How do scammers get access to such detailed information about our company and employees?

Scammers use publicly available sources like LinkedIn company pages, SEC filings, company websites, and social media profiles to map organizational hierarchies and gather employee names. They also purchase leaked data from data breaches, monitor press releases about acquisitions or business dealings, and sometimes conduct surveillance by phoning employees to extract information. More sophisticated criminals may monitor your company's email communications if they've compromised an employee's account or internet connection.

What's the difference between CEO fraud and regular phishing emails?

CEO fraud is highly targeted and personalized to your specific company and employees, often referencing real business relationships and accurate organizational details. Regular phishing casts a wide net with generic messages hoping some recipients will respond. CEO fraud also typically targets specific individuals with financial authority and uses social engineering to create urgency, whereas phishing usually just tricks people into clicking malicious links or downloading infected files.

Can't our email system stop these fraudulent emails automatically?

Modern email security tools can catch obvious spoofing attempts and some variants, but sophisticated CEO fraud often passes through because scammers use legitimate email services, lookalike domains, or compromised company email accounts. Email authentication standards like SPF and DMARC help but aren't foolproof. The most effective defense combines email filtering with human verification procedures for financial requests, since even perfect email security won't stop a scammer using a nearly-identical domain address.

If our company falls victim to CEO fraud, can we recover the money?

Recovery is extremely difficult once funds reach overseas accounts, which happens in most cases within hours. If the receiving bank is in the U.S., there's a small window (typically 24-48 hours) to request the bank freeze and return funds, but international transfers are rarely recoverable. This is why prevention through verification procedures is far more important than recovery efforts. Immediately contact your bank and law enforcement (FBI IC3) if fraud occurs, but focus primarily on preventing future incidents.

Should we hold employees liable financially if they fall victim to CEO fraud?

Holding employees financially responsible for CEO fraud is counterproductive and often illegal under employment laws. Scammers specifically exploit normal business processes and social engineering; employees acting in good faith to fulfill what appears to be a legitimate executive request should not bear financial responsibility. Instead, investigate how the scammer bypassed controls, improve verification procedures, and provide non-punitive retraining to help employees recognize similar attempts in the future.

Critique Perte moyenne: $50,000 Durée typique: 1-7 days

Fraude au PDG : Comment les escrocs usurpent l'identité des dirigeants

La fraude au PDG, également appelée compromission de courriel d'entreprise (BEC), est une escroquerie sophistiquée où des criminels usurpent l'identité des dirigeants d'entreprise pour tromper les employés et les inciter à transférer des fonds ou à divulguer des informations sensibles. L'escroc cible généralement les services financiers ou les employés ayant accès aux comptes de l'entreprise, créant un faux sentiment d'urgence pour contourner les procédures normales de vérification. Selon le FBI, les schémas BEC coûtent aux organisations plus de 2,7 milliards de dollars par an, avec des pertes moyennes par incident comprises entre 50 000 et 200 000 dollars. Cette escroquerie a beaucoup évolué depuis son apparition en 2013 ; les variantes modernes incluent désormais des détournements de paie, des fraudes aux paiements fournisseurs et des demandes de virements bancaires déguisées en acquisitions confidentielles. Contrairement aux attaques de phishing qui visent un large public, la fraude au PDG est très ciblée et documentée, les escrocs étudiant la hiérarchie de l'entreprise, les relations entre employés et les processus financiers avant de lancer leurs attaques.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Questions fréquentes Où signaler

Tactiques courantes

• Envoi d'e-mails depuis des adresses usurpées ou très similaires à celles du PDG ou du directeur financier, souvent avec une différence d’un caractère ou utilisant des noms de domaine proches comme « companynme.com » au lieu de « company.com ».
• Création d’un sentiment d’urgence artificiel en évoquant une acquisition confidentielle, un virement bancaire d’urgence ou une affaire commerciale sensible dans le temps nécessitant une action immédiate avant les heures normales de travail ou en contournant les procédures habituelles de vérification.
• Demande de virements vers des comptes bancaires nouvellement ouverts, des portefeuilles de cryptomonnaies ou des comptes offshore, souvent déguisés en paiements fournisseurs, primes aux employés ou frais de règlement qui paraissent plausibles au personnel financier.
• Utilisation de renseignements collectés sur LinkedIn, les sites web de l’entreprise et les réseaux sociaux pour mentionner des employés spécifiques, des projets ou des détails financiers qui rendent la demande crédible et bien informée.
• Instruction aux victimes de garder un secret absolu et d’éviter de discuter de la transaction avec d’autres employés, sous prétexte que l’affaire est confidentielle en raison de négociations d’acquisition, de questions réglementaires ou juridiques.
• Relance par e-mails ou appels supplémentaires de la part de « avocats » ou « comptables » se faisant passer pour des tiers qui renforcent l’urgence et la légitimité de la demande financière.

Comment l'identifier

E-mails de dirigeants demandant des virements inhabituels, notamment vers de nouveaux fournisseurs ou comptes, ou demandant de contourner les processus standards d’approbation des paiements sans justification commerciale claire.
Adresses d’expéditeur presque identiques à celles des dirigeants connus mais comportant des variations subtiles d’orthographe, des extensions de domaine alternatives ou utilisant des services de messagerie externes au lieu des domaines de l’entreprise.
Demandes marquées comme hautement confidentielles, urgentes ou sensibles au facteur temps avec des instructions d’éviter de discuter de l’affaire avec la comptabilité, le service juridique ou d’autres départements qui vérifieraient normalement ces transactions.
Incohérences dans la grammaire, le ton ou la mise en forme des e-mails des dirigeants, telles que des tournures inhabituelles, l’absence d’informations de contact ou l’absence de signatures électroniques standard utilisées habituellement par la direction.
Demandes de virements vers des fournisseurs inconnus, de nouveaux bénéficiaires ou des comptes dans d’autres pays, en particulier lorsque le dirigeant demandeur communique habituellement par d’autres canaux ou n’a jamais demandé de virements auparavant.
Communications de suivi de la part de prétendus avocats, comptables ou associés commerciaux qui ajoutent de la pression et de la légitimité en confirmant les détails de la transaction ou en fournissant de faux documents juridiques.

Comment se protéger

Établir des protocoles de vérification obligatoires pour tous les virements et transferts de fonds dépassant un seuil spécifié (10 000 € et plus), exigeant une confirmation verbale via un numéro de téléphone connu, et non celui fourni dans l’e-mail.
Créer une liste d’entreprise des adresses e-mail et des préférences de communication de tous les dirigeants, et former les employés à vérifier les demandes par des canaux alternatifs (appel téléphonique vers un numéro connu, vérification en personne ou e-mail secondaire).
Mettre en place une authentification multifactorielle sur tous les comptes e-mail, en particulier ceux ayant un accès financier, et activer les normes d’authentification de domaine e-mail (SPF, DKIM, DMARC) pour empêcher l’usurpation d’adresse.
Établir une politique exigeant que les demandes de virement soient toujours approuvées par au moins deux employés de départements différents, avec des traces d’approbation documentées séparées des communications par e-mail.
Organiser des formations régulières de sensibilisation à la sécurité spécifiquement axées sur la fraude au PDG, incluant des simulations d’e-mails de phishing et des scénarios testant la capacité des employés à identifier les communications usurpées et à suivre les procédures de vérification.
Surveiller les activités anormales des comptes, telles que les règles de transfert d’e-mails, les connexions depuis des lieux inattendus ou l’accès de nouveaux appareils aux comptes des dirigeants, pouvant indiquer une compromission avant la fraude.

Cas réels

Un responsable financier d’une entreprise manufacturière de taille moyenne a reçu un e-mail du « PDG » demandant un virement urgent de 85 000 € vers un nouveau compte fournisseur pour la clôture d’une acquisition confidentielle ce jour-là. L’e-mail provenait d’un domaine différant d’une lettre de celui de l’entreprise, et incluait une demande de confidentialité. En quelques heures, l’employé a transféré les fonds sans suivre le processus d’approbation habituel impliquant trois personnes. Lorsque le vrai PDG est revenu d’une réunion client et a demandé des explications, l’argent avait déjà été déplacé à travers plusieurs comptes internationaux et était irrécupérable.

Un directeur des ressources humaines d’une entreprise technologique a reçu ce qui semblait être un message du directeur financier demandant les informations W-2 des employés et les détails de dépôt direct pour des « mises à jour du système de paie ». L’escroc a ainsi obtenu des données personnelles de 240 employés, utilisées ensuite dans des fraudes à l’identité et aux remboursements fiscaux. L’adresse e-mail utilisée était presque identique à celle du directeur financier mais avec un domaine légèrement différent. Le personnel RH n’a pas vérifié par leurs canaux habituels car la demande venait d’une personne qu’ils « reconnaissaient » et concernait des processus commerciaux standards.

Le service comptable d’une start-up a reçu plusieurs e-mails sur trois jours du cofondateur de l’entreprise demandant des virements totalisant 180 000 € pour des frais de relations investisseurs et des frais de règlement juridique liés à une acquisition en cours. Les e-mails faisaient référence à des membres du conseil d’administration et à des détails financiers trouvés dans les documents privés des investisseurs. Des appels de suivi d’une personne prétendant être l’avocat de l’entreprise ont renforcé l’urgence. L’équipe financière a effectué les deux premiers virements avant de réaliser que les e-mails étaient frauduleux lorsque l’assistant réel du cofondateur a appelé pour confirmer un paiement complètement différent.

Questions fréquentes

Comment les escrocs obtiennent-ils des informations aussi détaillées sur notre entreprise et nos employés ?

Les escrocs utilisent des sources publiques telles que les pages LinkedIn des entreprises, les dépôts auprès de la SEC, les sites web d’entreprise et les profils sur les réseaux sociaux pour cartographier les hiérarchies organisationnelles et recueillir les noms des employés. Ils achètent également des données fuitées issues de violations de données, surveillent les communiqués de presse concernant des acquisitions ou des transactions commerciales, et parfois pratiquent la surveillance en appelant les employés pour extraire des informations. Les criminels plus sophistiqués peuvent surveiller les communications e-mail de votre entreprise s’ils ont compromis un compte employé ou la connexion internet.

Quelle est la différence entre la fraude au PDG et les e-mails de phishing classiques ?

La fraude au PDG est très ciblée et personnalisée à votre entreprise et à vos employés spécifiques, faisant souvent référence à de véritables relations commerciales et à des détails organisationnels précis. Le phishing classique vise un large public avec des messages génériques dans l’espoir que certains destinataires répondent. La fraude au PDG cible généralement des individus spécifiques ayant une autorité financière et utilise l’ingénierie sociale pour créer un sentiment d’urgence, tandis que le phishing cherche surtout à inciter les gens à cliquer sur des liens malveillants ou à télécharger des fichiers infectés.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), fraude au pdg : comment les escrocs usurpent l'identité des dirigeants is described at https://scamlens.org/fr/encyclopedia/ceo-fraud.

https://scamlens.org/fr/encyclopedia/ceo-fraud

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API

Fraude au PDG : Comment les escrocs usurpent l'identité des dirigeants

Tactiques courantes

Comment l'identifier

Comment se protéger

Cas réels

Questions fréquentes

Où signaler — France

Cybermalveillance.gouv.fr

Pharos (signalement)

Info Escroqueries

DGCCRF SignalConso

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide