Cybersécurité : l’arnaque au CEO est bien de retour !
Cette semaine, le commissaire Olivier Bogaert se penche sur une technique connue mais toujours aussi dangereuse : l’arnaque au CEO (Chief Executive Officer). Elle consiste à usurper l’identité d’un dirigeant d’entreprise pour dérober des données et de l’argent.
Le phishing vise à obtenir des informations personnelles afin de dérober de l’argent à des victimes. L’arnaque au CEO en est un cas particulier. Le Centre Cybersécurité Belgique a reçu dernièrement des dizaines de rapports signalant ce phénomène. « Pour réussir cette technique, le pirate va d’abord se renseigner au sujet d’une entreprise en consultant, par exemple, les bilans. Ensuite, se rendant sur Linkedin, en cherchant le nom, il pourra consulter la liste des membres du personnel et s’informer sur leurs fonctions. Découvrant ceux qui sont comptables, il va ensuite envoyer un message à l’un de ces employés en se faisant passer pour le CEO », explique le commissaire Olivier Bogaert, spécialiste en cybersécurité.
Le faux patron détaillera par exemple vouloir mettre en place un partenariat et signalera que les détails se trouvent dans la pièce-jointe. Il ajoutera que le projet réclame un financement et un payement rapide du partenaire. « En ouvrant le document, sans le savoir, le destinataire peut également permettre l’installation d’un logiciel malveillant qui pourra, par exemple, bloquer complètement le système de son entreprise. »
Quelques conseils
Le commissaire Bogaert délivre ses conseils pour vous éviter de vivre une telle situation.
La confidentialité et l’urgence sont souvent des indices de mauvaises intentions. « Si la personne qui vous contacte évoque la confidentialité, insiste sur l’urgence, prenez contact directement avec votre patron afin de savoir si c’est bien lui qui est à l’origine de cette demande. »
Veillez aussi à la provenance du mail. « Soyez attentifs à l’adresse du mail d’origine ou au numéro de téléphone, si l’auteur vous a contacté de cette manière. Il faut aussi être prudent si le compte bancaire de destination est inconnu ou si les données de paiement de la structure concernée ont été modifiées. »
Et puis, le timing peut aussi mettre la puce à l’oreille : ne donnez pas suite si le message ou l’appel vous arrive un vendredi soir ou un jour férié…
Plus d'informations
- Plan national de sécurité 2022-2025 - Le sujet de cet article s’inscrit dans la lutte contre le phénomènePiratage, sabotage informatique, fraude informatique et escroquerie sur Internet