Vie Sauvage et Survie

Catégorie Générale => Dans la jungle ordinaire => Discussion démarrée par: Hurgoz le 15 octobre 2014 à 21:24:40

Titre: Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 15 octobre 2014 à 21:24:40
Yo,

L'affaire n'ayant plus lieu d'être tenue secrète je vous fais le petit retex d'un tentative d'arnaque financière qui a faillit arriver chez un client. Par soucis de confidentialité, je tairais les noms des entreprises impliquées.

Donc tout commence courant Juillet; la personne chargé des paiements fournisseurs chez un client (qu'on appelera M.Dupont), reçoit l'avis d'un fournisseur, demandant le changement de ces coordonnées bancaires. Un point attire l'attention de M.Dupont: la demande est signée "M.Bémole, Responsable du pôle financier" et non pas "M.Bémole, Responsable du service financier" (plus courant dans le cadre privé). M.Dupont téléphone donc chez le fournisseur et demande à parler à M.Bémole. La standardiste lui répond donc qu'il n'y a pas de M.Bémole dans leur entreprise. M.Dupont en prend bonne note, et ne modifie donc pas les coordonnées bancaires.

Début septembre, M.Dupont reçoit un Email de M.Bémole, lui réclamant la facture de Juillet, jointe à l'Email, et en tout point similaire à une facture émise légitimement par le fournisseur. M.Dupont joue le jeu, et lui répond que se sera rapidement fait. A côté de cela, M.Dupont prévient donc sa direction, qui, plutôt que de démasquer l'imposteur préfère lui laisser croire que tout va bien, mais prévient la gendarmerie. Celle-ci dépèche des enquêteurs qui récupèrent les Emails et commence leur enquête.

M.Dupont n'effectue bien entendu pas le paiement, et M.Bémole l'appel au téléphone. Une fois, deux fois, trois fois, Septembre passe et début Octobre M.Bémole envoi et réclame non plus Juillet, mais Juillet et Août (on parle de 150k€ quand même).

La gendarmerie ayant finie par tomber dans un cul de sac (l'arnaqueur étant ou en Israël ou au Mexique), et M.Bémole se faisant de plus en plus insistant, le directeur de l'entreprise fini par faire tomber le masque.


Maintenant, nous savons également comment M.Bémole a fait pour monter son coup. Tout commence par le choix de la cible: entreprise (mon client) membre d'un grand groupe, implantée dans une vallée connue pour ces partenariats Clients-Fournisseurs. Dans son enquête, M.Bémole a réussi à faire le lien Client-Fournisseur grâce à une coupure de presse trouvée sur le net, parue en 2004, annonçant la collaboration des deux entreprises.

Fort de cette information, il a créé un nom de domaine sur le net, crédible par rapport au nom du client. Il a ensuite appelé le fournisseur, en se faisant passer pour le client, lui demandant de lui envoyer par Email les factures dues, soit disant perdue lors d'un crash informatique. Le fournisseur s'exécute.

A ce niveau, M.Bémole connait donc les choses suivantes:

De là, M.Bémole, en prenant le nom d'une personne au hasard, a ouvert un nouveau nom de domaine en Italie, excessivement proche du nom de domaine du fournisseur (en rajoutant -eu parès le nom), et crée une redirection depuis ce nom de domaine, sur le bon domaine, de façon à ce qu'une visite envoi un curieux sur le bon site.

Enfin, il a fini en recopiant la mise en page des factures du fournisseur et en extrapolant le montant du business par rapport à ce qu'il avait sur les factures.

On voit que la catastrophe a été évitée par rien: un simple "Pôle financier" au lieu de "Service financier".

Du coup, quelques idées pour ne pas se faire avoir, ou ne pas participer - involontairement - à arnaquer un tier:

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Loriot le 15 octobre 2014 à 21:59:02
Bien vu!
Je me permet d'ajouter un point important.
Une ou un secrétaire comptable compétent et une bonne collaboration des services avec lui ou elle. De la communication donc...
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 15 octobre 2014 à 22:08:12
Yep,

En faite, dans ce genre de cas, l'arnaqueur essai de ce glisser dans le lien entre le client et le fournisseur pour empêcher les deux de communiquer, sans que ni l'un ni l'autre ne se rende compte de rien.

De la même façon, au sein d'une grosse structure, les tâches sont souvent réparties entre plusieurs personnes; par exemple, la personne qui saisie les factures en compta n'est pas la même que celle qui effectue les paiements. Du coup, la personne qui effectue les paiements ne reçois que des demande interne de paiement, et n'a pas forcément les infos qui lui permettraient d'avoir un doute.

Dans ma liste a faire/à ne pas faire, il faudrait aussi rajouter qu'il ne faut pas envoyé de documents officiels (papier entête) par Email, sauf si le destinataire est connu et qu'on a l'habitude de traiter avec.

On peu ajouter qu'il faut être vigilant sur l'adresse Email du destinataire ou l'expéditeur d'un Email, mais ça....moi je le fais, car c'est mon métier, mais un néophyte, j'en doute.

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: psydomos le 15 octobre 2014 à 22:58:37
Salut!


Attention, il ne faut pas croire que cela n'arrive qu'aux grandes structures, la petite assoc' de commerçant de mes parents à Lyon à été victime de la même tentative d'escroquerie sur un paiement de quelques milliers d'euro en juillet.
 La trésorière a eu un doute et c'est comme ça qu'ils ont découvert le pot au rose.

A+

Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 15 octobre 2014 à 23:22:53
Yo,

En faite, ce qui rend possible ces actions c'est avant tout le manque d'information et de sensibilisation.

Dans ma vallée, il y a eu 120 cas, et certains ont pris. Du coup, il y a un forum organisé autour du sujet, dans lequel, le directeur de l'usine chez qui j'interviens va prendre la parole pour une partie "cas concret".

Pour ma part, étant assez impliqué chez ce client, je vais rédiger un article pour leur journal interne de façon à sensibiliser l'ensemble du personnel.

On a aussi tendance à penser que seules les équipes administratives et les services supports ont accès à des données sensibles. Toutefois, quelqu'un qui travail à la réception de  produits, aura accès aux noms des fournisseurs, quantité pièces livrées, à quelle fréquence, etc

Et, enfin, je connais un assez bon forum sur lequel ce genre de diffusion peu avoir un effet ricochet grâce ces membres.  ;#

En gros, plus on est à faire gaffe, moins on laisse d'espace aux arnaqueurs.

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: spica le 16 octobre 2014 à 14:30:54
Une très bonne lecture sur le sujet : "Ghost in the wires", l'autobiographie de Kevin Mitnick, qui fut pendant quelques années le hacker le plus recherché par le FBI (avant de se reconvertir avec succès en consultant sécurité à sa sortie de prison...). Très instructif quand on voit que le gros de son travail de hacker passait par le social engineering : gagner la confiance de l'interlocuteur au bout du fil, donner un semblant de légitimité à ses demandes... et la plupart du temps, les informations importantes dont il avait besoin pour accéder à des données confidentielles passaient par l'exploitation du maillon faible, l'humain, qui malgré ce qu'on en dit, à une propension à faire confiance et à accepter de rendre service facilement pour peu qu'il n'ait pas de raison évidente de mettre en doute la bonne foi de la personne en face (et qu'il ne réalise pas, comme c'est très souvent le cas, en quoi le bout d'information assez infime qu'il révèle ou l'entorse minime à la politique de sécurité de son entreprise qu'il commet pourrait la mettre sérieusement en péril).
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: zangetsu74 le 22 octobre 2014 à 11:33:17
Salut Hurgoz et merci pour ton partage d'infos très (très !) intéressant.

C'est impressionnant de constater l'énergie et la motivation déployée pour arriver à cela.

Je me suis permis de faire suivre au service compta de ma boite (marque horlogère dans un grand groupe de luxe), afin de les sensibiliser, au cas où.
Nous avons des procédures, mais il y a forcément une faille quelque part, ou quelque chose à laquelle les personnes n'ont pas pensé, donc cela peut toujours être utile.

Une des personnes a réagi et m'a appelé pour me remercier et pour me poser une question, que je me permets de te faire suivre. Si tu peux y répondre sans briser de chose confidentiel ou autre, c'est cool, mais ne te sens pas obligé non plus, car ce n'est pas forcément le point le plus important dans ton RETEX.

La question était au niveau des coordonnées bancaires de l'escroc :
Comment a-t-il procédé ? Les fausses coordonnées bancaires étaient-elles également créées de toutes pièces en utilisant l'astuce d'un nom similaire (genre "rn" au lieu de "m") ?
Etaient-ce des coordonnées bancaires "société" ?
Ou a-t-il agi plus "simplement" en utilisant un IBAN "quelconque" et en remplaçant le nom sur la facture par celui auquel le client s'attendait ?
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Merlin06 le 22 octobre 2014 à 19:03:28
Merci du partage.
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 22 octobre 2014 à 22:43:03
Yo,

Je me suis permis de faire suivre au service compta de ma boite (marque horlogère dans un grand groupe de luxe), afin de les sensibiliser, au cas où.
Nous avons des procédures, mais il y a forcément une faille quelque part, ou quelque chose à laquelle les personnes n'ont pas pensé, donc cela peut toujours être utile.

Tu as bien fait: c'est fait pour! :)

Citer
La question était au niveau des coordonnées bancaires de l'escroc :
Comment a-t-il procédé ? Les fausses coordonnées bancaires étaient-elles également créées de toutes pièces en utilisant l'astuce d'un nom similaire (genre "rn" au lieu de "m") ?
Etaient-ce des coordonnées bancaires "société" ?
Ou a-t-il agi plus "simplement" en utilisant un IBAN "quelconque" et en remplaçant le nom sur la facture par celui auquel le client s'attendait ?

Il a fait très simple: il a écrit un mail en disant que leur identification bancaire avait changée et que maintenant c'était tel IBAN (un compte à lui, vraisemblablement)...

Si ça avait marché, la nouvelle ID aurait été renseignée dans l'ERP, du quel sort à la demande un fichier envoyé à la banque pour effectuer les virements (après quelques opérations de contrôle)....ça aurait été transparent jusqu'à ce que le vrai fournisseur demande ces paiements, mais il y aurait eu un perte avant.

En espérant t'avoir répondu de façon concise,

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Tompouss le 23 octobre 2014 à 10:08:14
Les mecs font quand même preuve d'une sacrée motivation. Je vais en discuter avec le DAF de la société où je travaille, ces infos pourraient lui être utiles. Merci pour ton retour  :up:
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: raphael le 03 novembre 2014 à 22:09:19
http://www.lepoint.fr/economie/le-groupe-michelin-victime-d-une-arnaque-au-president-03-11-2014-1878451_28.php (http://www.lepoint.fr/economie/le-groupe-michelin-victime-d-une-arnaque-au-president-03-11-2014-1878451_28.php)

"Le groupe de pneumatiques s'est fait voler 1,6 million d'euros via une escroquerie reposant sur de faux ordres de virement. "

Si même les grands groupes se font piéger....
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Merlin06 le 03 novembre 2014 à 22:44:21
Et Michelin est un grand pro de la sécurité des informations, la moindre intervention chez eux est un cauchemar.  8)
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Djeep le 04 novembre 2014 à 19:43:15
BJR http://www.liberation.fr/economie/2014/11/04/de-la-nigeriane-a-la-pdg-guide-des-arnaques-aux-entreprises_1135975 HN
Titre: Re : Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 04 novembre 2014 à 19:48:20
Yo,

BJR http://www.liberation.fr/economie/2014/11/04/de-la-nigeriane-a-la-pdg-guide-des-arnaques-aux-entreprises_1135975 HN

 :doubleup:

Si même les grands groupes se font piéger....

Contrairement à ce qu'on pourrait croire, un groupe est plus facile à piéger qu'une PME.

Cela s'explique par sa complexité et ces différentes ramifications, qui rendent la communication plus difficile. Hors, c'est principalement la dessus que s'articule une usurpation d'identité: faire croire à la victime qu'on est une personne précise.  :glare:

Mes 1.6M€...

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 06 novembre 2014 à 20:35:16
Yo,

put**n! Ca tombe comme des petits pain! Encore un: http://www.lavoixdunord.fr/region/boulogne-nausicaa-se-remet-difficilement-de-l-arnaque-ia31b49030n2475069#utm_medium=redaction&utm_source=facebook&utm_campaign=page-fan-vdn (http://www.lavoixdunord.fr/region/boulogne-nausicaa-se-remet-difficilement-de-l-arnaque-ia31b49030n2475069#utm_medium=redaction&utm_source=facebook&utm_campaign=page-fan-vdn)  :o

Faites gaffe!!!

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Merlin06 le 06 novembre 2014 à 22:32:15
J'aime beaucoup la remise question du directeur de Nausicaà, qui va payer? Encore... (http://t3.gstatic.com/images?q=tbn:ANd9GcQj6H1ohJEdnQHcwKaSMGKrCXJlMr2YByxkz9IFS6iTWVq24jW6vS8ycw)
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: winadeath le 09 novembre 2014 à 00:32:36
si j'ai bien compri le procédé utiliser s'appele de l'ingenieurie sociale, beaucoup utiliser par les hacker pour trouver une porte d'entrer dans les système informatique sans trop se foulé, mais cela permet aussi des cas comme sa, si vous ette interesser et que l'anglais ne vous fait pas peur taper "social engineering" sur google, vous y trouverai des renseignement sur ce type de manipulation, le meilleur moyen de se protéger, c'est de sensibiliser, et quelle meilleur moyen que d'aprendre soit meme a le faire ou au moin en comprendre le fonctionemen, j'espere ne pas ettre hors sujet.

cordialement,moi
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: sharky le 09 novembre 2014 à 08:39:05


Un des moyens de ne pas se faire piéger, c est de repérer les fautes d orthographes dans les mails que l on reçoit  :lol:
Fais un effort quand tu rédiges, ça pique vraiment les yeux et cela rend illisible ton message.
Même le dernier phishing que j ai reçu était mieux écrit.

Désolé, c était mon quart d heure orthographe du dimanche matin.
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: bloodyfrog le 09 novembre 2014 à 09:04:48
Salut Winadeath,

Si tu veux continuer à participer aux débats, il va falloir que tes lecteurs puissent te lire sans avoir mal à la tête.
Tu dois faire un effort particulier en orthographe.

D'autres l'ont fait avant toi avec succès, et le forum intègre aujourd'hui un correcteur d'orthographe.
Si lorsque tu tapes un mot, il est souligné en rouge, c'est qu'il contient une faute d'orthographe ou d'accord.
Un simple clic sur le mot souligné avec le bouton droit de la souris te donne alors un choix possible pour une correction rapide.
Ca va te demander un peu de temps au début, mais c'est autant de temps que tu ne demanderas pas à tes lecteurs pour te lire.

Merci d'avance pour cet effort.

Manu.

Si j'ai bien compris le procédé utilisé s'appelle de l'ingénierie sociale, beaucoup utilisée par les hackers pour trouver une porte d'entrée dans les systèmes informatiques sans trop se fouler, mais cela permet aussi des cas comme ça.
Si vous êtes intéressés et que l'anglais ne vous fait pas peur tapez "social engineering" sur google, vous y trouverez des renseignements sur ce type de manipulation, le meilleur moyen de se protéger, c'est de sensibiliser, et quel meilleur moyen que d'apprendre soit même à le faire ou au moins en comprendre le fonctionnement, j'espère ne pas être hors sujet.

Cordialement, moi.
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Phil67 le 09 novembre 2014 à 10:51:54
Pour ceux n'ayant pas installé de correcteur orthographique ou souhaitant une correction plus efficace, il existe des sites en ligne corrigeant encore mieux l'orthographe et la grammaire : www.bonpatron.com et www.scribens.fr

C'est plus lourd que le correcteur intégré au navigateur, mais encore plus efficace (surtout pour la conjugaison et la grammaire) notamment pour des écrits importants.

5 minutes "perdues" par le rédacteur c'est plus de 100 x 1 minute économisées par les lecteurs à décoder.


À l'heure du web et de la généralisation de l'écrit, l'orthographe et la grammaire font partie des compétences utiles à la "survie sociale" à long terme (notamment pour la recherche d'emploi et les échanges par mail). Ça n'est pas pour rien que le coaching et les formations pour adultes se développent dans ce domaine même pour des cadres supérieurs seniors issus de grandes écoles n'ayant plus le filtre de leur secrétaire.
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Djeep le 09 novembre 2014 à 12:19:53
BJR Et un avantage supplémentaire qui est d'en conserver une copie en cas de besoin ;) HN
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 15 janvier 2015 à 18:16:09
Yo,

Une nouvelle petite aujourd'hui: un type appel de la part d'une société truc (qui, biensûr, est un partenaire d'affaires) et dit qu'il envoie des factures. Les factures arrivent sous forme de fichier excel comprenant une Macro. Si celle ci est activer elle va automatiquement télécharger un petit trojan sur le pc de la cible.

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: musher le 15 janvier 2015 à 20:00:53
En ce moment, on reçoit des factures sous forme de fichier zip qui contient un .exe
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: Hurgoz le 15 janvier 2015 à 20:02:44
Ca, il y en a eu pas mal aussi.

Mais généralement, personne n'appel pour te dire je vous envoi une facture.... ;)

Tcho

Hugo
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: musher le 15 janvier 2015 à 20:04:20
Non mais il y en a que tu repères vite car elles correspondent pas à un fournisseur connu

Par contre il y en a eu qui venaient de la part de fournisseur connu et avec des références exactes.
Titre: Re : Tentatives d'arnaque et usurpation d'identité
Posté par: raphael le 30 janvier 2015 à 14:59:53
http://www.lepoint.fr/sport/football/l-om-confirme-avoir-ete-victime-d-une-escroquerie-au-virement-30-01-2015-1901046_1858.php (http://www.lepoint.fr/sport/football/l-om-confirme-avoir-ete-victime-d-une-escroquerie-au-virement-30-01-2015-1901046_1858.php)

Selon la Direction centrale de la police judiciaire (DCPJ), 360 entreprises ont été victimes de faux ordres de virement entre 2010, année d'apparition du phénomène, et en 2013. Préjudice global : quelque 300 millions d'euros. Et encore, certaines victimes "ne portent pas plainte", indique-t-on à l'OCRGDF. Pire même : "C'est un véritable raz-de-marée qui s'est abattu sur la France", ont lancé les autorités judiciaires lors de leur passage à Pékin, insistant sur "une accélération des faits fin 2013-début 2014".