7 étapes pour minimiser la fraude de la direction et l'usurpation d'identité

Au début, la demande d'un ami Facebook semblait parfaitement normale, mais j'ai ensuite réalisé que cet ami, que je connais depuis le collège, était déjà connecté avec moi sur Facebook. J'ai donc examiné le profil de plus près et il était clair qu'il s'agissait d'une usurpation d'identité. J'ai donc envoyé un message à ma collègue pour lui demander si elle avait envoyé la nouvelle demande. Elle m'a répondu que non, ajoutant que quelqu'un avait récemment essayé d'utiliser sa carte de crédit pour acheter des articles d'Amazon. Heureusement, elle avait remplacé cette carte afin de ne pas perdre d'argent, mais visiblement, elle était la cible d'un voleur d'identité. Je lui ai suggéré d'appeler la police pour le signaler.

Ce qui arrivait à mon ami était un ensemble d'événements assez typiques qui se produisaient aux premiers stades du vol d'identité. Bien que cet effort ait déraillé, la plupart des gens ne l’auraient pas découvert aussi rapidement. Au lieu de cela, en sondant les finances de leur victime et en assumant leur identité sur les médias sociaux, ils espèrent obtenir suffisamment d'informations personnelles pour pouvoir les imiter dans un contexte commercial où les communications se font par courrier électronique.

Le processus fonctionne lorsque le criminel se fraye un chemin dans l'organisation, progressant progressivement jusqu'à ce que la personne soit en mesure de comparaître en tant qu'employé principal. Souvent, le but ultime est de voler l’identité du PDG. Le criminel utilise ensuite son courrier électronique personnel pour établir des communications avec les employés ayant accès aux informations critiques de l'entreprise, telles que les finances et la propriété intellectuelle. Afin de paraître légitime, il peut faire référence à des événements de travail spécifiques à venir, à une réunion récente ou à un événement similaire auquel la cible a assisté, que le voleur d'identité a glanés sur les médias sociaux.

Une fois qu'un employé est convaincu que le criminel est ce qu'il prétend être, les demandes commencent. D'habitude, ils sont petits au début, comme commander un article pour le bureau. Mais ensuite, ils deviennent plus gros et plus exigeants. Finalement, le criminel demande des sommes d'argent substantielles ou peut-être que certains droits de propriété intellectuelle, tels que des dessins ou des spécifications, soient envoyés à une adresse tierce.

Les tentatives de fraude des chefs de la direction sont à la hausse

Ces systèmes peuvent sembler farfelus, mais ils constituent la base de la "fraude au chef de la direction", qui se produit avec une régularité déprimante. Les employés de la société de formation à la sécurité KnowBe4 racontent l’une de ces escroqueries: un employé a été envoyé à la recherche de 20 cartes-cadeaux Apple iTunes, d’une valeur de 100 dollars chacune, censées être envoyées aux clients.

Mais les exemples empirent et, dans certains cas, des centaines de milliers de dollars ont été transférés sur des comptes bancaires à l'étranger après qu'un criminel se faisant passer pour le PDG d'une entreprise ait adressé une telle demande à un service de la comptabilité particulièrement crédule. Bien que ce processus fonctionne comme n'importe quel nombre d’escroqueries de confiance, le service informatique peut prendre certaines mesures pour minimiser les risques que cela se produise pour votre entreprise.

7 étapes pour minimiser la fraude du PDG

Ces étapes consistent notamment à informer votre personnel que ces tentatives sont possibles, à décrire les formulaires à prendre et à leur faire savoir que le personnel de sécurité de l'entreprise est prêt à vous aider. C'est également une bonne idée de créer ensuite un ensemble de règles que les employés doivent suivre en ce qui concerne les réponses et les rapports. Voici quelques suggestions pour les PDG et les autres membres de la haute direction:

Envoyez un courrier électronique à tous les employés pour leur faire savoir qu'ils sont ciblés par des personnes mal intentionnées qui souhaitent s'intégrer à une organisation. Dites-leur qu'ils doivent être au courant des tentatives d'usurpation d'identité, notamment d'imposteurs se présentant comme eux sur les réseaux sociaux.

Demander aux employés d'informer le personnel de sécurité lorsqu'ils soupçonnent qu'ils sont approchés par des voleurs d'identité; cela inclut les tentatives de vol de numéros de carte de crédit. Même si la tentative n’est qu’un écumeur aléatoire, votre personnel sera heureux de savoir que vous êtes prêt à aider.

Surveillez les motifs. Si vous commencez à constater une augmentation du nombre de tentatives d'usurpation d'identité contre vos employés, c'est un signe que vous êtes peut-être la véritable cible. Avertissez vos employés.

Configurez des tâches spécifiques que vous ne demanderez jamais à vos employés. Cela peut comprendre l’achat de cartes-cadeaux, leur demandant de prendre toute mesure officielle sur la base d’un courrier électronique envoyé via un compte personnel, ou leur demandant d’envoyer des fonds ou une adresse IP à des tiers sur la base d’une demande envoyée par courrier électronique via un courrier électronique personnel..

Protégez les informations de contact personnelles de vos employés, y compris l'adresse physique, l'adresse électronique personnelle et les numéros de téléphone personnels, afin que les voleurs aient plus de difficulté à les cibler.

Analysez périodiquement les comptes de réseaux sociaux de vos employés à la recherche d'indices d'usurpation d'identité. Cela apparaîtrait comme un deuxième compte avec leur nom et généralement leur photo. Bien que l’employé puisse avoir deux comptes pour une raison, par exemple un pour un usage personnel et un pour un usage professionnel, vous devriez le leur demander.

Une fois que vous avez établi les règles, respectez-les vous-même. Si vous avez vraiment besoin de 100 cartes iTunes, commandez-les auprès d'Apple en utilisant les règles appropriées fournies par le service des achats de votre entreprise.

• Les meilleures solutions de gestion des identités pour 2019 Les meilleures solutions de gestion des identités pour 2019
• Avez-vous vraiment besoin de payer pour un service de protection contre le vol d'identité? Avez-vous vraiment besoin de payer pour un service de protection contre le vol d'identité?
• Pour arrêter l'hameçonnage, Google a attribué des clés de sécurité à tous les employés. Pour arrêter l'hameçonnage, Google a attribué des clés de sécurité à tous les employés.

Qu'il s'agisse d'usurpation d'identité ou simplement d'usurpation d'identité, ces activités constituent souvent les premières étapes d'une attaque de phishing, car les attaquants ont besoin d'informations suffisantes pour que leurs messages paraissent crédibles. Les attaques de phishing constituent la méthode la plus efficace derrière les violations de données, car elles se chevauchent avec la simple négligence de l'utilisateur. Arrêter les attaques avant qu'elles ne se produisent signifie que vous pouvez protéger votre organisation des coûts importants associés à une violation de données.

Et ne pensez pas que cela n'arrivera pas à votre entreprise car elle est trop petite. Quelle que soit leur taille, la plupart des organisations ont la valeur minimale que recherchent ces types de criminels: de l'argent et un accès à d'autres sociétés.