
W-2 escroqueries : comment se défendre contre cette menace annuelle
« E-mail du 15 janvier 2022
De : patron de Sandy, CFO
À : Sandy, responsable de la comptabilité
Bonjour Sandy, Merci de m'envoyer tous les formulaires W-2 de l'équipe Marketing. Je dois vérifier qu'il n'y a pas de problème. Merci !
- Le patron »
Ne faites pas ça, Sandy.
Les lecteurs de longue date de ce blog auront compris que cet article fait partie d'une série annuelle de posts similaires. Le but est de sensibiliser les gens, pendant la saison des déclarations fiscales, à la vague très populaire et tristement florissante d'arnaques au formulaire W-2, qui apparaît chaque année à la même époque. Le but est aussi de vous mettre à jour sur les dernières techniques que vous pouvez utiliser pour combattre ces arnaques.
Pourquoi une arnaque au formulaire W-2 ?
La saison des déclarations fiscales, c'est un peu Noël pour les cybercriminels. En effet, quasiment tous les employés aux États-Unis reçoivent un formulaire W-2 de leur employeur. Ce qui signifie que plusieurs millions de formulaires W-2 doivent être créés, traités et transférés en interne, puis envoyés (de manière numérique ou imprimée) par quasiment toutes les entreprises du pays.
Prenons un formulaire W-2 en détail. Celui-ci comprend votre nom, prénom, votre adresse, numéro de sécurité sociale, le nom de votre employeur et son adresse, son identifiant fiscal et évidemment, votre salaire et le montant du prélèvement à la source. La seule chose qui manque et qui pourrait servir à quelqu'un pour usurper votre identité, serait votre date de naissance et le nom de jeune fille de votre mère. Et s'ils n'arrivent pas à trouver ces informations ailleurs, c'est qu'ils ne sont pas bons.
L'usurpation d'identité est donc une voie possible pour un escroc qui aurait récupéré des formulaires W-2. D'autre part, s'il arrive à recueillir un certain nombre de ces formulaires, il peut en retirer plus facilement un gain financier, en les vendant sur le Dark Web, où les données à caractère personnel ont leur marché et se vendent très bien, surtout les numéros de sécurité sociale et les informations financières.
Autre utilisation de plus en plus courante des formulaires W-2 volés : l'escroc fait une fausse déclaration d'impôt auprès du fisc américain, avant que la victime n'ait eu le temps de faire sa déclaration, dans le but de récupérer tout crédit d'impôt auquel la victime pourrait prétendre. Il n'y a rien de plus déconcertant que de faire sa déclaration d'impôt et d'être informé par le fisc que la déclaration a déjà été faite et que le crédit d'impôt vous a déjà été envoyé. Nul besoin de le préciser, il est ensuite extrêmement compliqué de résoudre la situation. La bonne nouvelle, c'est que le département du trésor américain réussit très souvent à mettre la main sur les escrocs et à récupérer les fonds.
Phishing, usurpation d'identité du PDG et compromission des adresses e-mail professionnelles
Mais comment les escrocs font-ils pour obtenir les formulaires W-2 ? Plusieurs techniques spécifiques existent, mais au final elles reviennent toutes à la même chose : tromper les gens.
Tout peut commencer par un e-mail de phishing qui incite un employé à divulguer ses identifiants réseau. L'escroc utilise ensuite ces identifiants pour insérer un malware qui recherche les formulaires W-2 sur le réseau et les exfiltre vers une adresse malveillante.
Ou alors l'escroc peut concevoir une attaque de phishing particulièrement bien rédigée, qui a l'air de provenir de l'adresse e-mail du directeur financier, comme dans l'exemple présenté au tout début de cet article. En utilisant des informations glanées sur les réseaux sociaux et les sites web d'entreprise, ils peuvent inclure des détails qui rendent l'e-mail très convaincant. L'adresse de l'expéditeur quant à elle intégrera peut-être une faute d'orthographe difficile à détecter (comme @enterprise.com au lieu de @entreprise.com). À première vue, cette adresse ne paraîtra pas suspecte, surtout si le responsable de la compta est surchargé en période fiscale.
Autre possibilité : l'escroc a peut-être piraté les identifiants de messagerie du CFO (les dirigeants sont aussi vulnérables sinon plus, que les autres employés). Il suffit alors à l'escroc de se connecter à ce compte compromis et d'envoyer un e-mail à notre cher Sandy, et rien ne laissera penser qu'il s'agit d'une arnaque.
Et il ne s'agit là que de la partie visible de l'iceberg. Les identifiants ont peut-être été recueillis lors d'une faille de données non détectée qui date d'il y a plusieurs années, et qui sont désormais en vente sur le Dark Web.
Mais dans presque tous les cas, tout commence par une personne à qui l'on a fait croire quelque chose. Ce qui nous amène aux moyens de défense.
Une combinaison de solutions techniques et de sensibilisation des utilisateurs
La première étape pour empêcher toute arnaque de duper l'un de vos employés est de minimiser le volume d'e-mails malveillants ou de phishing qui atterrit dans leurs boîtes de réception. Si vous n'avez pas mis à niveau votre solution de sécurité des e-mails depuis longtemps, vous risquez de tomber des nues, car les innovations en IA et en apprentissage machine sont à l'origine de nouvelles catégories de solutions qui peuvent réduire radicalement votre risque.
- Les solutions de défense au sein de la boîte de réception basées sur l'IA comme la protection contre l'usurpation d'identité et le phishing de Barracuda utilisent l'apprentissage machine pour établir un modèle des schémas de communication considérés comme « normaux » dans votre entreprise, afin de détecter et de bloquer les anomalies qui indiqueraient la présence d'une tentative de phishing ou d'usurpation d'identité, et qui passeraient entre les mailles du filet des passerelles traditionnelles de messagerie.
- Un autre type de solution, tel que la protection contre le piratage de compte de Barracuda, détecte, entre autres, les comptes qui ont été compromis ainsi que les tentatives de piratage. La solution se charge ensuite de mettre automatiquement en quarantaine les comptes compromis et de trouver et supprimer les e-mails malveillants de la boîte de réception des utilisateurs.
- Les solutions d'accès réseau Zero Trust, comme Barracuda CloudGen Access vont bien au-delà des solutions de VPN et d'authentification unique et surveillent en continu de multiples facteurs pour s'assurer que seuls les individus et les appareils autorisés, dans les lieux connus et aux heures autorisées, puissent accéder aux ressources de votre réseau.
- Enfin, et c'est le plus important, il est indispensable de créer une culture de sensibilisation à la sécurité au sein de votre entreprise. Les solutions modernes de formation de sensibilisation à la sécurité comme celle de Barracuda peuvent s'avérer très utiles sur ce point. En utilisant une combinaison de simulations d'attaques de phishing et de modules de formation avancés, ces solutions augmentent la probabilité qu'une tentative de phishing soit détectée et signalée par le destinataire. En transformant la formation en « jeu » – avec récompense à la clé pour qui réussit à détecter le plus d'e-mails malveillants par exemple – vous encouragez un réel investissement des employés dans ce processus. Les résultats individualisés vous permettent aussi de déterminer quels sont les utilisateurs les plus vulnérables pour leur proposer davantage de formation.
- Lorsque vos utilisateurs sur-entraînés signalent une vraie tentative de phishing, une solution de réponse automatisée comme Barracuda Incident Response vous permet de trouver et d'éliminer toutes les instances de l'e-mail malveillant dans toutes les boîtes de réception concernées, et ce en quelques secondes ou minutes, et non plus en heures ou en jours.
Une saison pénible
Les déclarations fiscales sont un moment stressant pour tout le monde (sauf peut-être pour les escrocs qui exploitent ce stress). Outre les mesures de sécurité listées ci-dessus, il existe d'autres mesures qui peuvent vous aider à minimiser votre risque de tomber dans le piège des arnaques au W-2. Le guide de l'IRS sur l'usurpation d'identité est rempli de conseils et d'informations utiles qui peuvent vous aider à éviter l'usurpation d'identité et à détecter ces arnaques dès le départ.
Enfin, n'oubliez pas que la saison des déclarations fiscales a toujours une fin. Bien que les menaces de phishing rôdent toute l'année, d'ici mi-avril, les tentatives d'arnaques au formulaire W-2 devraient s'estomper, pour nous laisser respirer. Du moins jusqu'à l'année prochaine.
Détectez les menaces qui se cachent dans vos boîtes mail Office 365

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter