Aux États-Unis, les paiements ACH (Automated Clearing House) sont des paiements électroniques qui permettent de transférer des fonds entre des comptes bancaires par l'intermédiaire du réseau ACH. Ce système, géré par Nacha, est compatible avec de nombreux moyens de paiement : les versements directs effectués par les employeurs, les paiements aux sous-traitants, le paiement automatique des factures et les transferts de pair à pair, par exemple.
Comme les autres types de paiements électroniques, les virements ACH peuvent faire l’objet de fraudes. 30 % des organisations ont déclaré avoir été confrontées à ce type d’activités frauduleuses en 2022, contre 24 % en 2021. Ce guide présente des informations utiles concernant les fraudes ACH, notamment les méthodes de fraude courantes, la responsabilité en cas de fraude et la prévention et détection de ces fraudes.
Sommaire de cet article
- Types de fraudes ACH
- Suivre les paiements ACH
- Responsabilité en cas de fraude ACH
- Détecter les fraudes ACH
- Prévention des fraudes ACH
Types de fraudes ACH
Les acteurs malveillants derrière les fraudes ACH utilisent diverses tactiques qui exploitent le processus de virements électroniques de fonds au sein du réseau ACH. Voici les différents types de fraude ACH et les méthodes couramment utilisées par les acteurs malveillants.
Types de transactions ACH frauduleuses
La plupart des types de fraude ACH se produisent lorsque des acteurs malveillants utilisent les prélèvements ACH pour transférer des fonds vers des comptes qu’ils détiennent ou auxquels ils ont accès. Pour ce faire, ils accèdent aux données bancaires de leur victime sans leur autorisation ou manipulent les systèmes de paiement existants pour envoyer des fonds sur leurs propres comptes. Pour ne pas être détectés, les acteurs malveillants peuvent également recourir à des tactiques sur le long terme en s’infiltrant peu à peu dans les workflows ou systèmes financiers d’entreprises.
Prélèvements non autorisés
Les acteurs malveillants peuvent effectuer des prélèvements non autorisés lorsqu’ils obtiennent le numéro de compte et de routage bancaire de leur victime. Ils utilisent ensuite ces informations pour retirer des fonds du compte. Ils peuvent obtenir ces informations par le biais d’attaques par hameçonnage, en tirant parti de violations de données ou en interceptant des documents physiques tels que des chèques.
Exécution : une fois qu’ils détiennent les informations du compte, les acteurs malveillants peuvent effectuer des prélèvements ACH en se faisant passer pour le titulaire du compte ou toute autre entité légitime autorisée à le faire. Souvent, le montant de ces transactions est faible pour ne pas éveiller les soupçons.
Détection et prévention : les clients et les banques peuvent utiliser des outils comme les filtres et blocages ACH qui permettent aux titulaires de comptes d’indiquer quelles personnes et entités sont autorisées à effectuer des prélèvements. Les clients doivent surveiller régulièrement leurs comptes afin de détecter toute transaction non autorisée.
Piratage du compte
On parle de piratage de compte lorsque des acteurs malveillants accèdent sans autorisation aux plateformes numériques d’un compte bancaire. Les cybercriminels peuvent utiliser des logiciels malveillants ou encore des techniques d’hameçonnage ou d’enregistrement de frappe pour voler des identifiants de connexion.
Exécution : à l’aide de ces identifiants, les acteurs malveillants peuvent se connecter à un compte bancaire et effectuer des transferts ACH vers d’autres comptes qu’ils détiennent.
Détection et prévention : Réduisez le risque de piratage de vos comptes en activant l’authentification multifacteur (MFA) pour accéder aux plateformes bancaires. Mettez également en place des mesures de sécurité avancées telles que la biométrie comportementale, et formez les employés aux pratiques de cybersécurité.
Exploitation du décalage ACH
Les acteurs malveillants peuvent exploiter le décalage entre l’initiation du virement ACH et le moment où les fonds sont débités ou crédités, créant ainsi un faux solde.
Exécution : les acteurs malveillants transfèrent des fonds entre des comptes qu’ils détiennent dans différentes banques pour gonfler artificiellement le solde avant que les transactions ne soient véritablement effectuées, ce qui leur permet de retirer ou de dépenser de l’argent qui n’existe pas.
Détection et prévention : les banques peuvent utiliser des outils pour analyser les modèles qui pourraient indiquer des méthodes d’exploitation du décalage, tels que les transferts interbancaires fréquents de sommes rondes. Elles peuvent également mettre en œuvre des mesures de vérification renforcée pour le déblocage des fonds.
Faux paiements
Ce stratagème consiste à envoyer des factures frauduleuses à des entreprises ou à manipuler les instructions de paiement existantes pour détourner les paiements vers des comptes détenus par des acteurs malveillants.
Exécution : en se faisant passer pour des fournisseurs légitimes ou en créant des commandes entièrement fictives, les acteurs malveillants convainquent les entreprises d’effectuer des paiements ACH sur les mauvais comptes.
Détection et prévention : les entreprises doivent vérifier les modifications des informations de paiement auprès de contacts connus via un canal de communication distinct et sécurisé. le personnel doit être régulièrement formé à l’examen minutieux des factures et des demandes de paiement afin de prévenir ce type de fraude.
Stratégies de fraude ACH courantes
Les acteurs malveillants peuvent utiliser les méthodes expliquées ci-dessous pour accéder aux données nécessaires à la fraude ou convaincre les parties autorisées d’initier des débits sur leurs comptes. Les fraudeurs peuvent également exploiter les faiblesses de différents systèmes (banques, e-mail, stockage de données) pour orchestrer une attaque sur plusieurs fronts, ce qui rend plus difficile pour les entreprises et les banques de suivre et de prévenir la fraude.
Vol de données
Les acteurs malveillants interceptent ou volent des informations sur les clients qu’ils peuvent utiliser pour initier des transactions frauduleuses. Il peut s’agir du piratage des bases de données d’une entreprise, de vols physiques, tels que le vol de documents, ou de techniques d’ingénierie sociale pour recueillir des données sensibles.
Exécution : une fois que les acteurs malveillants ont suffisamment de données, ils peuvent les utiliser pour initier des transactions ACH frauduleuses ou vendre les données sur le marché noir.
Détection et prévention : les entreprises peuvent se prémunir contre le vol de données en chiffrant les données sensibles, en maintenant des pratiques strictes en matière de sécurité informatique et en effectuant régulièrement des audits de sécurité. Les entreprises doivent s’assurer que les documents physiques sont stockés et éliminés en toute sécurité.
Escroqueries par hameçonnage
On parle d’hameçonnage lorsque des acteurs malveillants convainquent la cible de révéler des informations sensibles (identifiants de connexion ou coordonnées bancaires) via des e-mails frauduleux ou des sites Web qui ressemblent à ceux d’entités honnêtes.
Exécution : une fois les informations obtenues, les acteurs malveillants peuvent les utiliser pour effectuer des transactions non autorisées, y compris des prélèvements ACH.
Détection et prévention : apprendre à reconnaître les tentatives d’hameçonnage et à vérifier l’authenticité des demandes d’informations sensibles peut réduire le risque de fraude. Les entreprises doivent également envisager de mettre en place des filtres de messagerie et des protocoles de sécurité pour détecter et bloquer les e-mails d’hameçonnage.
Compromission des e-mails professionnels
Les acteurs malveillants utilisent des tactiques d’hameçonnage pour se faire passer pour des dirigeants d’entreprise ou des fournisseurs.
Exécution : les acteurs malveillants peuvent falsifier ou intercepter des e-mails ordonnant au personnel financier de modifier les informations de compte pour les paiements ACH, de rediriger ces paiements vers des comptes qu’ils détiennent ou d’inciter les employés à initier des transferts vers des comptes frauduleux.
Détection et prévention : les procédures de vérification, telles que l’approbation secondaire par un autre employé, peuvent aider à prévenir ce type de fraude. Les employés doivent être en mesure de reconnaître l’hameçonnage et être vigilants en ce qui concerne les modifications apportées aux informations de paiement qui sont communiquées uniquement par e-mail.
Menaces internes
Parfois, des personnes au sein d’une organisation, comme des employés ou des sous-traitants, peuvent abuser de leurs privilèges à des fins personnelles.
Exécution : les personnes de l’entreprise peuvent initier des transactions non autorisées ou modifier les coordonnées bancaires pour détourner des fonds.
Détection et prévention : pour réduire ce risque de fraude, effectuez des audits régulièrement, séparez les postes et surveillez toute activité inhabituelle. Il est également important d’adopter une culture de la sécurité et un comportement éthique.
Suivre les paiements ACH
Suivre les paiements ACH peut aider à résoudre des problèmes tels que la non-réception des fonds, les erreurs ou les suspicions de fraude. Plus tôt vous mettez en place le suivi, plus les informations recueillies seront précises.
Recueillir des informations
Pour suivre un paiement ACH, commencez par recueillir toutes les informations le concernant, notamment le montant et la date, l’ID ou le numéro de référence de la transaction, ainsi que les numéros de compte d’origine et de réception et le nom des banques impliquées.
Contacter la banque
Contactez la banque auprès de laquelle la transaction a été initiée (si vous en êtes l’expéditeur) ou celle où les fonds ont été envoyés (si vous en êtes le destinataire). Si le problème est urgent, privilégiez le contact par téléphone plutôt que par e-mail. Fournissez à la banque toutes les informations liées à la transaction.
Initier le traçage
Votre banque vous demandera probablement de remplir un formulaire pour demander formellement un traçage. Ce formulaire sera ensuite envoyé via le réseau ACH à l’autre banque impliquée dans la transaction. Chaque banque vérifiera si la transaction a bien été traitée de son côté et consultera l’état actuel de la transaction. Elles vérifieront également où les incohérences ou erreurs se sont produites. Certaines banques peuvent facturer des frais pour les services de traçage.
Le traitement des traces ACH peut prendre plusieurs jours ouvrables. Vérifiez régulièrement l’avancement du traçage.
Vérifier les résultats
Une fois le traçage terminé, les banques concernées fourniront un rapport détaillant le parcours de la transaction et les problèmes survenus. En cas d’erreur, les banques peuvent corriger l’erreur en retraitant la transaction ou en apportant les ajustements nécessaires aux soldes des comptes. Documentez toutes les communications et les résultats du traçage. Cela peut vous aider à résoudre des litiges et servir de preuve si une action en justice s’avère nécessaire.
Responsabilité en cas de fraude ACH
La question de la responsabilité dans la fraude ACH varie au cas par cas. Toutefois, les lois sont généralement favorables aux consommateurs, mais ont des exigences plus strictes pour les entreprises et les banques. Aux États-Unis, les lois comme l'Electronic Fund Transfer Act (EFTA) limitent considérablement la responsabilité des consommateurs en cas de transactions électroniques non autorisées, tant que les titulaires des comptes agissent dans les délais impartis. Les entreprises peuvent être tenues d’assumer le coût de la fraude si elles ne peuvent pas démontrer qu’elles ont mis en place des contrôles adéquats. Les banques peuvent quant à elles être tenues responsables si leurs procédures de sécurité sont jugées inadéquates ou si elles ne respectent pas les protocoles convenus.
La plupart du temps, la résolution de la responsabilité dans les scénarios de fraude ACH peut impliquer des négociations entre les parties concernées et peut nécessiter une intervention juridique pour déterminer l’entité fautive. La mise en œuvre de mesures préventives rigoureuses et le maintien de procédures claires et documentées pour le traitement des transactions électroniques peuvent aider les organisations à réduire les risques et à clarifier la responsabilité en cas de fraude.
Voici la manière dont la responsabilité est généralement attribuée dans les scénarios courants tels que les débits non autorisés, la compromission des e-mails professionnels ou le piratage de compte.
Prélèvements non autorisés
Les réglementations telles que l’EFTA aux États-Unis imposent à la banque du client de rembourser les transactions non autorisées, à condition qu’il les signale dans les 60 jours suivant la réception du relevé.
Compromission des e-mails professionnels
En cas de compromission des e-mails professionnelles, c’est l’entreprise dont l’employé a autorisé la transaction qui est en cause, surtout s’il a fait preuve de négligence et n’a pas respecté les procédures de sécurité internes.
Piratage du compte
Les clients ne sont généralement pas responsables des transactions frauduleuses résultant d’un piratage de compte s’ils en informent la banque en temps utile. Quant aux banques, elles peuvent être tenues responsables si elle n’ont pas mis en œuvre des mesures de sécurité suffisantes.
Vol de données
Lorsqu’un acteur malveillant tire parti d’une brèche de sécurité des données, l’entreprise peut être tenue responsable si elle a été négligente dans la façon dont elle a sécurisé ses données. La négligence peut se traduire par le non-respect des normes de sécurité du secteur ou l’absence de mesures préventives adéquates.
Escroqueries par hameçonnage
Si un client est victime d’une escroquerie par hameçonnage et signale des transactions non autorisées en temps opportun, la banque couvrira généralement les pertes. Si le client a fait preuve d’une négligence manifeste (en partageant par exemple son code PIN ou son mot de passe), il sera considéré comme partiellement ou totalement responsable des pertes.
Menaces internes
L’organisation où l’acteur malveillant exerce ses activités porte généralement la responsabilité de ces pertes, en particulier si des contrôles ou une surveillance inadéquats ont facilité la fraude. Dans certains cas, les banques peuvent intenter des poursuites contre l’auteur des faits.
Exploitation du décalage ACH
L’auteur des faits peut être tenu responsable en cas de fraude. Les banques peuvent également être tenues responsables si elles n’ont pas détecté et arrêté l’activité suspecte en raison de l’absence de systèmes de surveillance appropriés.
Faux paiements
L’entité qui n’a pas vérifié l’authenticité de la demande de paiement ou de la facture peut être tenue responsable, en particulier si elle n’a pas fait preuve de vigilance. Les banques ne sont généralement pas responsables si elles ont traité la transaction conformément aux instructions reçues.
Détecter les fraudes ACH
Pour détecter les fraudes ACH, vous devez surveiller, examiner et partager les informations avec rigueur. Voici tout ce que vous devez retenir.
Suivi des transactions
Installez un logiciel spécialisé qui compare en permanence vos transactions ACH aux données de référence établies et aux modèles historiques. L'apprentissage automatique et l’intelligence artificielle peuvent analyser le comportement de paiement habituel de votre entreprise et signaler les transactions potentiellement suspectes qu'un être humain pourrait manquer, en se basant sur des modèles complexes. Les éléments suivants peuvent être des signaux d’alerte d’une fraude potentielle.
Adresses IP ou appareils inhabituels associés à des transactions
Écarts dans le volume ou les montants des transactions par rapport aux moyennes historiques
Paiements à de nouveaux bénéficiaires, en particulier ceux qui se trouvent dans des zones géographiques à haut risque
Délais de transaction irréguliers (en dehors des heures normales d’ouverture)
Demandes urgentes (p. ex., e-mails ou appels exigeant une action immédiate) faisant pression sur les entreprises pour qu’elles accélèrent les paiements ou envoient de l’argent vers des comptes inconnus
Incohérences dans les noms, numéros de compte ou autres détails d’une demande de paiement
Procédures de vérification
Contrôle manuel des transactions à haut risque : examinez attentivement les transactions signalées par vos outils de surveillance. Le personnel dédié doit vérifier que les détails du bénéficiaire, l’historique des paiements et toute communication associée soient corrects.
Audits ponctuels : effectuez des audits de manière aléatoire sur un sous-ensemble de transactions ACH. Même si vous ne découvrez aucune fraude, savoir qu’une entreprise surveille les transactions de près à tout moment peut dissuader les acteurs malveillants.
Analyse des retours ACH : surveillez attentivement les retours ACH. Si les taux de retour sont élevés, cela peut être un signe que des prélèvements non autorisés ont lieu ou que des informations frauduleuses sur les bénéficiaires ont été introduites. Analysez les motifs de retour et cherchez des éventuelles tendances.
Pratiques KYC (Know Your Customer)
Vérification client : avant d’initier des paiements récurrents ou d’ajouter de nouveaux bénéficiaires, faites preuve de vigilance. Vérifiez les adresses et la légitimité des entreprises, et comparez les listes de sanctions et les bases de données sur la fraude.
Suivi des relations : vérifiez régulièrement les éventuels changements dans le comportement des destinataires, le style des communications ou la modification des informations de compte bancaire, qui pourraient indiquer qu’un compte a été compromis.
Partage d’informations
Collaboration avec les banques : communiquez ouvertement avec le service de prévention des fraudes de votre banque. Ils peuvent vous alerter sur les nouveaux mécanismes de fraude et vous apporter leur soutien lors des enquêtes.
Réseaux du secteur : rejoignez les associations professionnelles et les réseaux de prévention de la fraude. Partager des renseignements sur les menaces et des bonnes pratiques permet à chacun de garder une longueur d’avance sur les acteurs malveillants.
Plan de réponse en cas de fraude
N’attendez pas qu’un incident se produise pour savoir ce qu’il faut faire. Créez de manière proactive un plan qui comprend les éléments suivants :
Le point de contact à privilégier dans votre banque
Les protocoles internes de signalement et d’enquête
Les mesures à prendre pour limiter les dégâts (p. ex., blocage des comptes, modification des identifiants)
Les exigences relatives à l’intervention des forces de l’ordre
Prévention des fraudes ACH
La fraude ACH peut avoir des conséquences graves pour une entreprise (perte de fonds ou atteinte à la réputation, par exemple). Voici comment renforcer vos défenses et prévenir les tentatives de fraude ACH.
Authentification multifacteur (MFA) : appliquez l’authentification multifacteur pour toutes les connexions et transactions financières. Mettez en place une étape de vérification supplémentaire au-delà du nom d’utilisateur et du mot de passe. Cela réduit le risque d’accès non autorisé, même si les identifiants de connexion sont compromis.
Paiements préautorisés : ce système de vérification des prélèvements ACH permet aux entreprises de préautoriser des bénéficiaires et des montants légitimes pour les prélèvements ACH. Tout écart déclenche des alertes de vérification avant traitement, ce qui permet d’éviter les retraits frauduleux.
Formation du personnel : formez le personnel à reconnaître les tentatives d’hameçonnage, les tactiques d’ingénierie sociale et les signaux d’alerte associés à la fraude ACH. Expliquez-leur les procédures à suivre pour traiter les transactions ACH et signaler les activités suspectes.
Séparation des tâches : mettez en place un système dans lequel différents employés gèrent des tâches telles que l’initiation de paiements, l’approbation des transactions et le rapprochement des comptes. Cela réduit le risque qu’un seul employé manipule le système à des fins non autorisées.
Surveillance en temps réel : utilisez des outils de surveillance des transactions en temps réel pour identifier les anomalies et les activités suspectes et les arrêter avant qu’ils ne soient traités.
Procédures de rapprochement : mettez en place des procédures de rapprochement rigoureuses pour comparer les paiements attendus aux débits et crédits réels. Vérifiez régulièrement vos relevés bancaires et identifiez toute incohérence susceptible d’indiquer une activité frauduleuse.
Chiffrement des données : vérifiez que toutes les données sensibles, y compris les informations de compte et les enregistrements financiers, sont chiffrées au repos et en transit. Il sera ainsi beaucoup plus difficile pour les acteurs malveillants de voler des informations précieuses, même s’ils s’introduisent dans vos systèmes.
Contrôles d'accès : mettez en œuvre des contrôles d’accès stricts aux données financières et aux systèmes de traitement ACH. N’accordez l’accès qu’aux personnes qui en ont besoin, et utilisez des politiques de mot de passe fort avec des changements de mot de passe réguliers.
Services de prévention de la fraude : associez-vous à des spécialistes de la prévention de la fraude qui proposent des services avancés de surveillance et de renseignement sur les menaces. Ces services peuvent constituer une couche de sécurité supplémentaire pour détecter les tentatives de fraude sophistiquées grâce au savoir-faire des spécialistes.
Participation au réseau ACH : participez aux initiatives d’atténuation des risques liés aux réseaux ACH. Ces initiatives vous permettent de bénéficier de ressources et d'outils pour identifier les menaces émergentes, et de bonnes pratiques en matière de lutte contre la fraude ACH.
Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.