Présentation de l’étude de cas
Les fraudeurs ont piraté un compte de messagerie électronique d’un organisme à but non lucratif pour solliciter des fonds auprès de la Ville
Une ville canadienne s’est fait voler plus d’un demi-million de dollars après qu’un employé se soit fait duper par un courriel d’hameçonnage dans lequel les fraudeurs demandaient de modifier les renseignements bancaires d’un organisme à but non lucratif (OBNL) réputé en vue de détourner des fonds vers leur propre compte.
Les fraudeurs avaient piraté le compte de messagerie électronique d’un dirigeant de l’organisme, contrefait des lettres bancaires et utilisé un faux nom de domaine pour tromper le personnel de la Ville.
Heureusement, cette arnaque par hameçonnage s’est bien terminée.
Détails sur la fraude
La fraude perpétrée contre la ville et l’organisme, qui a eu lieu aux mois de mars et avril 2022, est un bon exemple d’une arnaque par hameçonnage où les fraudeurs font parvenir des courriels provenant d’un expéditeur de confiance pour qui ils se font passer afin d’amener des personnes ciblées à leur divulguer des renseignements confidentiels ou à exécuter des actions précises.
Au cours du mois de mars, les fraudeurs ont piraté le compte de messagerie électronique du directeur général de l’OBNL.
Une fois que les pirates ont eu accès au compte de messagerie électronique du directeur, ils se sont fait passer pour lui en envoyant un courriel au coordonnateur en financement de la Ville dans lequel ils prétextaient un changement dans le système de facturation et de paiement.
Les pirates ont réussi à convaincre la Ville de modifier les renseignements relatifs à la facturation et au compte de l’OBNL pour les remplacer par ceux d’un compte frauduleux.
Le 1er avril, la Ville a viré un montant de 558 233 $ au nom de l’OBNL vers le compte bancaire des pirates.
Les fraudeurs se sont fait passer pour le directeur deux autres fois, soit le 11 et le 14 avril, pour demander à la Ville le dépôt d’un autre versement dans le compte frauduleux. C’est à ce moment que la Ville s’est rendu compte que quelque chose clochait.
Comment les fraudeurs ont-ils commis leur crime?
Les pirates ont fait appel à plusieurs tactiques pour donner une apparence légitime à leur demande :
- Ils ont inscrit un faux nom de domaine, qui ressemble à s’y méprendre à celui de l’OBNL.
- Le courriel envoyé au coordonnateur en financement de la Ville comportait les adresses de deux autres dirigeants de l’organisation caritative. Les deux adresses électroniques comportaient le faux nom de domaine.
- Le courriel frauduleux comprenait également une pièce jointe où figurait un en-tête contrefait faisant croire à une lettre authentique envoyée par la banque de l’organisme et signée par le chef des services de gestion de la trésorerie.
- Selon la plainte déposée en justice par la Ville, les renseignements du directeur ont été utilisés pour ouvrir une session dans le réseau interne de l’OBNL le 7 avril à partir de Lagos, au Nigeria.
Après avoir envoyé plusieurs courriels de suivi provenant (soi-disant) du dirigeant de l’OBNL, les pirates ont convaincu la Ville de modifier les renseignements bancaires de l’organisme et d’effectuer un virement électronique d’une valeur d’un demi-million de dollars vers leur compte bancaire. La Ville a procédé à la transaction croyant que les fonds étaient virés à l’OBNL.
Quel en a été le résultat?
La Ville a constaté des irrégularités concernant ses versements à l’organisme le 11 avril et a réagi immédiatement. Elle a déposé une plainte auprès de la police de la Ville au sujet de l’incident avant de demander à sa banque d’annuler le virement. La banque a rapidement suspendu le compte bénéficiaire, mais la transaction avait déjà été conclue. La municipalité a également déclenché une enquête interne et a avisé le conseil de l’atteinte.
Pour récupérer les fonds, la Ville a déposé une plainte devant les tribunaux où figuraient plusieurs banques canadiennes à titre de défendeurs. L’adoption d’une motion d’urgence a mené la Cour à émettre une ordonnance exigeant que les banques retracent les fonds et en ordonnent le gel temporaire relativement à tout compte où l’argent a été déposé. Au 22 avril, la Ville avait récupéré plus de 90 % des fonds. Elle a recouvré le montant résiduel par la suite.
En vue d’accélérer le processus de recouvrement, la Ville avait pris soin d’embaucher un conseiller juridique externe.
Comment cela aurait-il pu être évité ?
Cet incident de fraude par hameçonnage s’est heureusement bien terminé pour la victime, mais ce n’est pas toujours le cas. Les institutions publiques et les sociétés privées peuvent tirer de ce cas des leçons utiles en matière de prévention de la fraude :
- Vérifier la légitimité des courriels ou des demandes reçues qui appellent à une action, à des paiements ou à des changements de compte urgents;
- Éviter d'utiliser son compte de messagerie électronique professionnel pour s'abonner à des logiciels, des services ou des applications de tiers qui ne sont pas liés à l'emploi;
- Toujours effectuer une double vérification des sites Web et des noms de domaines avant de répondre à un courriel ou de faire parvenir des renseignements confidentiels. Les pirates cherchent à duper les victimes en utilisant des noms de domaines et des adresses électroniques similaires à ceux qu'ils tentent de frauder;
- Ne jamais ouvrir de pièces jointes provenant d'utilisateurs inconnus;
- Former ses employés à reconnaître et à éviter les tentatives d'hameçonnage :
- Offrir régulièrement de la formation et des exercices de simulation d'attaques par hameçonnage afin de s'assurer que le personnel sache comment y réagir adéquatement.
- Concevoir et mettre en œuvre un processus pour traiter les demandes de changements reçues relativement à des comptes bancaires ou à des paiements.
- Installer des logiciels de sécurité destinés aux messages électroniques et surveiller les comptes à caractère sensible sur une base régulière en vue de déceler les attaques par hameçonnage dès qu'elles se trament.
BDO peut vous aider
BDO peut aider les sociétés du secteur public et du secteur privé à détecter, à prévenir et à atténuer les arnaques par hameçonnage et d’autres types de fraudes grâce à des formations fondées sur des simulations d’attaques et la mise en place de contrôles de cybersécurité visant à relever et à surveiller les activités suspectes de façon précoce.
Nous fournissons des services en juricomptabilité numérique et en investigation électronique de bout en bout englobant toutes les phases de l’enquête liée à la fraude. Nos équipes de professionnels chevronnés peuvent préserver et analyser les communications électroniques en vue de reconstituer les faits relativement à une attaque, d’effectuer une analyse approfondie visant à savoir comment les fraudeurs s’y sont pris pour s’infiltrer et élaborer des stratégies de prévention de la fraude par courriel.
Communiquez avec nous pour améliorer votre résilience à la fraude :