Des cas d’usurpations d’identité, de confrères ou de collaborateurs de cabinet nous ont été rapportés, notamment par le numéro cyber 04 51 680 680, mis en place récemment.
L’un des scénarios est le suivant :
- Un cybercriminel appelle le client d’un cabinet en se faisant passer pour un collaborateur du cabinet : le numéro de téléphone du cabinet s’affiche chez le client (technique de spoofing téléphonique).
- Le cybercriminel demande à contacter le service comptable ;
- Le cybercriminel demande au service comptable la saisie d’un RIB d’un OPCO afin d’obtenir un remboursement.
Un second scénario est l’usurpation d’une boite mail d’un collaborateur après le piratage des mots de passe d’office 365 ou du logiciel de messagerie.
L’attaquant récupère les mots de passe grâce à un script dissimulé dans un mail corrompu « we-transfert » et faussement envoyé par un huissier de justice ou un notaire.
L’attaquant utilise ensuite l’adresse mail officiel du collaborateur pour effectuer une fausse demande de virement sur un RIB joint au mail au profit d’un OPCO.
Les informations obtenues par les cybercriminels ont pu être obtenues selon les modus operandi suivants :
- L’identité de certains collaborateurs a pu être récupérée sur des réseaux sociaux professionnels ;
- Le nom des cabinets a pu être obtenu grâce aux plaquettes téléchargeables suite au dépôt des comptes ;
- Les mots de passe ont été volés après ouverture d’un mail corrompu.
Plusieurs cabinets ont été concernés par des usurpations d’identité et du spoofing téléphonique. Nos cabinets semblent donc être utilisés pour des tentatives de détournement de fonds.
Mesures pratiques
Nous vous recommandons les actions suivantes afin de limiter les risques :
- Informez vos prestataires des risques de spoofing et faites-vous confirmer qu’ils ont pris les mesures de sauvegardes adaptées ;
- Sensibiliser vos collaborateurs à ces tentatives de fraudes afin qu’ils puissent vous informer de toutes tentatives qui auraient pu toucher l’un de vos clients ;
- Diffuser à vos clients un message d’information afin qu’ils soient sensibilisés et donc vigilants (voir ci-dessous, un modèle de courriel).
Et dans les cas avérés de spoofing, de tentative d’usurpation d’identité ou de fraude, il est impératif de porter plainte dans les 72 heures de la détection des faits.
Nous vous rappelons le numéro mis en place par l'Ordre en cas de cyberattaque : 04 51 680 680.
N'hésitez pas à appeler nos spécialistes qui vous accompagnent et vous guident 24h/24 et 7j/7.
Modèle de courriel :
Madame, Monsieur,
Nous vous informons que des tentatives de détournement de fonds sont en cours. Les criminels usurpent l’identité de collaborateurs de cabinets d’expertise comptable afin de faire modifier des RIB préalablement enregistrés dans les logiciels de gestion des entreprises clientes.
Afin de prévenir toute tentative, nous vous rappelons que notre cabinet ne vous demandera jamais :
- De saisir ou modifier un RIB par téléphone ou par mail,
- De modifier une fiche fournisseur, une fiche client ou toute autre fiche par téléphone ou par mail.
En cas de doute sur une demande venant du cabinet, nous vous invitons immédiatement à prendre contact avec votre responsable de dossier ou votre expert-comptable de préférence par téléphone.
Nous vous prions de recevoir, Madame, Monsieur, nos respectueuses salutations.