un membre interne malveillant. La clé d'une telle situation est la confirmation verbale ou la mise au courant de plusieurs cadres avant d'effectuer tout paiement.
Et le moyen le plus efficace de protéger votre organisation, si vous en dirigez une, consiste à intégrer la simulation de phishing dans la formation de routine des employés. Car ces fraudeurs évoluent constamment. Donc, donner un seul avertissement unique n'aidera pas beaucoup vos employés.
Emballer!
Malheureusement, nous dépendons beaucoup de courriels professionnels, laissant de grandes lacunes que les criminels exploitent souvent.
Bien qu'il n'existe pas encore de substitut à cette forme de communication, nous pouvons ajouter des partenaires commerciaux sur des applications telles que Slack ou même WhatsApp. Cela aidera à confirmer rapidement si quelque chose semble suspect et à éviter de tels revers.
PS : Si j'étais vous, je ne manquerais pas cet article sur types de cybercrimes pour une culture Internet supplémentaire.