Fraude par hameçonnage : Une nouvelle réalité

Dans ce billet de blogue, Karen Gordon, CPA, CA, nous met en garde contre les dangers des courriels frauduleux où l’on demande au destinataire de virer des fonds. Elle donne également des conseils pour éviter de tels pièges.

«Cher ami, vous êtes peut-être surpris de recevoir ce courriel parce que vous ne me connaissez pas en personne [sic], mais permettez-moi de me présenter, je suis Monsieur…»

J’aurais du mal à trouver, parmi mes connaissances, quelqu’un qui n’a jamais reçu un message de cet acabit.

Si certains d’entre nous réagissent à ces désagréments électroniques en cliquant tout simplement sur le bouton «supprimer», il est renversant de voir combien de particuliers et d’organisations sont victimes de ces courriels d’apparence légitime.

«Veuillez virer 100 000 $ sur le compte bancaire ci-dessous. C’est une demande urgente, à laquelle vous devez répondre immédiatement.»

Les fraudeurs les plus rusés envoient de telles demandes en se faisant passer pour le directeur financier (ou un autre cadre supérieur) de l’organisation où travaille le destinataire. La plupart du temps, le message porte la mention «urgent», ce qui laisse peu de temps à l’employé pour poser des questions. Il finira par découvrir, après avoir viré les fonds à l’étranger en croyant obéir aux instructions de son patron, que le courriel ne venait pas de ce dernier… Hélas, une fois l’argent déboursé, il y a très peu de chances de le récupérer.

Après un tel événement fâcheux, une question s’impose : qui est vraiment responsable? Est-il normal que l’employé ait pu virer les fonds sans autre pièce justificative? Un courriel de son directeur financier, même légitime, devrait-il suffire comme attestation pour qu’une telle somme soit envoyée, que le nom du bénéficiaire figure ou non sur une liste de fournisseurs approuvés?

L’hameçonnage et les fraudes par virement électronique se multiplient dans un monde dominé par la technologie. Si le courriel provient d’une fausse adresse qui ressemble à celle d’un cadre supérieur, un employé habitué à recevoir de telles demandes spéciales — en l’absence de tout processus ou contrôle — pourrait ne pas remarquer la divergence; c’est du moins ce qu’espèrent les escrocs.

Dans bien des cas, les fraudeurs ajoutent une lettre au nom du domaine, ou en suppriment une — un «i» en trop ou un «l» en moins peut passer inaperçu. Comme ces demandes sont souvent tout à fait semblables à des communications légitimes, le destinataire n’aura pas forcément la puce à l’oreille.

Voici des conseils qui vous aideront à déjouer les escrocs :

  • scrutez toujours l’adresse courriel de l’expéditeur, surtout lorsque vous cliquez sur «répondre» (car le courriel fictif peut être maquillé)
  • vérifiez si l’expéditeur est en vacances; demandez-vous s’il ferait ce genre de demande
  • si le nom du fournisseur ne figure pas dans le fichier maître ou qu’il n’y a pas de pièces justificatives, c’est mauvais signe
  • posez toujours des questions si l’on vous demande un virement d’urgence
  • redoublez de prudence si le montant de l’opération dépasse les sommes habituelles
  • mettez en place des contrôles, comme l’exigence d’une double autorisation, et fixez des plafonds aux virements

Mieux vaut prévenir que guérir : posez des questions pour éviter les pots cassés.

À propos de l’auteur

Karen Gordon, CPA, CA, CPA, CA


Karen Gordon est associée chez nagel + associates, un cabinet de Toronto spécialisé en juricomptabilité et en comptabilité d’enquête.

Faits saillants

Le Canada célèbre son 150e anniversaire. Quant à nous, nous fêtons nos membres, les CPA canadiens. Dites-nous pourquoi vous portez avec fierté le titre canadien de CPA. C’est une fierté à partager : nous préparons une grande fête en juillet.

Participez à ce rendez-vous annuel (en anglais) des dirigeants financiers d’OSBL pour obtenir des conseils sur la gestion de votre organisation et tirer parti des connaissances d’experts.