/news/currentevents
Navigation

Une nouvelle arnaque audacieuse vise les PME

La SQ sonne l’alarme sur une arnaque électronique qui a déjà coûté 8 M$ à trois entreprises québécoises

Le capitaine Alain Gaulin craint que ce nouveau type de fraude ait d’importants impacts sur le monde des affaires québécois.
Photo Frédérique Giguère Le capitaine Alain Gaulin craint que ce nouveau type de fraude ait d’importants impacts sur le monde des affaires québécois.

Coup d'oeil sur cet article

Un nouveau stratagème de fraude électronique pourrait carrément faire fermer des entreprises québécoises, craint la SQ. Déjà trois d’entre elles ont mordu à l’hameçon et se sont fait dérober 8 M$.

La dangereuse arnaque repose sur un logiciel en apparence banal qui est envoyé aux responsables des finances des compagnies. Une fois installé dans l’ordinateur, le système permet aux escrocs, qui prétendent être des experts bancaires, de vider les comptes en une fraction de seconde.

Jusqu’à présent, les autorités n’ont aucune idée à qui ils ont affaire.

Trois entreprises, basées en Abitibi, en Mauricie et sur la Rive-Sud de Montréal, se sont fait avoir depuis le début du mois de mai. À elles seules, elles se sont fait dérober 8 millions $. Leur avenir s’en trouve hypothéqué.

Une quatrième tentative a été faite dans un bureau de Québec, mais elle a échoué grâce à la vigilance de leur banque (voir autre texte).

Potentiel de dommages

Les autorités n’ont pas divulgué les noms des entreprises victimes pour leur éviter davantage de problèmes.

Pour le capitaine Alain Gaulin, du service des enquêtes sur l’intégrité de l’économie à la Sûreté du Québec (SQ), ce tout nouveau subterfuge électronique a le potentiel de faire énormément de dommages si davantage d’entreprises tombent dans le panneau.

Dans la majorité des cas, les victimes risquent de ne pas être dédommagées par leurs institutions bancaires puisque celles-ci n’ont aucun lien direct avec le crime.

«C’est dangereux, et c’est sûr qu’il y a des risques de faillite pour les entreprises qui mordent à l’hameçon», a assuré le capitaine Gaulin.

Comme l’enquête sur ce nouveau type de fraude n’en est qu’à ses balbutiements, les autorités ne détiennent que très peu d’informations sur le ou les responsables.

Chose certaine, le crime semble avoir été minutieusement élaboré.

«Ils sont très habiles, a précisé le capitaine Gaulin. Ils ont adopté le langage des institutions financières et ça les rend crédibles. D’après mon expérience, les fraudeurs vont tester leur façon de faire à l’avance jusqu’à ce que quelqu’un morde et ils vont adopter des phrases types. Dans des perquisitions antérieures, j’ai déjà vu des textes préparés, des scénarios pensés pour chaque situation.»

Si la ruse ne cible pas d’industrie ni de région en particulier, elle semble toutefois se concentrer uniquement sur les PME.

Grande menace

Cette nouvelle escroquerie n’est pas sans rappeler la fraude de type président, qui avait permis à des escrocs de soutirer 23 M$ à 14 entreprises québécoises, de 2014 à 2016.

La majorité des victimes n’avaient pas pu se remettre d’une si grande perte et avaient dû déclarer faillite.

La nouvelle tactique est encore plus menaçante, croit Alain Gaulin. Le capitaine, qui a dédié les 22 dernières années de sa vie aux crimes financiers, craint même que la fraude s’étende bientôt aux organismes publics.

♦ Toute information pertinente à l’enquête peut être transmise à la SQ en composant le 1 800 659-4264.

«Le fraudeur était tellement crédible»

Une compagnie de Québec victime du même stratagème est passée à un cheveu de se faire frauder pour près de 530 000 $ et a été sauvée par sa banque.

«Il était tellement crédible, il m’a eu», a confié le contrôleur de l’entreprise manufacturière en électronique.

Il a accepté de se confier au Journal, mais a préféré demeurer anonyme puisqu’il a honte de ne pas avoir décelé l’arnaque.

Le 17 mai dernier, la responsable des comptes a reçu un appel d’un homme qui prétendait travailler pour l’institution financière de la compagnie, soit la RBC. L’individu lui a demandé si elle avait expérimenté des problèmes avec la plateforme web, qui permet de faire des transactions en ligne. Curieux hasard: l’entreprise avait bel et bien de la difficulté avec le service.

Pour «remédier à la situation», le fraudeur a proposé à l’employée de mettre les informations de la compagnie à jour. Sceptique, la femme a immédiatement transféré l’appel à son patron.

À la vraie banque

«Je lui ai demandé comment il pouvait me prouver qu’il travaillait pour la RBC, a expliqué le contrôleur. Il m’a ensuite transféré au vrai service à la clientèle de la banque. Là, je le croyais. J’ai donc donné l’autorisation à la dame responsable des comptes de procéder.»

L’employée a par la suite installé un logiciel envoyé par l’interlocuteur sur son ordinateur. Elle s’est alors connectée sur la plateforme web avec ses comptes.

Puis, le fraudeur a réussi à faire croire à tous les employés administratifs qu’ils devaient faire la même chose pour que les informations du compte soient à jour. Le patron a mordu à l’hameçon et tout le monde a suivi les instructions du criminel au bout du fil.

De cette façon, l’escroc s’assurait d’obtenir le code de la personne autorisée à approuver les transferts bancaires.

Peu de temps après, le contrôleur a reçu un appel d’un réel employé de la RBC pour l’informer d’une transaction douteuse. Un montant de 397 429 $ US (soit 527 557 $ CA) était sur le point d’être transféré dans un compte à Hong Kong.

«J’ai dit à la banque d’annuler tout ça et là j’ai compris qu’on venait de se faire avoir solide», a raconté le contrôleur.

Comment l’arnaque fonctionne

 

1• Les fraudeurs ciblent des petites et moyennes entreprises (PME), soit celles qui embauchent de 1 à 499 employés et dont le chiffre d’affaires ne dépasse pas 50 millions $.

2• Un individu contacte la compagnie sélectionnée et demande à parler à la personne responsable des comptes bancaires.

3• Le fraudeur prétend travailler pour une banque et présente une nouvelle façon d’améliorer les services bancaires de l’entreprise. Une mise à jour des informations de la compagnie peut aussi être utilisée comme prétexte.

4• Afin de «sécuriser le processus», l’escroc propose ensuite à l’employé de télécharger un logiciel qui lui permettra dans les faits d’accéder à l’ordinateur.

5• Le fraudeur envoie une invitation par courriel à l’employé pour installer le logiciel. Il propose même à sa victime de demeurer en ligne avec elle pour l’aider.

6• Lorsque le logiciel est installé, le criminel accède automatiquement à l’ordinateur et, ainsi, à toutes les informations bancaires. Il peut alors vider les comptes en quelques secondes. De plus, tous les renseignements personnels des employés sont également transmis, comme les adresses et les numéros d’assurance sociale. Or, rien ne laisse présager que ces derniers ont été utilisés jusqu’à maintenant.

Le capitaine Alain Gaulin craint que ce nouveau type de fraude ait d’importants impacts sur le monde des affaires québécois.
Photo fotolia

7• Le fraudeur avertit ensuite l’employé qu’il risque de ne pas avoir accès aux comptes de la compagnie pour les prochains jours, mais «de ne pas s’inquiéter, que tout est normal».

Conseils de prévention

1• Ne jamais contacter son institution bancaire avec une adresse électronique ou un numéro de téléphone fourni dans un courriel. Et faire sa propre recherche de coordonnées sur les sites officiels.

2• Ne jamais envoyer d’argent ou de données bancaires à une personne que vous ne connaissez pas ou en qui vous n’avez pas confiance.

3• Ne pas hésiter à contacter directement votre institution bancaire si vous avez des doutes.

Le mystère plane sur l’identité des escrocs

Pour l’instant, la SQ ne peut que spéculer sur l’identité du ou des fraudeur(s).

Il pourrait s’agir tout autant d’un Québécois agissant seul que d’un groupe international. Chose certaine, l’interlocuteur au bout du fil parle français, s’y connaît en informatique et en finance.

Contrairement à d’autres types de crimes, les fraudes électroniques peuvent s’avérer extrêmement laborieuses à enquêter. Les criminels bénéficient de plusieurs techniques pour masquer leurs traces. Ils peuvent, notamment, modifier leurs adresses IP ou se connecter sur des serveurs internationaux pour rendre les démarches des autorités plus complexes.