How can I tell if an email from my CEO or executive is actually legitimate?

Never reply to an email requesting a wire transfer without independently verifying the request through a known phone number from your company directory. Call the executive directly, or ask their assistant to confirm. Legitimate executives understand and expect this verification process, especially for unusual or large transfers. Do not use contact information provided in the suspicious email, as that may also be compromised.

What should I do if I've already sent money to a fraudulent wire transfer?

Contact your bank immediately and request that they initiate a recall of the wire transfer. While recovery is difficult after funds clear, some banks can block transfers before they reach the destination account. Simultaneously, report the fraud to your company's security and legal teams, and file a report with the FBI's Internet Crime Complaint Center (IC3) at ic3.gov. Document all details of the transaction and communication for law enforcement.

Can email spoofing defeat our email security systems?

Email spoofing can bypass basic security measures, especially if your company has not implemented SPF, DKIM, and DMARC authentication protocols. However, even with these tools in place, attackers can compromise legitimate employee accounts or create lookalike domains that appear nearly identical to your domain. This is why voice verification remains the most reliable protection against BEC scams, as it confirms identity through direct communication.

Our company processes dozens of wire transfers daily. How can we maintain security without slowing down operations?

Implement tiered verification procedures based on transfer amount and frequency. Small, routine transfers to known vendors may require only email verification, while large transfers or new payment destinations should always require voice confirmation from at least two authorized personnel. Use pre-approved vendor lists and payment accounts to expedite routine transactions while adding checkpoints for unusual requests.

How do scammers research my company's structure and processes?

Attackers gather information from LinkedIn, company websites, press releases, SEC filings, social media, and publicly available organizational charts. They may also subscribe to company newsletters or review published emails leaked in previous data breaches. Some criminals even conduct phishing attacks on company employees to harvest email addresses and communication patterns. This is why companies should limit publicly available organizational information and train employees to be cautious about what information they share online.

Critique Perte moyenne: $50,000 Durée typique: 1-30 days

Arnaques par compromission de messagerie professionnelle (BEC)

Les arnaques par compromission de messagerie professionnelle (BEC) représentent l’un des schémas de fraude les plus coûteux ciblant les organisations à travers le monde. Dans ces attaques, les criminels étudient la hiérarchie de l’entreprise et les modes de communication, puis utilisent des comptes email usurpés ou compromis pour se faire passer pour des dirigeants, souvent le PDG ou le directeur financier, et demandent des virements urgents ou des informations sensibles. Le centre de plaintes pour cybercriminalité du FBI (IC3) a rapporté que les arnaques BEC ont causé plus de 2,7 milliards de dollars de pertes sur près de 21 000 plaintes en 2023, avec une perte moyenne dépassant 50 000 dollars par incident. Ce qui rend le BEC particulièrement dangereux, c’est qu’il exploite des processus commerciaux légitimes — la plupart des organisations traitent régulièrement des virements bancaires — rendant la demande frauduleuse apparemment routinière pour un personnel comptable occupé. Les escrocs mènent souvent des semaines de reconnaissance, surveillant les schémas d’email, les cycles financiers et les changements de personnel avant de frapper, ce qui explique pourquoi même des employés sensibilisés à la sécurité peuvent devenir victimes.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Où signaler

Tactiques courantes

• Usurpation d’identité de dirigeants via email usurpé : Les escrocs créent des adresses email très proches de celles du PDG ou du directeur financier, ne différant que par un ou deux caractères ('[email protected]' au lieu de '[email protected]'), ou compromettent un compte email interne légitime pour envoyer des demandes semblant provenir directement de la direction.
• Formulation de demandes urgentes avec scénarios fabriqués : Les criminels exercent une pression sur les employés en prétendant que le virement est nécessaire pour une acquisition confidentielle, un paiement urgent à un fournisseur, un règlement juridique ou une opportunité commerciale sensible qui ne peut être discutée avec d’autres membres du personnel pour des raisons de confidentialité ou de concurrence.
• Reconnaissance approfondie : Avant de lancer l’attaque, les escrocs passent des semaines ou des mois à étudier la structure organisationnelle, les processus financiers, les noms des employés et les actualités récentes de l’entreprise afin de formuler des demandes cohérentes avec les activités normales et faisant référence à des scénarios réalistes.
• Demande de virement vers des comptes inattendus : L’escroc incite l’employé à envoyer des fonds vers un compte bancaire différent de celui habituellement utilisé par le fournisseur, prétextant que le fournisseur a temporairement changé de banque, que la maison mère dispose d’un nouveau portail de paiement, ou que les fonds doivent être versés sur un compte séquestre détenu par un cabinet d’avocats.
• Blocage des tentatives de vérification : Lorsqu’on le questionne, le faux dirigeant affirme être en réunions consécutives, en déplacement à l’étranger, confronté à une urgence personnelle, ou incapable de discuter des détails par email, empêchant délibérément l’employé de vérifier la demande par les canaux habituels.
• Tactiques d’urgence et de distraction en suivi : Les escrocs envoient des emails de relance affirmant que l’affaire est en train d’échouer, que des concurrents sont prêts à racheter la cible, ou que le fournisseur travaillera avec une autre entreprise à moins qu’un paiement immédiat ne soit effectué, maintenant ainsi la pression et empêchant toute réflexion.

Comment l'identifier

Demande inattendue de virement de la part de la direction invoquant l’urgence ou la confidentialité : Les dirigeants légitimes utilisent rarement l’email pour demander un virement urgent sans confirmation verbale ultérieure ou procédures d’approvisionnement établies, surtout pour des destinations de paiement inhabituelles.
Adresse email similaire mais non identique à celles des dirigeants connus : Examinez attentivement l’adresse complète — les escrocs modifient souvent une lettre ou utilisent un nom de domaine proche qui semble légitime au premier abord mais diffère du domaine officiel de l’entreprise.
Demande d’envoi de fonds vers un compte différent de l’historique de paiement du fournisseur : Si un fournisseur habituel demande soudainement un paiement sur un nouveau compte bancaire, surtout à l’international, cela constitue un signal d’alerte majeur nécessitant une vérification indépendante.
Pression pour contourner les procédures d’approbation normales ou garder la demande confidentielle : Les transactions commerciales légitimes suivent des workflows d’autorisation établis ; les demandes visant à contourner ces contrôles ou à cacher la transaction aux autres dirigeants indiquent une intention frauduleuse.
Langage vague sur la raison du transfert combiné à un refus de discuter des détails : Les escrocs fournissent peu de précisions sur l’objet du transfert et refusent d’en dire plus, invoquant la confidentialité, alors que les demandes commerciales légitimes incluent généralement des bons de commande, factures ou contrats détaillés.
Style de communication incohérent ou erreurs grammaticales dans les emails des dirigeants : Si les emails d’un dirigeant contiennent des tournures inhabituelles, des fautes de grammaire ou un ton différent de leur style habituel, cela peut indiquer un compte compromis ou usurpé.

Comment se protéger

Établir un protocole de vérification des virements exigeant une confirmation vocale : Avant de traiter toute demande de virement, exiger que les employés appellent le demandeur en utilisant un numéro figurant dans l’annuaire interne de l’entreprise (et non un numéro fourni dans l’email) pour confirmer verbalement la demande, le montant et la destination du paiement.
Mettre en place une approbation multifactorielle pour les virements dépassant un seuil : Exiger que les demandes de virement supérieures à un montant spécifié (10 000 €, 25 000 € ou plus selon la taille de l’entreprise) soient approuvées par au moins deux personnes autorisées, chaque approbateur vérifiant indépendamment la demande.
Utiliser des technologies d’authentification des emails : Déployer SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance) pour empêcher l’usurpation de votre propre domaine, et former les employés à reconnaître l’absence de ces protections dans les emails externes.
Organiser des formations régulières sur les tactiques BEC pour les équipes financières, comptables et la direction : Proposer une formation annuelle ou semestrielle de sensibilisation à la sécurité incluant des exemples réels d’arnaques BEC, des instructions sur les procédures de vérification, et des exercices de simulation où les employés s’entraînent à identifier les demandes suspectes.
Maintenir une liste à jour des destinations de paiement autorisées et vérifier toute modification par des canaux secondaires : Tenir un registre documenté de tous les fournisseurs réguliers et de leurs coordonnées bancaires autorisées, et exiger que tout changement de destination de paiement soit vérifié directement auprès du fournisseur via un numéro connu avant traitement.
Surveiller les usurpations de domaine et configurer des alertes email pour les activités suspectes : Utiliser des outils de sécurité email qui signalent les messages provenant d’adresses externes ressemblant fortement à des adresses internes, et configurer des alertes pour toute activité inhabituelle de virement, comme des transferts vers de nouveaux bénéficiaires ou des destinations internationales atypiques pour votre entreprise.

Cas réels

Le responsable comptable d’une entreprise manufacturière de taille moyenne a reçu un email semblant provenir du PDG demandant un virement urgent de 87 000 € à un cabinet d’avocats pour la clôture confidentielle d’une acquisition ce jour-là. L’email provenait de '[email protected]' (en réalité '[email protected]' avec un 's' supplémentaire), et le responsable, sous pression temporelle, a effectué le virement sans appeler pour vérifier. Lorsque l’assistant réel du PDG a relancé le lendemain matin au sujet du virement, la fraude a été découverte, mais les fonds avaient déjà été transférés via des comptes intermédiaires en Europe de l’Est et étaient irrécupérables.

Un employé des comptes fournisseurs dans une société de services de santé a reçu un email du directeur financier demandant un paiement immédiat de 143 000 € à un nouveau fournisseur pour des mises à niveau d’infrastructure informatique. L’email insistait sur le fait que l’affaire se clôturait ce jour-là et ne pouvait être discutée avec d’autres membres du personnel pour des raisons de confidentialité. L’employé a effectué le virement vers le compte indiqué, mais a découvert par la suite qu’aucun projet informatique légitime n’existait et que l’email du directeur financier avait été compromis via une attaque de phishing. L’escroc avait passé deux semaines à surveiller les communications email de l’entreprise pour identifier les schémas de paiement et le personnel clé.

Le contrôleur d’une société de services financiers a reçu plusieurs emails sur trois jours semblant provenir du PDG demandant des virements totalisant 287 000 € pour un paiement urgent à un fournisseur et un règlement juridique. Chaque email incluait des références internes spécifiques et une terminologie suggérant une connaissance légitime des opérations de l’entreprise. Le contrôleur est devenu méfiant lorsqu’une demande de suivi est arrivée du « PDG » demandant que la transaction soit réalisée « discrètement » sans en informer le directeur financier. L’enquête a révélé que l’attaquant avait compromis le compte email d’un employé junior du marketing et l’avait utilisé pour étudier les communications internes de l’entreprise pendant deux semaines avant de lancer l’attaque.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), arnaques par compromission de messagerie professionnelle (bec) is described at https://scamlens.org/fr/encyclopedia/business-email-compromise.

https://scamlens.org/fr/encyclopedia/business-email-compromise

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API

Arnaques par compromission de messagerie professionnelle (BEC)

Tactiques courantes

Comment l'identifier

Comment se protéger

Cas réels

Où signaler — France

Cybermalveillance.gouv.fr

Pharos (signalement)

Info Escroqueries

DGCCRF SignalConso

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide