Une arnaque par e-mails, qui s'attaque aux entreprises avec de fausses factures électroniques, a généré plus de 214 millions de dollars en un an avec des victimes dans 45 pays, a rapporté un bureau du FBI jeudi.
Le schéma global de l'arnaque est simple: de fausses factures sont envoyées à des entreprises qui travaillent avec des fournisseurs étrangers, en leur demandant un virement bancaire.
"Les virements envoyés vers des banques étrangères sont transférés ensuite plusieurs fois mais s'évaporent rapidement", indique le Centre des plaintes pour les délits sur internet (ICCC), un bureau créé conjointement par le FBI et l'organisme à but non-lucratif National White Collar Crime Center.
"Les banques asiatiques, situées en Chine et à Hong-Kong, sont généralement la destination finale de ces transferts", ajoute l'ICCC, qui précise que les chiffres concernent la période du 1er octobre 2013 au 1er décembre 2014.
L'arnaque touche particulièrement les Etats-Unis, avec 1.198 victimes répertoriées, tandis qu'elles sont 928 dans les autres pays. Au total, les entreprises américaines ont accusé 179 millions de dollars de pertes.
Trois scénarios décrits
L'arnaque pouvait se dérouler de trois façons. Dans la première version, une entreprise est contactée par téléphone, fax ou courriel pour solliciter un paiement. Les adresses utilisées sont usurpées et apparaissent sur l'écran de la victime comme celles de fournisseurs légitimes. Les appels et les fax semblaient également crédibles.
Dans une deuxième version, des e-mails de cadres très haut placés de l'entreprise sont usurpés pour sommer le destinataire d'émettre un virement, avec la mention "envoyer d'urgence".
Dans une dernière variante, le courriel d'un employé est hacké, et l'arnaqueur envoyait ensuite de fausses factures à des vendeurs.
"Vérifiez toujours par différents moyens que vous communiquez bien avec le bon interlocuteur", conseille l'ICCC dans son communiqué avant d'indiquer qu'il "pense que le nombre des victimes et les pertes continuent d'augmenter".
L'ICCC a également affirmé que les entreprises devraient être plus prudentes en ce qui concerne le partage d'informations relatives à leurs activités sur internet et les réseaux sociaux.
Le groupe conseille notamment d'adopter des mesures de sécurité supplémentaires.