Les tentatives de fraudes par messagerie, notamment pour de faux ordres de virement, ont généré selon l’OCRGDF(1), 430 millions d’euros de préjudice avéré en l’espace de 3 ans sur 800 millions de tentatives au total, ce qui montre leur succès. Phénomène massif, ces arnaques touchent désormais non seulement la quasi-totalité des grandes entreprises privées, ainsi que de très nombreuses PME et TPE, mais aussi de plus en plus d’ordonnateurs et comptables publics.
Les mécaniques de la fraude
Les escroqueries aux faux ordres de virement visent à pousser un salarié ou un agent public à effectuer en urgence un virement bancaire sur un compte frauduleux, en général à l’étranger (on parle alors de FOVI pour « faux ordres de virement internationaux »). Toutefois, attention, les virements peuvent transiter par des comptes écrans basés en France). Ces arnaques sont réalisées par courrier, téléphone ou courriel. Les escrocs rivalisent d’inventivité en la matière. Ils s’arrangent pour collecter en amont un grand nombre d’informations permettant de connaitre le nom des décideurs, ainsi que les rouages, procédures et habitudes financières de leur cible.
Ces techniques d’ingénierie sociale leur permettent de présenter des demandes crédibles avec des adresses mails usurpées, utilisant des noms de domaine proches de ceux des partenaires habituels...
Les 3 principales formes d’escroquerie sont les suivantes :
- La « fraude au président » : l’escroc se fait passer pour un élu ou un hiérarchique et exige d’un agent un virement urgent dérogeant aux procédures habituelles, en toute discrétion.
- Le changement de RIB via l’usurpation d’identité : l’escroc se fait passer pour un fournisseur, ou une société d’affacturage et fait croire à un changement de domiciliation bancaire.
- L’escroquerie à l’informatique : l’escroc se fait passer pour l’éditeur du logiciel de comptabilité ou un responsable informatique afin de prendre le contrôle du poste informatique d’un agent.
Ce qui doit mettre la puce à l’oreille
La vigilance est de rigueur lorsque :
- Un interlocuteur inhabituel prend contact et se montre très convaincant ;
- Une demande étrange dans son contenu : non planifiée, présentée comme confidentielle et très urgente, pour un virement sur un nouveau compte ;
- Une demande alarmante dans sa forme : une adresse de messagerie comportant de petites différences avec l’adresse usuelle ; ou qui change lorsqu’on répond au courriel ; ou qui présente des incohérences avec les pièces justificatives de la dépense (adresse du fournisseur, n° SIRET, logo, acte d’engagement, acte de cession…)
Des mesures de précaution en période « sensible »
Habituellement, le risque d’escroquerie est particulièrement élevé en période de congés : durant l’été et pendant la trêve des confiseurs de fin d’année. La crise sanitaire du COVID-19, en désorganisant les procédures habituelles, constitue également un effet d’aubaine qui appelle une vigilance renforcée.
Le risque d’escroquerie s’avère par ailleurs d’autant plus grand que la collectivité a une organisation déconcentrée : le service des finances n’a alors pas de relation directe avec le fournisseur et peut plus facilement tomber dans le piège que le service de terrain.
Sensibiliser à cette réalité les agents potentiellement ciblés (services prescripteurs, services financiers, comptables, secrétariats et standard) et renforcer les précautions en vigueur sont de bonne politique durant la pandémie.
Des procédures de vérification complémentaires doivent en particulier être instaurées pour les paiements internationaux.
Aucune information concernant l’organigramme de l’administration, ses procédures ou ses fournisseurs ne doivent être divulguées à un contact inconnu ou inhabituel.
En cas de doute, un bon réflexe à avoir consiste à rompre la chaîne de communication. Il s’agit de répondre aux courriels et courriers douteux non par « répondre à », mais en saisissant soi-même les coordonnées déjà connues et validées, ou en procédant à un contre-appel auprès du partenaire concerné.
Même urgente, une demande suspecte doit être soumise à la hiérarchie.
verifIBAN © : la précaution indispensable
Grâce au service verifIBAN© de La Banque Postale, vous pouvez vous assurer de l’authenticité des coordonnées bancaires d’un prestataire ou d’un fournisseur, via une correspondance SIREN/IBAN. Adossé au réseau interbancaire SEPAmail DIAMOND, ce service interroge les RIB des grandes banques françaises(2). Il vous permettra de fiabiliser les coordonnées bancaires d’un fournisseur en détectant une erreur de saisie, mais aussi en contrôlant que l’IBAN correspond bien au titulaire présumé du compte.
Avec verifIBAN ©, le contrôle des coordonnées bancaires est facilité et permet d’effectuer des contrôles immédiatement et ainsi d’éviter de lourds préjudices en cas de tentative de fraude.
Un contrôle peut être effectué lors d’une entrée en relation avec un nouveau fournisseur ou à l’occasion d’un changement de RIB. Il n’est en revanche pas nécessaire de recontrôler à chaque facture.
La solution est simple et pratique, accessible via un navigateur, sans logiciel à instaurer préalablement. Elle est bien entendu compatible avec un compte géré par la DGFiP.
Les bons réflexes lorsque l’on est victime d’une escroquerie
La coopération de l’ensemble de la chaîne de dépense locale s’avère cruciale. Lorsqu’il a un soupçon de fraude, l’ordonnateur doit immédiatement en aviser le comptable et échanger avec lui leurs informations sans tarder. Et en particulier identifier les paiements déjà réalisés, à venir ou en instance, pour effectuer les rejets et blocages nécessaires. Dans un second temps, il est bien sûr nécessaire de bloquer les coordonnées bancaires frauduleuses dans toutes les applications informatiques de la collectivité.
Une plainte doit parallèlement être déposée auprès des services de police judiciaire (division économique et financière), cela dans un délai aussi court que possible.
COVID-19 : la crise sanitaire profite aux escrocs
Désorganisation, recrudescence des échanges de commandes et factures en ligne, télétravail : le contexte particulier de la crise du COVID-19 crée des conditions favorables à un redoublement des tentatives de fraudes, notamment aux faux ordres de virement.
La période est par ailleurs propice à la généralisation des campagnes d’hameçonnage via des arnaques exploitant la peur du coronavirus ou la nécessité d’acquérir des matériels de protection. En témoigne la création d’au moins 100 000 nouveaux sites Web enregistrés en mars 2020 sous des noms de domaine comportant des mots tels que « covid », « corona » et « virus », selon ICANN, l’organisation de régulation des noms de domaine sur Internet. Un véritable vivier pour la cybercriminalité.
