Alors que les innovations dans les services financiers (FinServ) découlent souvent de mesures de sécurité intégrées, les nouvelles tendances du marché – Y compris les paiements plus rapides et les opérations bancaires ouvertes. – ils introduisent de nouvelles menaces pour la sécurité des départements de trésorerie de l'entreprise, selon la société de cybersécurité BioCatch.
Le service de la trésorerie est une cible de plus en plus attrayante pour les cyber-escrocs. Des attaques d'acquisition de compte, des tactiques d'ingénierie sociale et des fraudes de paiement menacent les entreprises, alors que les attaquants poursuivent des transactions de grande valeur, typiques du financement des entreprises, a déclaré BioCatch dans un blog la semaine dernière.
Parmi les plus fréquents, on compte le BEC (Enterprise Electronic Mail Commitment), un type d’attaque d’ingénierie sociale qui a fait l’objet d’une grande attention l’année dernière. Le Federal Bureau of Investigation (FBI) a établi un lien entre les pertes totales et les escroqueries liées à la corruption de 12 milliards de dollars dans 150 pays. 2016 et mai 2018.
La tactique est relativement simple. Les fraudeurs peuvent s'infiltrer dans les bases de données et les comptes de messagerie de l'entreprise pour identifier les responsables qui effectueraient normalement une transaction, puis se faire passer pour un professionnel souhaitant recevoir les fonds de l'entreprise sans la moindre méfiance. Toutefois, selon BioCatch, les progrès continus de la technologie financière d'entreprise (FinTech) ont créé de nouvelles opportunités pour les fraudeurs de voler leurs objectifs commerciaux, alors même que les innovations émergentes placent la sécurité financière au centre de leurs solutions.
Des paiements plus rapides, par exemple, peuvent rendre plus difficile la détection d'une fraude, a déclaré BioCatch, en particulier dans les cas de paiements d'entreprise transfrontaliers.
"La fraude par virement bancaire présente un intérêt particulier pour la trésorerie de l'entreprise", écrit la société. "Avec les paiements instantanés, les fraudeurs peuvent non seulement transférer rapidement des fonds d'utilisateurs légitimes vers eux-mêmes, [but] Ils peuvent les dévier tout aussi rapidement. Dès que l'activité frauduleuse est remarquée, les fonds volés sont presque impossibles à retrouver et peuvent être impossibles à récupérer. "
En dépit de cet avertissement, de nombreux experts ont déclaré que des paiements plus rapides ne signifiaient pas nécessairement plus – ou une augmentation de – fraude, en particulier lorsque les institutions financières (IF) qui adoptent des capacités de paiement plus rapides et en temps réel améliorent simultanément leurs efforts de lutte contre la fraude.
En outre, jusqu’à présent, l’adoption en entreprise d’instruments de paiement plus rapides est limitée. Dans le cas de l’ACH le même jour aux États-Unis. Aux États-Unis, NACHA a constaté que, au cours des 11 premiers jours de mise en service du service en 2017, 6% seulement des 2 millions de transactions effectuées étaient des transactions B2B. Cependant, plus récemment, BNY Mellon a constaté que 29% des dirigeants s'attendaient à ce que les paiements en temps réel aient un impact significatif sur leurs entreprises au cours des trois prochaines années, et les trésoriers devront faire face à l'évolution des risques de fraude. .
BioCatch a également souligné la banquise ouverte comme une autre tendance FinServ qui impose des changements dans les risques de fraude d’entreprise.
L'émergence des banques ouvertes au Royaume-Uni signifie maintenant que les banques ouvrent des données aux fournisseurs de paiement via des interfaces de programme d'application (API), ouvrant ainsi une nouvelle porte dans laquelle les cybercriminels peuvent entrer. Alors que l'ouverture des banques et l'échange de données entre les banques et les entreprises de technologies financières sont largement considérées comme des tendances orientées vers le consommateur, certains analystes ont déclaré que les entreprises se préparaient à une perturbation similaire.
Un récent sondage réalisé par le fournisseur de solutions de gestion de trésorerie Centtrip a révélé que les trois quarts des entreprises britanniques s'attendent à tirer parti des services bancaires ouverts d'ici la fin de la décennie, malgré la connaissance et l'acceptation de solutions basées sur les services bancaires ouverts. ils sont encore limités entre les moyennes et grandes entreprises.
"L'open banking a un potentiel énorme pour changer la façon dont les données financières sont partagées et gérées", a déclaré Brian Jamieson, PDG de Centtrip, dans un communiqué publié plus tôt cette semaine. "Un an après son lancement, nous commençons tout juste à en comprendre les avantages et à redéfinir le secteur financier."
Alors que les entreprises commencent à envisager l'utilisation de l'open banking à leur avantage, les analystes observent de près comment l'échange de données et les API FinTech pourraient créer de nouvelles possibilités pour les cybercriminels.
Dans une interview accordée à PYMNTS en novembre, le vice-président responsable de la gestion des produits et cofondateur de Shape Security, Sumit Agarwal, a expliqué comment les API offrent un autre moyen d'attaquer les cybercriminels, se présentant comme une tierce partie demandant un accès apparemment légitime aux données. banque.
"Si je ne peux pas attaquer les portes des banques, je peux peut-être passer par un petit développeur et trouver une porte latérale alternative qui m'emmène toujours à la banque, d'une manière ou d'une autre", a-t-il expliqué.
BioCatch a également souligné ce risque dans son blog.
"Les cybercriminels tireront parti de la faiblesse de la sécurité du TPP pour lancer des attaques contre les banques, mettant ainsi en péril la trésorerie de l'entreprise", a déclaré la société. "Par exemple, un fraudeur qui prend en compte un utilisateur dans un PTP peut utiliser ce compte pour initier des transactions frauduleuses avec la banque connectée."
Pour les trésoriers d'entreprise, cela indique la nécessité de mettre davantage l'accent sur la sécurité des partenaires bancaires, mais également sur les sociétés de paiement tierces qui reçoivent désormais des données des banques.