Dans mon précédent article, j’expliquais ce qu’étais le “Business E-mail Compromise” et je mentionnais les signaux qui devaient attirer votre attention. Dans cet article, vous pourrez lire quelques conseils pratiques pour réduire votre vulnérabilité à devenir une victime de cette fraude et comment EASI est armé contre cela.
Conseils pratique pour la prévention
La prévention est basée sur 3 piliers :
1. Communication
La conscience à l’échelle de l’entreprise et les feedbacks devraient réduire l’exposition aux escroqueries. Chaque employé devrait être conscient de ce type d’arnaques, surtout ceux qui peuvent exécuter des paiements. Un haut niveau de contact et de transparence mutuels à travers la société est la clé pour alimenter la vigilance.
EASI aime préserver un esprit familial malgré l’expansion, et encourage l’assertivité comme qualité principale pour prévenir de ce genre d’événements. La proximité entre les collègues ne laissent pas la place aux situations douteuses.
2. Procédures
Mettez en place des règles de sécurité et des procédures de paiements à appliquez-les à la lettre, surtout les règles concernant les permissions de signature, peu importe les circonstances.
EASI dispose d’un système d’identification à deux étapes pour les paiements via le logiciel comptable Adfinity. Une conformité stricte avec la vérification et l’approbation des factures et des paiements, et le tour est joué.
3. Protection
Gardez les guidelines suivant à l’esprit :
- Sécurisez votre ordinateur avec un mot de passe, un anti-virus mis à jour et une connexion Wi-Fi sécurisée. En tant que société IT progressiste, EASI est au top de la sécurité en surveillant de près les mise à jour et en gardant leur position de sécurité à tous les niveaux.
- Ne révélez pas d’informations sensibles sur la société (structure hiérarchique, autorité, absences, cash disponible, etc.). Ne postez pas les noms des personnes clés sur le site de l’entreprise avec leurs adresses mails. Toute information que vous partagez pourrait être utilisée à votre propre désavantage. EASI empêche les fraudeurs d’agir sur des connaissances sensibles concernant la société et est attentif à ce qui est affiché publiquement.
- En cas de doute, vérifiez l’identité du tiers, la source des appels téléphoniques, l’exactitude de l’adresse e-mail, ou essayez de trouver quelle adresse IP est utilisée. Vous pouvez aussi essayé d’établir une communication à travers d’autres canaux – comme un appel téléphonique – pour vérifier avec la personne qui a fait la demande d’en double-checker l’intégrité.
- Soyez extrêmement vigilant lorsqu’un paiement doit être effectué vers un numéro de compte qui n’a jamais été utilisé précédemment. Vérifiez le compte et les numéros de téléphone via les navigateurs de recherche pour retrouver le plus de confirmations possible.
- Ne cédez pas à la pression. Parlez à votre collègue ou à votre superviseur, même que la discrétion maximum est exigée. Si vous avez le moindre doute, c’est mieux de prendre le temps et de vérifier. L’exactitude prévaut sur la vitesse dans ce genre de situation.
- N’ouvrez jamais un pièce jointe ou ne cliquez jamais sur un lien provenant d’une adresse en laquelle vous n’avez pas confiance. Vous pourriez déclencher un logiciel malveillant, causant des dégâts que vous ne serez pas capable de stopper. Interrompez toute installation dont vous n’êtes pas sûr en éteignant ou en débranchant votre ordinateur.
- Désignez un conseiller central dans votre société. Les enquêtes/questions d’un inconnu (par mail ou par téléphone) devrait être transféré à un responsable des relations publiques et les mails suspects devraient être signalés (et n’y répondez surtout pas).
Vous faites face à une réelle arnaque ?
- Alertez la police. Ils le signaleront à l’unité appropriée pour la Fraude et les Cyber Crimes.
- Si vous faites le paiement : contactez votre banque afin d’annuler le tansfert et/ou récupérer l’argent transféré en tout ou en partie.
- Alertez les personnes innoncentes mentionnées dans l’arnaque pour leur permettre d’agir contre cela
- Portez plainte
Conclusion
Les e-mails BEC ont augmenté en nombre et en diversité sur les 10 années écoulées. Il est certain que cette technique ne va pas s’arrêter de si tôt – le pouvoir de l’ingénierie sociale du CEO est trop importante.
La prise de conscience et les procédures sont indispensables dans la défense contre ceci. Les équipes devraient être mises au courant de ce type d’e-mails, et recevoir des indications sur les choses qui révèlent une possible arnaque. Les entreprises devraient aussi avoir des procédures très claires pour vérifier les transferts d’argent ou des demandes d’informations sensibles, surtout via e-mail.
Etes-vous armés pour faire face aux attaques digitales ?
