Derrière l’acronyme FOVI se cache les attaques dites au “Faux virements”. Le principe est relativement simple à comprendre mais a souvent des impacts importants.

Tout commence par…

Tout commence par la réception d’un nouveau relevé d’identité bancaire (RIB) d’une entité avec laquelle on commerce. Il est reçu par courriel ou donné pat téléphone et intégré dans le système d’information. Or, ce relevé n’est pas le nouveau RIB de l’entité mais du fraudeur. Lorsque vous payez une facture, vous payez au fraudeur et non à l’entreprise légitime. Entre-temps, le fraudeur, qui aura reçu les fonds, transférera l’argent sur un second compte, souvent hors de France ou de l’UE.

Pourtant, j’avais confiance dans le courriel reçu

Oui, mais avez-vous bien vérifié l’adresse de l’expéditeur. Est-ce vraiment la bonne adresse? Il arrive aussi parfois que la boite de l’expéditeur soit piratée.

Comment le fraudeur savait que nous étions en relation avec cet entreprise?

Là aussi, êtes vous sûr que votre propre messagerie n’était pas piratée? Malheureusement, il arrive très(trop?) souvent que les mots de passe de messagerie soient trop faibles d’autant plus que les messageries sont souvent accessibles depuis internet. Pour récupérer un mot de passe, le fraudeur peut vous avoir envoyé un courriel de phishing quelques mois auparavant sur lesquels vous avez cliqué et donné les identifiant/mot de passe.

Existe-t-il d’autres variantes?

Oui, cela arrive avec le dirigeant d’une entreprise qui demande un virement rapide à son comptable. n parle alors de “Fraude au président”.

Que faire en cas de survenu de ce type d’événement?

Porter plainte immédiatement

Penser à conserver toutes les preuves : courriel, échanges

Contacter sa banque

Afin de celle-ci puisse initier un rappel de fond. Il faut être très rapide car passé quelques heures ou jours, le rappel de fonds ne sera plus possible.

Comment s’en prémunir?

En sensibilisant vos collaborateurs

Montrer à vos collaborateurs et dirigeants un exemple de ce type d’attaque. Les sensibiliser à ne jamais donner les informations sensibles sans vérification préalable. Leur apprendre à reconnaitre les courriels de phishing.

En changeant vos mots de passe faibles

Cela diminue les risques de piratage.

En établissant un processus interne pour ce genre de demande

Établir avec les personnes susceptibles de transférer des fonds ou de modifier les RIB une procédure et un processus de vérification. Cela peut-être un contre appel téléphonique avec le partage d’un secret comme une phrase ou un mot spécifique. Faites de même avec une entreprise extérieure, la contacter par téléphone.