D a v i d P R A C H E
FRAUDES BANCAIRES ET CYBERCRIMINALITÉ :f
LES CONNAÎTRE ET S’EN PROTÉGER AVEC DES SOLUTIONS ADAPTÉES
2 0 m a i 2 0 2 1
Oppens.fr
Société Générale
avec
2FRAUDES BANCAIRES ET CYBERCRIMINALITE
01 INTRODUCTION
02
03
04
PRÉVENTION DES FRAUDES BANCAIRESINTRODUCTION
L’INGÉNIERIE SOCIALE
LA CYBERCRIMINALITÉ
RECOMMANDATIONS ET SOLUTIONS
3FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉINTRODUCTION
Un environnement
favorable à la fraude avec
le libre échange des flux
zone S€PA.
Pas de réelle frontière
pour les escrocs.
Accès pour tous ou
presque aux nouvelles
technologies et internet.
L’évolution d’internet et de la technologie apporte de nouvelles possibilités pour tous,
MAIS
cette digitalisation apporte aussi de nouvelles vulnérabilités et de nouveaux angles d’attaques
pour les fraudeurs et les cybercriminels.
Des paiements
instantanés avec
différents appareils.
4FRAUDES BANCAIRES ET CYBERCRIMINALITE
Coût économiqueTotal
Depuis 2006, l’industrie du
cybercrime a dépassé l’activité de
trafic de drogue.
1 000 Mds $
Les informations cartes et comptes
bancaires représentent 40% des
données volées revendues sur le
black market.
Selon l’ANSSI, le nombre de
victimes de cyber-attaques en France
a été multiplié par 4 en 2020 .
CYBERCRIMINALITÉINTRODUCTION : LE CYBERCRIME EN QUELQUES CHIFFRES
40%
Données voléesPar an
VictimesEn France en 2020
x4
80% des entreprises déclarent avoir été l’objet d’une attaque dans l’année
5FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉINTRODUCTION : LE CYBERCRIME EN QUELQUES CHIFFRES
Les 4 principales tentatives de fraude
Faux fournisseur
1
48%Faux président
38%
2
3 4
Intrusion
dans le SI
31% 29%
Autres usurpations
d’identité(banques, avocats, CAC…)
Les dispositifs ayant permis de déjouer des
fraudes
Réaction
ou initiative
humaine
personnelle
51%
Procédures
de contrôle
interne
32%
Dispositif
technique (IT)17%
L’humain occupe une place très importante dans la lutte
contre les fraudeurs : 1 attaque sur 2 est déjouée par le
comportement humain.
Source : Etude Euler Hermès–DGCG – février et mars 2020 – panel de 215 entreprises (336 l’année précédente) – tous secteurs
6FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉINTRODUCTION : LE CYBERCRIME EN QUELQUES CHIFFRES
CONSÉQUENCES
DIRECTES
CONSÉQUENCES
INDIRECTES
POURSUITES
JUDICIAIRES
RÉPUTATION
IMAGEPERTE DE
CLIENTS
BOULEVERSEMENT
DES BUDGETS
VOL
DE DONNÉES
FAILLITE PARFOIS…
PERTURBATION
DE L’ACTIVITÉ
IMPACT
PSYCHOLOGIQUE
PERTES
FINANCIÈRES
ENTREPRISEASSOCIATIONCOLLECTIVITÉFONDATION
7FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉINTRODUCTION
CASSONS QUELQUES MYTHES !
LES CYBERATTAQUES NE SONT PAS UNE FATALITÉ, IL Y A DES SOLUTIONS.
LES COÛTS LIÉS À LA SÉCURITÉ INFORMATIQUE DOIVENT ÊTRE CONSIDÉRÉS COMME
DE VÉRITABLES INVESTISSEMENTS, INDISPENSABLES POUR L’AVENIR DE L’ACTIVITÉ.
DANS LA SÉCURITÉ INFORMATIQUE, IL VAUT MIEUX PRÉVENIR QUE GUÉRIR.
LES CYBERATTAQUES N’ARRIVENT PAS QU’AUX AUTRES.
LE PLUS GRAND RISQUE INFORMATIQUE SE SITUE ENTRE LA CHAISE ET LE CLAVIER.
8FRAUDES BANCAIRES ET CYBERCRIMINALITE
PRÉVENTION DES FRAUDES BANCAIRESLES OUTILS
01 INTRODUCTION
02
03
04
L’INGÉNIERIE SOCIALE
LA CYBERCRIMINALITÉ
RECOMMANDATIONS ET SOLUTIONS
9FRAUDES BANCAIRES ET CYBERCRIMINALITE
LES OUTILS DES FRAUDEURS USURPATION D’IDENTITÉ VIA DES SERVICES INTERNET LÉGITIMES
TÉLÉPHONIE : Plateforme de dématérialisation de numéros de téléphone
TÉLÉCOPIE : Fax par Internet
Opérateur Voix
sur IP1
Téléphone2
Victime
Victime
Numéros français « classiques » à 10 chiffres
visibles par la victime
Site internet
d’envoi de fax1 Fax2
VOIP
Ouverture de ligne par internet, sans véritable
contrôle d’identité, avec une carte prépayée
Localisation du fraudeur à l’étranger (législation locale
complaisante, absence d’accord d’extradition ou de
coopération judiciaire).
AVANTAGES pour les fraudeurs
SEND
NIVEAU
TECHNIQUE :
GRAND PUBLIC
Règlement par
cartes prépayées
Règlement par
cartes prépayées
10FRAUDES BANCAIRES ET CYBERCRIMINALITE
Numéro appelant
au choix du
fraudeur
Adresse mail de
l’expéditeur au
choix du fraudeur
Intitulé de
l’expéditeur au
choix du fraudeur
Emmanuel MACRON
Chère Geneviève,
Votre nom a été tiré au sort lors de la
grande tombola nationale. J’ai donc le
plaisir de vous inviter à déjeuner
dimanche à l’Elysée.
Bien cordialement,Emmanuel
Invitation
0142142000
0612345678
33687654321
33612345678
Maître Fraudeur va vous appeler de ma part, merci de lui réserver le meilleur accueil et de rester discret sur l’opération.
Thomas
USURPATION D’IDENTITÉ
PAR E-MAIL
USURPATION D’IDENTITÉ
TELEPHONE / FAX
USURPATION D’IDENTITÉ
PAR SMS
LES OUTILS DES FRAUDEURS USURPATION D’IDENTITÉ VIA DES OUTILS DÉDIÉS
NIVEAU
TECHNIQUE :
GRAND PUBLIC
11FRAUDES BANCAIRES ET CYBERCRIMINALITE
LES OUTILS DES FRAUDEURS LA PRISE DE MAIN À DISTANCE DU POSTE DE LA VICTIME
PAR UN SERVICE D’ASSISTANCE PAR INTERNET LÉGITIME
Demande de prise
de main
Accord pour la
prise de main
Prise de main à distance
du PC de la victime
1
2
3
12FRAUDES BANCAIRES ET CYBERCRIMINALITE
INGÉNIERIE SOCIALEQU’EST-CE QUE C’EST ?
EXEMPLES
CABINET D’AVOCAT
Sur demande d’une personne usurpant l’identité de son PDG et
d’un cabinet d’avocat, une comptable a ordonné 13
virements vers l’étranger pour un montant de 1.275.000 €
étalés sur une durée de 35 jours.
FABRIQUANT DE MOBILIER
Une « fraude au président » entraîne la liquidation judiciaire
d’un fabriquant de mobilier en privant l’entreprise d’1,6 M€ de
trésorerie. 42 salariés se retrouvent sans emploi.
Forme de délinquance astucieuse qui
consiste à manipuler une personne en
lui faisant croire qu’elle a affaire à un
interlocuteur légitime, en vue de lui
faire réaliser une action ou une
opération (ex.: un virement bancaire).
Avec des conséquences :
financières (jusqu’à des RJ ou LJ)
sociales (licenciements)
humaines (dépression, suicide)ASSOCIATION DE GESTION ET DE COMPTABILITÉ
En janvier 2021, la chef comptable vire 15 M€ en plusieurs fois
pour le prétendu achat d’une nouvelle filiale. Elle avait la
signature sans plafond et sans contrôle. Elle a été licenciée
pour faute grave.
13FRAUDES BANCAIRES ET CYBERCRIMINALITE
Cible Nouveau
collaborateur
INGÉNIERIE SOCIALEDÉROULEMENT D’UNE FRAUDE PAR INGÉNIERIE SOCIALE
Entreprises, banques,
administrations, ministères
CHOIX D’UNE CIBLE
COLLECTE D’INFORMATIONSRéseaux sociaux, Infogreffe, Site de la
cible - Appels préparatoires
CONSTRUCTION D’UN SCÉNARIOUsurpation d’identité
Menaces, aide, compassion
ATTAQUE
Echec Réussite
x10 x20
Souvent ParfoisVirements internationaux
multiples
Allemagne, Bulgarie, Espagne,
Hong-Kong, Hongrie, Pologne,
Portugal, Turquie…
Cible Nouvelle
Entreprise
x2
x5
x10
14FRAUDES BANCAIRES ET CYBERCRIMINALITE
Les individus, collaborateurs de
l’entreprise
Informations personnelles, absences...
INGÉNIERIE SOCIALELA COLLECTE D’INFORMATIONS
Le site internet de l’entreprise
Organigramme, signature du dirigeant...
L’actualité de l’entreprise Les collaborateurs : Standard
téléphonique, assistantes…
Absences, fonctions, ligne directe...
Les sites d’informations sur les
sociétés
Comptes annuels...
Les réseaux professionnels
CV, compétences...
15FRAUDES BANCAIRES ET CYBERCRIMINALITE
C’est votre PDG
qui vous parle…
Gardez le secret
jusqu’à l’annonce
officielle !
Je vous fais
confiance pour
cette opération
urgente !
1 Appel téléphonique
Trésorier, comptable
2 Confirmation par e-mail
3 Ordre de virement Banque
Contre-appel : OK
4 Optionnel si la victime doute et avertit sa
banque ou un service de police :
Rappel téléphonique trésorier et banque en
se faisant passer pour un policier
Ici la police,
faites exactement
ce que l’on vous
demande, nous
allons le coincer
la main dans le
sac !
Très bien
Monsieur. Vous
pouvez compter
sur moi
NIVEAU
TECHNIQUE :
GRAND PUBLIC
INGÉNIERIE SOCIALELA FRAUDE AU PRÉSIDENT
16FRAUDES BANCAIRES ET CYBERCRIMINALITE
Bonjour,
c’est votre
fournisseur XX
Nous avons
changé de
compte en
banque…
…je vous envoie
notre IBAN... Veuillez
faire le prochain
virement dessus.
Merci
1 Appel téléphonique
Trésorier,
comptable
2 Envoi d’un IBAN par e-mail
3 Télétransmission des
nouvelles coordonnées Banque
Très bien. Je
rentre vos
coordonnées
IBAN dès
réception
SCÉNARIO SIMILAIRE DANS UN REGROUPEMENT D’ÉTABLISSEMENTS : UN PRÉTENDU ÉTABLISSEMENT PRINCIPAL
COMMUNIQUE AUX AUTRES ÉTABLISSEMENTS DES COORDONNÉES BANCAIRES INAPPROPRIÉES…
INGÉNIERIE SOCIALELA FRAUDE AU CHANGEMENT DE COORDONNÉES BANCAIRES
VARIANTES : LA FAUSSE FACTURE PLUS VRAIE QUE NATURE… LE CHANGEMENT DE RIB DES SALARIÉS…
L’AFFACTURAGE… LA FRAUDE AU LOYER…
17FRAUDES BANCAIRES ET CYBERCRIMINALITE
FRAUDE AU PRÉSIDENT
INGENIERIE SOCIALECE QU’IL FAUT RETENIR
FAUX TECHNICIEN
CHANGEMENT DE
COORDONNÉES BANCAIRES
▪ Demande urgente et confidentielle
▪ Virement inhabituel
▪ Demande exceptionnelle ne respectant pas les
procédures internes
Les demandes de tests sont toujours à l’initiative du client.
Une banque ne sollicite jamais un client afin de :
▪ Réaliser des virements tests
▪ Communiquer des informations confidentielles
▪ Prendre le contrôle de son PC
▪ La demande émane-t-elle bien de votre relation ?
▪ S’interroger sur la nouvelle domiciliation bancaire ?
18FRAUDES BANCAIRES ET CYBERCRIMINALITE
PRÉVENTION DES FRAUDES BANCAIRESCYBERCRIMINALITÉ
01 INTRODUCTION
02
03
04
L’INGÉNIERIE SOCIALE
LA CYBERCRIMINALITÉ
RECOMMANDATIONS ET SOLUTIONS
19FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉLE PHISHING
Mail Web
UN FAUX MAIL... SUR UN FAUX SITE.VOUS INVITE À VOUS CONNECTER…
… OU À OUVRIR UNE PIÈCE JOINTE PIÉGÉE SMS !
20FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉLE PHISHING
IDENTIFIER UN PHISHING
1 LE MAIL ANXIOGÈNE
• Argent bloqué
• Service suspendu
… OU LE MAIL PROMOTIONNEL
• Vous avez gagné un concours
• On vous doit de l’argent
• Colis en cours de transit
LA NOUVELLE VARIANTE : LE WHALING2
Faire un faux mail, un faux site : c’est facile et gratuit.
Il existe des kits de phishing multi-sites.
Phishing ciblé utilisé par les pirates pour se
faire passer pour un dirigeant et viser la haute
direction (cf. fraude au président)
Le phishing consiste à envoyer un faux mail en se
faisant passer pour un émetteur légitime afin de
s’infiltrer dans le système informatique d’une
personne ou d’une entreprise. Dans ce mail peut se
trouver une pièce jointe infectée d’un virus ou un
lien vers un faux site vous demandant des
informations confidentielles.
21FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉLES MALWARES
COMMENT SE PROPAGE-T-IL ?
➢ Téléchargement d’un fichier infecté
➢ Ouverture d’une pièce jointe dans un e-mail
➢ Navigation sur un site internet piégé
➢ Exploitation d’une faille informatique
Un malware (ou virus) est un logiciel malveillant
qui s’installe sur un ordinateur à l’insu de son
propriétaire.
>> Il prend différentes formes : cheval de Troie,
rançongiciel, spyware, adware, scareware…
Le troyen bancaire est un code
malveillant qu’un fraudeur peut
installer sur un système afin de
réaliser des actions malveillantes
comme le vol de données bancaires.
Le ransomware (rançongiciel) est un code
malveillant qui prend en otage les données d’un
système en les chiffrant dans le but d’obtenir une
rançon de la part de la victime.
• Rançon à payer en Bitcoins
• Parfois accompagné d’un chantage à la
révélation des données pour forcer à payer la rançon.
22FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉLES RANÇONGICIELS
Phishing
Exploitation
d’une faille
Collaborateur
Faille
Composants techniques
exposés
Propagation sur tout le
système d’information
23FRAUDES BANCAIRES ET CYBERCRIMINALITE
CYBERCRIMINALITÉAUTRES TECHNIQUES
Le déni de service :
Faire tomber un site web ou un
réseau informatique en le saturant de
requêtes.
Nouveauté 2020 : demande de rançon
L’exploitation de failles :
Les erreurs de programmation sont
repérées et exploitées par les pirates
pour lancer des attaques ou espionner.
L’attaque interne :
Un salarié malintentionné vole des
données ou de l’argent, injecte un
malware ou facilite le travail des
pirates.
L’attaque de mots de passe :
Profiter de la faiblesse des mots de
passe pour pirater des logiciels, des
boîtes emails ou des réseaux
informatiques.
24FRAUDES BANCAIRES ET CYBERCRIMINALITE
RECOMMANDATIONS ET SOLUTIONS
01 INTRODUCTION
02
03
04
L’INGÉNIERIE SOCIALE
LA CYBERCRIMINALITÉ
RECOMMANDATIONS ET SOLUTIONS
25FRAUDES BANCAIRES ET CYBERCRIMINALITE
RECOMMANDATIONSCOMMENT SE PROTÉGER DE L’INGÉNIERIE SOCIALE ?
LIMITER LA
DIFFUSION
D’INFORMATIONS
▪ Réseaux sociaux professionnels (Linkedln…) et personnels (Facebook…)
▪ Sites internet de l’entreprise
▪ Modèles de fax, organigrammes de l’entreprise et signatures manuscrites des
dirigeants
NE PAS SE
CONTENTER DES
INFORMATIONS
AFFICHÉES
▪ Esprit critique par rapport à la demande
▪ Attention à l’usurpation du numéro de téléphone, fax et adresse mail
▪ Un doute sur un mail bancaire ? Contactez votre conseiller de clientèle
SENSIBILISER
LARGEMENT LE
PERSONNEL
▪ Respect des procédures opérationnelles et réalisation des contrôles prévus
▪ Connaissance des interlocuteurs (clients, fournisseurs, partenaires)
▪ Favoriser la communication et l’exercice du droit d’alerte
▪ Valoriser les tentatives de fraudes stoppées
26FRAUDES BANCAIRES ET CYBERCRIMINALITE
LES BONNES PRATIQUESLA FRAUDE SUR LES IBAN ET LES FLUX
Parlez-en vite à votre banquier !
Faux ordres de paiement
Virements
Prélèvements
Solution de filtragedes paiements
Payment Protection Solutions
Solution de filtragedes prélèvements
Liste des mandats autorisés
SEPA MailSEPA Mail Diamond
Usurpation d’IBAN
27FRAUDES BANCAIRES ET CYBERCRIMINALITE
RECOMMANDATIONSCOMMENT SE PROTÉGER DE LA CYBERCRIMINALITÉ ?
ASSURER LA SÉCURITÉ DU SYSTÈME D’INFORMATION
• Antivirus et pare-feu à jour
• Protection des données sensibles
• Sauvegardes régulières
• Audit régulier de la sécurité du SI
SENSIBILISER LARGEMENT LE PERSONNEL
• Créer une culture risques :
o Connaître les risques
o Inculquer les bonnes pratiques
o Définir les bons réflexes
o Savoir réagir / S’exercer / Se tester
EMPÊCHER LES CRIMINELS DE FAIRE LEUR TRAVAIL
• Gestion des mots de passe
• Mise à jour de tous les logiciels
• Sécurisation du travail à distance
• Protection du site web
• Sécurisation des paiements
SE FAIRE ACCOMPAGNER POUR MIEUX SÉCURISER
SON ACTIVITÉ
.fr
La cyber-assurance : elle n’empêche pas l’attaque, mais elle permet de gérer la
crise, de redémarrer l’activité au plus vite et de limiter les pertes financières.
28FRAUDES BANCAIRES ET CYBERCRIMINALITE
La solution de sécurité informatique des TPE-PME, associations et collectivités, à la fois digitale et humaine,pour évaluer, former et protéger.
SOLUTIONSOPPENS
est une filiale du groupe
29FRAUDES BANCAIRES ET CYBERCRIMINALITE
SOLUTIONS
POUR GÉRER VOTRE CYBERSÉCURITÉ,
DES ÉVALUATIONS, DES PRÉCONISATIONS, DES FORMATIONS, DE LA PROTECTION
Mesure et diagnostic sur la
plateforme ou avec un expert.
Evaluation de la vigilance de
vos salariés face aux risques.
Faites de vos collaborateurs
les maillons forts de la sécurité.
Conseils et accompagnement
par les experts Oppens.
Produits et services
adaptés et compétitifs.
Assurance cybersécurité,
l’ultime protection.
ÉVALUER FORMER PROTÉGER
30FRAUDES BANCAIRES ET CYBERCRIMINALITE
SOLUTIONS
DES PRODUITS ET SERVICES SÉLECTIONNÉS, HABITUELLEMENT DESTINÉS
AUX GRANDES ENTREPRISES, PROPOSÉS À DES TARIF NÉGOCIÉS
Etc.
ESET
Sunbren
Pradeo
Zerotrust
Wooxo
Neowave
Cyberwatch
LockselfAnozrway
Lexfo
Yogosha Oppens est inscrit au registre desOrganisme de formation sous len°11922379092
ÉVALUER FORMER PROTÉGER
Phosforea
Axa
LDLC
31FRAUDES BANCAIRES ET CYBERCRIMINALITE
SOLUTIONS
SUR OPPENS.FR,
UN ACCOMPAGNEMENT DIGITAL ET HUMAIN
DES AUTODIAGNOTICS GRATUITS
DES RECOMMANDATIONS ADAPTÉES
UN TABLEAU DE BORD PERSONNALISÉ
32FRAUDES BANCAIRES ET CYBERCRIMINALITE
SOLUTIONS
EN DIRECT AVEC NOS EXPERTS CYBERSÉCURITÉ,
UN ACCOMPAGNEMENT DIGITAL ET HUMAIN
UN AUDIT DE VOTRE SÉCURITÉ INFORMATIQUE
UN PLAN D’ACTIONS PERSONNALISÉ ET ACCOMPAGNÉ
UN TEST DE PHISHING CLÉ EN MAIN POUR ÉVALUER LA VIGILANCE DES ÉQUIPES
DES SENSIBILISATIONS ET DES FORMATIONS POUR QUE LES COLLABORATEURS
DEVIENNENT LE 1ER REMPART DE CYBERSÉCURITÉ
DES CONSEILS POUR PROTÉGER VOTRE ÉCOSYSTÈME DE PARTENAIRES
ET VOTRE SUPPLY-CHAIN
UN ACCOMPAGNEMENT POUR L’INSTALLATION DES SOLUTIONS DE SÉCURITÉ
… parce qu’il ne faut plus vous demander si vous serez attaqué mais quand vous le serez…prenez les devants en étant accompagné par votre banque et par des experts
599 € HT
[email protected] 73 19 68 11
S U I V E Z N O U S ! est une filiale du groupe